Vlákno názorů k článku Plány pro Ubuntu 18.10: nižší spotřeba, nový vzhled a Chromium jako snap od nobody - sice to resim rucne, ale doufam ze krome...

sice to resim rucne, ale doufam ze krome redesignu instalatoru pridaji par radko "kodu" aby "Sifrovat cely disk" sifrovalo cely disk a ne ze to da oddelenej/nesi­frovanej boot kam hazi vsem potencionalnim lokalnim utocnikum jadro a initramfs... pritom staci pridat parametr "GRUB_ENABLE_CRYP­TODISK=y" a nastavit initramfs odemknuti automaticky aby nebyl uzivatel nucen psal LUKS heslo 2x

Otázkou je, jak je na tom kompatibilita u takového řešení a pokud není aktivován secure boot, tak je pořád možné napadnout grub.

odpovedi je: s kompatibilitou neni problem, distribucni grub luks podporuje, nic jineho poblem s kompatibilitou narazit nemuze, jakmile se odemkne tak je proste odemceno... navic popsane reseni pouzivam uz roky na ruznem hw s ruznejma verzema *buntu...

ano bez Secure Boot a vlastniho UEFI klice lze napadnout "GRUB".efi, nicmene moduly GRUBu uz jsou na LUKS a initramfs a kernel take, tzn. napadnuti je mnohem slozitejsi a pro vetsinu potencionalnich utocniku neresitelne... s tvoji logikou neni potreba sifrovat vubec ;-)

"s tvoji logikou neni potreba sifrovat vubec"

No to je trochu zkratkovité. Osobně používám standardní šifrování z Ubuntu kvůli tomu, aby se moje data nedostala tam kam nemají, když mi někdo stroj ukradne. Takže šifrovat má smysl i když to nezahrnuje kernel. Navíc bez secure boot to je jedno, protože to tvoje "napadnuti je mnohem slozitejsi" je otázka nabootování z flash disku. Navíc nahradit GRUB je poněkud snadnější, než se trefovat do konkrétní verze jádra.

zkratkovite uvazujes ty ;-)

1. kernel je porad komplikovanejsi upravit nez initramfs, ten staci rozbalit a zabalit s keysenderem, to zvladne kde kdo

2. bez secure boot zadne nabootovani z flash disku nepomuze "v mem pripade", pomuze ale naopak v "tvem pripade" protoze nemas sifrovanej boot a z USB Flash ti tam takto nekdo podstrci ten upravenej initramfs

3. neni treba se trefovat do konkretni verze jadra, uprava (tveho nesifrovaneho) initramfs je snadnejsi, treba "vlozim svoji USB Flash do tveho NB, po nastartovani si automaticky pripoji (tvuj nesifrovanej) boot, rozbali automaticky vsechny stavajici initramfs, prida do nich 1 binarku a 1 radek do stavajiciho scriptu pro odemknuti LUKS, zabali initramfs, vypne"

4. Nahradit GRUB celek nejde kdyz je vetsina GRUBu na sifrovanem boot (coz neni tvuj pripad), to o cem sem mluvil je upravy zdrojaku GRUBu aby bootx64.efi obsahoval keysender, to vyzaduje znalosti nasobne vyssi nez upravy initramfs, navic s timto upravenym bootx64.efi se MUSIS strefit do verze GRUB moduly na sifrovanem boot (coz neni tvuj pripad)