On Sat, 23 May 2020 01:47:12 +0300
Maksim Dmitrichenko <dmitr...@gmail.com> wrote:

> Привет всем!
> 
> На работе подогнали новый лэптоп с SSD. Требованием работодателя
> является работа на полностью шифрованном разделе. Собираюсь ставить
> на него десятый Дебиан. Вопросы:
> 1) Имеет ли смысл на разделе создавать LVM или сразу сделать dm-crypt
> поверх обычного раздела sdaX?
> 2) А что собственно с TRIM? Почитал какой-то flame war, что дескать
> TRIM уменьшает безопасность шифрования. Что, прям так сильно бьет? А
> вообще это реально, чтобы SSD жил долго и счастливо без TRIM?
> 3) Алсо, почитал, что TRIM может выполнять автомагически драйвер FS. А
> может запускаться по расписанию.
> 
> Что посоветуют многоуважаемые доны?
> 

Я еще заморочился с secure boot, чтобы потенциально нельзя было
заинжектить в initramfs или загрузчик malware, который сохранит
вводимый пароль.
Использую вот такую конфигурацию, загрузчик bootd, который грузит
подписанное ядро с инитрамсф прям из efi раздела.
Для автоматизации использую sicherboot.

nvme0n1           259:0    0   477G  0 disk  
├─nvme0n1p1       259:1    0   256M  0 part  /boot/efi
└─nvme0n1p2       259:2    0 476,7G  0 part  
  └─crypt         253:0    0 476,7G  0 crypt 
    ├─vgname-root 253:1    0    16G  0 lvm   [SWAP]


-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: a...@gerasiov.net  WWW: https://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1

Ответить