Зашифровать разделы при установке

[alexxnight]

Есть у Вас устройство - диск. Выделите один раздел и зашифруйте его полностью. Затем с помощью LVM Вы можете создать столько томов, сколько нужно отдельных точек монтирования.
Но если у Вас LVM, то нет необходимости в большом количестве томов. Разве что, если Вы хотите какую-то информацию бэкапить с помощью snapshot. Но это отдельная песня...
Поэтому, если микрокод UEFI, то
1. раздел - ESP 128Mb
2. раздел - /boot 1Gb максимум
3. раздел - под шифрование

далее LVM и 2 тома: /root, swap

[Indigo]

Я правильно Вас понял, что установщик не позволяет зашифровать систему с выделенными произвольными разделами в ручном режиме?
Смотрите, у человека есть новый жёсткий диск размером, скажем, 3 ТБ или больше и установочная флешка с Дебианом. Вы предлагаете ему отдать весь диск под систему?

И почему снова и снова всплывает LVM? Зачем он нужен на домашней машине?
https://www.linux.org.ru/forum/admin/5331019

[alexxnight]

Я правильно Вас понял, что установщик не позволяет зашифровать систему с выделенными произвольными разделами в ручном режиме?

Из установщика Вы можете создать необходимое кол-во разделов и зашифровать каждый из них по отдельности...

Смотрите, у человека есть новый жёсткий диск размером, скажем, 3 ТБ или больше и установочная флешка с Дебианом. Вы предлагаете ему отдать весь диск под систему?

Вы можете использовать диск как пожелаете. За исключением того, что таблица разделов там будет однозначно GPT.

И почему снова и снова всплывает LVM? Зачем он нужен на домашней машине?

LVM - Диспетчер логических томов. Эта технология может использоваться где угодно, не только на серверах. Она нужна для удобства и расширения функциональности.
В Вашем случае, это удобство. Не нужно будет при загрузке каждый раз вводить столько паролей, сколько у Вас разделов диска, для того, чтобы расшифровать систему. Достаточно будет один раз ввести пароль и раздел будет расшифрован.

[Indigo]

Из установщика Вы можете создать необходимое кол-во разделов и зашифровать каждый из них по отдельности...

Вы лично пробовали это делать в "девятке"?

[alexxnight]

Вы лично пробовали это делать в "девятке"?

Я делал как написал Вам выше. Разбивать на разделы и шифровать каждый из них по отдельности - это не разумно... Но технически допустимо.
Другими словами, я так не делал, т.к... описал выше.

[Indigo]

Разбивать на разделы и шифровать каждый из них по отдельности - это не разумно... Но технически допустимо.

Так, быть может, разбивать систему на разделы тоже неразумно, но технически допустимо?

[alexxnight]

Это демагогия...

[Indigo]

Это демагогия...

Отнюдь. По-моему, это вполне логичный вопрос.

Если разбивать диск на разделы -- разумно, то почему шифровать их -- уже неразумно?
Вы не находите в этом некоторое противоречие?

[qupl]

Заканчиваем флуд.
Не все что делает один, нужно другому. Продолжаем ближе к сути темы.

[Листик]

Сколько нафлудили...Да можно, как вы хотите. Я, например, при установке зашифровал разделы /,  /home, кажется, еще подкачку. /boot оставил незашифрованным. Но устанавливал более полугода назад, не, если надо, я вспомню, конечно.
Но вот в Mageia при переустановке системы можно было выбрать зашифрованный хомяк и указать, как его снова использовать, в Дебиан такой вариант не прокатит. Намучаетесь после каждый раз пароль вводить. В общем, проще все стереть и заново зашифровать при таком раскладе.   

Кстати, вопрос тем, кто писал, что шифрование не поможет от "сведующих". А почему? Насколько я знаю, у них нет ключей, ведь в линуксе используются средства gpg (они не проходят сертификацию). Приходит дядя - я отключаю комп от сети - пароль не скажу (ст. 51 Конституции РФ). Без электропаяльников только и прочей фантастики.


P.S. Если что, у меня особо секретного нет ничего. Но, во-первых, шифрование полезно при краже компа. Во-вторых, на компе может содержаться конфиденциальная инфа (да те же персональные данные клиентов, например). Какая-нибудь клиентская тайна (допустим, я юрист) и т.д. Не хочу говорить, имею право.

[Indigo]

Сколько нафлудили...Да можно, как вы хотите. Я, например, при установке зашифровал разделы /,  /home, кажется, еще подкачку. /boot оставил незашифрованным. Но устанавливал более полугода назад, не, если надо, я вспомню, конечно.

У меня не ставится последний релиз. Шифрует все разделы (кроме /boot), но в самом конце делает вид, что не видит "корень".

Шифрование остановит и "сведущих", вопрос только, надолго ли. Хотя AES довольно стоек. И это сейчас Вы говорите, что не храните ничего особо секретного. Как только Вы узнаете, что какая-то Ваша личная информация попала в неизвестные руки, Вы сразу осознаете её ценность и сильно пожалеете, что она не оказалась на шифрованном разделе.

[Листик]

Можете попробовать выложить несколько скринов из процесса установки на русском. У меня Stretch. Тома я не настраивал, вроде. Сначала разбивал на разделы, после для каждого выбирал опцию на шифрование - третий пункт в меню, по-моему. Хотя не уверен уже. Нужно посмотреть.

[Indigo]

несколько скринов из процесса установки на русском

С этим проблема: я ставлю систему на английском. Но "скрины" есть, по привычке сделал несколько фоток экрана, на них вроде бы всё правильно. Выложу чуть позже.

Хочу попробовать поставиться из консоли. Читал про нюанс с пробелом в одной из команд, когда может вылезать такая ошибка.

[Листик]

Пункт "физический том для шифрования" выбирать не нужно. Может, в этом у вас ошибка?

[Indigo]

Пункт "физический том для шифрования" выбирать не нужно. Может, в этом у вас ошибка?

Почему не нужно?
https://xo.tc/setting-up-full-disk-encryption-on-debian-jessie.html