Linux 系统下/boot 分区能加密吗？

• 資深大佬 : chinvo

  加密了 grub 怎么引导

• 資深大佬 : felix021

  需要硬件支持(例如 tpm)

• 資深大佬 : vk42

  可以，但是限制比较多，参考 https://wiki.archlinux.org/index.php/GRUB#Encrypted_/boot
  不知道你为啥要这么做，折腾玩么

• 資深大佬 : chinvo

  https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html

  调查了一下还是可以的，就是每次引导的时候输入密码或者提供密钥

• 資深大佬 : felix021

  @chinvo 没有 tpm 支持的话还是有风险，输入的密码可能会被恶意程序记录下来

• 資深大佬 : chinvo

  @felix021 #5

  因为从来没有过这种需求, 所以我一开始凭直觉说了个错误答案, 调查了一下发现确实是可以的

  不过就像你说的, 没有硬件设备 (TPM/RoT), 不能确保可靠性

• 資深大佬 : chinvo

  如果要确保引导和系统可信, 可以考虑 RoT 解决方案或者游戏主机的方案

  RoT 就不多介绍了, 游戏主机则是从 boot0 开始定制, 每一层都对下一层做签名检查和加解密

  对应到 PC 上就是相当于开启 Secure Boot 然后只信任自己的根证书

• 資深大佬 : felix021

  @chinvo 我 windows 一直在用，bitlocker 加密所有磁盘分区，但因为台式机没有 tpm，启动分区只能不加密，也是开机输密码

• 資深大佬 : sampeng

  所有没硬件加密的。直接挂硬盘。

• 資深大佬 : hanguofu

  顺便问问，linux 对根文件系统加密的常用方案？

• 資深大佬 : march1993

  @felix021 bitlocker 不会加密 EFI 分区的吧

• 資深大佬 : felix021

  @march1993 如果机器有 TPM 就会加密
  https://www.howtogeek.com/237232/what-is-a-tpm-and-why-does-windows-need-one-for-disk-encryption/