Szyfrowanie systemu - co lepsze?

Witam,
Zwracam się z uprzejmą prośbą do bardziej doświadczonych użytkowników - co lepsze… GRUB2 nie posiada jeszcze opcji współpracy z LUKS2, stąd moje pytanie, która opcja jest “lepsza”

  1. /boot/efi; /boot na niezaszyfrowanych partycjach + / i cała reszta na LUKS2
    czy
  2. /boot/efi niezaszyfrowane, lecz /boot i cała reszta zaszyfrowana na rekomendowanym przez instalator LUKS1
    albo (nie próbowalem jeszcze)
  3. /boot/efi niezaszyfrowane, /boot na LUKS1 i cała reszta na LUKS2?

Jaka jest przepaść między LUKS2 a LUKS1? Czy LUKS1 jest aż tak łatwy do złamania?

Z góry dziękuję za wszystkie odpowiedzi i pozdrawiam :slight_smile:

O coś nowego !
Osobiście nie szyfruje systemu, nie mam takiej potrzeby. A odnośnie Twojego systemu, powinieneś zadać sobie pytanie czy Twój system jest w jakiś sposób systemem produkcyjnym, bo jeśli tak to nie eksperymentowałbym. LUKS2 jest z tego co wyczytałem rozwinięciem poprzedniej wersji, charakteryzuje się elastyczniejszym sposobem przechowywania metadanych przechowywanych kluczy. Nie ma tu mowy o trudniejszym złamaniu nowej wersji. Bardziej chodzi o bezawaryjność, choć ten Argon2i … I jako że grub2 jak piszesz nie obsługuje LUKS2, bezcelowe jest moim zdaniem szyfrowanie partycji /boot nową wersją. Pisze to na podstawie moich poprzednich doświadczeń z sposobem formatowania partycji systemem plików XFS. Myślę że w tym przypadku jest podobnie. Nie jestem znawcą w tej materii, próbuję jedynie naświetlić Tobie pewne kwestie. Opcja 2 lub 3 może okazać się najbezpieczniejsza dla twoich danych. Tylko musisz mieć na uwadze że LUKS2 i Argon2i wymagają mnóstwo pamięci, zdecydowanie więcej niż LUKS1!
Powodzenia !

Nie wiem, czy zrozmiałem ten wariiant, więc u mnie jest tak:

/dev/sda1 System EFI /boot/efi
/dev/sda2  ext2 /boot 
/dev/sda3 luks2

Dziękuję Wam za pomoc :slight_smile:
Obecnie postawiłem na takie rozwiązanie - cr_root - LUKS1, cr_home - LUKS2

sudo lsblk
NAME        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
sda           8:0    0 476,9G  0 disk  
├─sda1        8:1    0   512M  0 part  /boot/efi
├─sda2        8:2    0    45G  0 part  
│ └─cr_root 254:0    0    45G  0 crypt /var
│                                      /usr/local
│                                      /srv
│                                      /root
│                                      /boot/grub2/x86_64-efi
│                                      /opt
│                                      /boot/grub2/i386-pc
│                                      /.snapshots
│                                      /
└─sda3        8:3    0 431,4G  0 part  
  └─cr_home 254:1    0 431,4G  0 crypt /home/arek/Archiwizacje/AP17L
                                       /home/arek/Wirtualizacja
                                       /home/arek/Publiczny
                                       /home/arek/Pobrane
                                       /home/arek/Archiwizacje
                                       /home/arek/.wine
                                       /home/arek/.var
                                       /home/arek/.local/share/gnome-boxes/images
                                       /home/arek
                                       /home
sr0          11:0    1  1024M  0 rom   
zram0       253:0    0   3,6G  0 disk  [SWAP]
zram1       253:1    0   3,6G  0 disk  [SWAP]


Jak to wygląda dokładniej? - czytałem, że hasło LUKS1 jest o wiele łatwiejsze do złamania od LUKS2 :expressionless: Na ten moment będę chciał odszyfrowywać partycje z kluczy na zewnętrznym nośniku, ale do tego potrzebna mi będzie VM’ka, nie będę testował na “żywym organiźmie” :smiley:
Testy przeprowadzam na laptopie, zabezpieczam się tylko w przypadku np. kradzieży.
Pozdrawiam i miłego weekendu życzę :slight_smile:

@noiselessmusicman, powiedz, proszę, co tracisz mając niezaszyfrowaną jedynie partycję boot?

Bo w tej chwili wyszło, że /tmp i /var masz na partycji z luks1.

Yyy, z tego, co wiem, /boot jest szyfrowana LUKS1 :wink:
Tak, system / na LUKS1 :wink:
Z tego, co czytałem, na takiej partycji można umieścić programik, który deszyfruje :wink:
Dodatkowo, przy takim szyfrowaniu, nie widać rozkładu partycji podobno …
Pozdrawiam :slight_smile:

To w takim razie, czemu nie dałeś wyłącznie partycji dla /boot na luks1, a reszty dla luks2 włączając w to /tmp i /var?

Nie było takiej potrzeby :slight_smile:
Kierowałem się instalatorem…
Tam, akurat żadnych danych nie mam, no chyba,że się mylę :slight_smile:
Aaa, i /tmp mam na tmpfs :slight_smile:
Pozdrawiam serdecznie :slight_smile: