我安装了 Ubuntu 22.04,Legacy/MBR Boot(这很重要)。我想加密系统分区(甚至 /boot!)。如果您完全创建一个单独的 /boot 分区,那么它也必须是加密的,或者在只读文件系统中 - 即 squashfs、EROFS 或带有 EXT4_DEDUP_BLOCK 的 ext (2/3/4)(谁知道超级最新的 Android 中的分区——啊,他会明白我的意思)。网上的指南很少,尤其是 Ubuntu,更糟糕的是,/boot 那里没有加密,从纯粹的安全角度来看,这是非常糟糕的。我将 rootkit 放在那里并更改了 grub.cfg 中的选项 - 系统被破坏了。我使用加密作为安全启动的替代方案,它仅在 UEFI 中可用(根据 Habr 关于 UEFI 的文章,甚至由于 Microsoft 的密钥而存在问题)。
RError.com
/boot 必须通过 LUKS1 加密:
然后 GRUB2 将能够解密它并要求您输入密码。