Děkuji. Ještě k šifrovanému /boot - nějak nechápu v čem je ten systém lépe zabezpečený - když útočník sebere zašifrovaný disk, podstrčí svůj, kde si pří startu GRUB řekne o heslo a pak si ho pošle tak má přístup k datům tak jako tak. Jediná obrana je mít jiné heslo pro /boot a jiné heslo pro zbytek (/) - jde to nastavit?
"podstci svuj" co? initramdisk? to prave nemuze kdyz mas sifrovanej /boot, ale muze kdyz /boot sifrovanej nemas (staci prebalit initramfs a pridat parradkovej shell skript co odchnytne heslo, ktere pomoci pridaneho mailx odesle a pak pokracuje v odemceni, takze bys nic nepoznal)
kdyz mas sifrovanej /boot, mohl by utocnik jedine vymenit GRUB efi binarku v EFI oddilu (ten musi byt nesifrovanej), resp. v tvem pripade Legacy boot na GPT, nahradit Grub cast v "BIOS boot oddilu", ale je to mnohem vetrsi prace, resp. vyzaduje to mnohem vice znalosti, takze to profiltruje hromadu potencialnich utocniku...
u Legacy Boot si vic nepomuzes, ale pokud bys pouzil UEFI a tva deska by podporova vlastni klice, mohl by si vyhodit vychozi klice, vlozit jen svuj vlastni, tim podepsat EFI binarku (grub efi nebo primo jadro, nebo jinej bootloader ci efi binarku) a pak by nemohl utocnik podvrhnout svuj upravenej "Grub EFI" protoze tvuj stroj by odmitnul startovat cokoliv co bys nepodepsal ty sam...