Možná jsem slepý, rozhodně se rád nechám vyvést z omylu, ale já tam skutečně nevidím návod, jak "jak zašifrovat kernel image a při startu ji rozbalit do paměti pomocí initramfs". Já vidím pouze návod, jak přidat další šifrovaný oddíl do volume group (LVM), která obsahuje kořenový oddíl.
Sám bych rozhodně uvítal návod, jak zašifrovat i jádro (a nejlépe i initrd), abych nemusel mít nešifrovaný /boot, když je vše ostatní zašifrováno.
Kromě toho, vámi zmíněný pvcrypt není žádný šifrovací systém, jak to ze znění zprávičky vypadá ("zašifrovaný pomocí pvcrypt"), nýbrž název zašifrovaného oddílu, na kterém je vytvořena příslušná volume group.
V kazdem spionaznim filmu agenti prece pracuji v noci. Prijedou neosvetlenym cernym autem, vystoupi v dlouhych kabatech a sirokych kloboucich narazenych do cela, nainstaluji stenice a jedou. Ale pokud chcete, mohli by vam jadro vymenit treba v poledne, az do sebe budete cpat halusky.
izrael je v GMT+2 casovom pasme, takze tam asi nebudu mat noc...
jedine ze by jardo bol v usa, co je vzhladom na uroven jeho odpovede celkom prevdepodobne
Vzhledem k tomu, že diskové šifrování je opatření proti fyzickým útokům na daný stroj, nešifrovaný /boot (s nešifrovanými obrazy jádra) dává případnému útočníkovi s fyzickým přístupem k danému stroji jednu možnost - podvrhnout jádro nebo initrd. Může tak získat klíče k dešifrování oddílů, popřípadě tam rovnou hodí nějaký rootkit, aby se ke stroji mohl dostat vzdáleně. Možností je relativně hodně.
V pripade fyzickeho napadeni je jedno jestli mate sifrovany i kernel. Jednoduse vam nasadi hw keyloger a priste uz ty hesla utocnik vedet bude. Nebo upraveny grub. Nebo upraveny BIOS :-) Muzete si pochopitelne /boot nosit u sebe, treba na flasce, ale porad jakmile pocitate s tim ze to strcite do "upraveneho" pocitace mate problem. Jedine reseni je nosit pocitac stale u sebe :-)
Jenze HW keyloger kazdy nema, zatimco vylepsene jadro muze podstrcit pomalu kazdy trouba. Cili sifrovany /boot urcite zabezpeceni zlepsi, i kdyz proti CIA vam asi nepomuze.