On Sat, 23 May 2020 01:47:12 +0300 Maksim Dmitrichenko <dmitr...@gmail.com> wrote:
> Привет всем! > > На работе подогнали новый лэптоп с SSD. Требованием работодателя > является работа на полностью шифрованном разделе. Собираюсь ставить > на него десятый Дебиан. Вопросы: > 1) Имеет ли смысл на разделе создавать LVM или сразу сделать dm-crypt > поверх обычного раздела sdaX? > 2) А что собственно с TRIM? Почитал какой-то flame war, что дескать > TRIM уменьшает безопасность шифрования. Что, прям так сильно бьет? А > вообще это реально, чтобы SSD жил долго и счастливо без TRIM? > 3) Алсо, почитал, что TRIM может выполнять автомагически драйвер FS. А > может запускаться по расписанию. > > Что посоветуют многоуважаемые доны? > Я еще заморочился с secure boot, чтобы потенциально нельзя было заинжектить в initramfs или загрузчик malware, который сохранит вводимый пароль. Использую вот такую конфигурацию, загрузчик bootd, который грузит подписанное ядро с инитрамсф прям из efi раздела. Для автоматизации использую sicherboot. nvme0n1 259:0 0 477G 0 disk ├─nvme0n1p1 259:1 0 256M 0 part /boot/efi └─nvme0n1p2 259:2 0 476,7G 0 part └─crypt 253:0 0 476,7G 0 crypt ├─vgname-root 253:1 0 16G 0 lvm [SWAP] -- Best regards, Alexander Gerasiov Contacts: e-mail: a...@gerasiov.net WWW: https://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1