Linux 系统下/boot 分区能加密吗？

加密了 grub 怎么引导

需要硬件支持(例如 tpm)

可以，但是限制比较多，参考 https://wiki.archlinux.org/index.php/GRUB#Encrypted_/boot
不知道你为啥要这么做，折腾玩么

https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html

调查了一下还是可以的，就是每次引导的时候输入密码或者提供密钥

@chinvo 没有 tpm 支持的话还是有风险，输入的密码可能会被恶意程序记录下来

@felix021 #5

因为从来没有过这种需求, 所以我一开始凭直觉说了个错误答案, 调查了一下发现确实是可以的

不过就像你说的, 没有硬件设备 (TPM/RoT), 不能确保可靠性

如果要确保引导和系统可信, 可以考虑 RoT 解决方案或者游戏主机的方案

RoT 就不多介绍了, 游戏主机则是从 boot0 开始定制, 每一层都对下一层做签名检查和加解密

对应到 PC 上就是相当于开启 Secure Boot 然后只信任自己的根证书

@chinvo 我 windows 一直在用，bitlocker 加密所有磁盘分区，但因为台式机没有 tpm，启动分区只能不加密，也是开机输密码

所有没硬件加密的。直接挂硬盘。

顺便问问，linux 对根文件系统加密的常用方案？

@felix021 bitlocker 不会加密 EFI 分区的吧

@march1993 如果机器有 TPM 就会加密
https://www.howtogeek.com/237232/what-is-a-tpm-and-why-does-windows-need-one-for-disk-encryption/

@felix021 没看到有说加密 efi 啊

@march1993 你找点材料看看吧，想清楚背后的原理就不会这么问了

@felix021 我自己就在用 BitLocker+TPM 全盘加密，没见得 EFI 分区有被覆盖到，麻烦你给出具体的参考链接

@felix021 #12 巨硬的全盘加密不包含“系统区”（巨硬喜欢把负责引导工作的分区称为“系统分区”，而把操作系统本身所在的分区反而称作“引导分区”）。
反正他们就这么设计的。

@march1993 我搜了下，是我想当然了，bitlocker 是用 tpm 来校验 EFI 分区没被改动，所以不需要加密 EFI
@ungrown 你这个说法和我在磁盘管理器里看到的不一样，引导分区（带“启动”字样）是 sector 0 有 55AA 结尾的那个分区，系统分区是 OS 安装的那个分区。

@ungrown #16
微软的文档，尤其是关于引导、镜像、恢复等等主题的文档里，把引导分区称为“系统分区”（我估计这里的“系统”指的是“引导系统”），把操作系统分区称为“引导分区”（我估计是指“被引导”）。

@felix021 #17 微软的文档，尤其是关于引导、镜像、恢复等等主题的文档里，把引导分区称为“系统分区”（我估计这里的“系统”指的是“引导系统”），把操作系统分区称为“引导分区”（我估计是指“被引导”）。

@felix021 #17 我用的译文词眼有点不合适，应该是：
引导分区 -> 系统分区 system partitoin
操作系统分区 -> 启动分区 boot partition
这是微软的讲法