Как запустить все процессы на каждом ядре ЦП в Ubuntu?

Другой подход к этой конкретной проблеме - использовать TPM для хранения ключа шифрования, но защита зависит от пользователя, чтобы сделать ее эффективной. Рудиментарным решением на базе RHEL7 является tpm-luks (https://github.com/GeisingerBTI/tpm-luks).

Оно работает следующим образом: при загрузке каждый шаг процесса загрузки измеряет следующий и сохраняет эти измерения в PCR на TPM. После завершения процесса загрузки tpm-luks проверяет состояние PCR на соответствие "известной хорошей" конфигурации. Если конфигурация "заведомо хорошая", TPM разблокирует ключ LUKS, и tpm-luks передает эти данные для разблокировки корневого раздела LUKS.

Поскольку все важные данные измеряются с помощью хэша crpytographic, у злой горничной нет возможности заменить ваш GRUB/ядро/ramdisk, чтобы подло забрать вашу парольную фразу FDE. В качестве дополнительного бонуса, вам вообще не нужна парольная фраза FDE! Теоретически, вы можете полностью убрать человекочитаемую парольную фразу и полностью положиться на tpm-luks, но если вы пойдете этим путем, то, вероятно, будет хорошей идеей сохранить ваш LUKS-заголовок и держать его в качестве резервной копии.

Как я уже говорил, это требует некоторого усердия от пользователя. Если вы оставили компьютер без присмотра, и у вас появляется запрос парольной фразы, вероятно, это плохая идея - вводить ее, пока вы не проведете некоторое расследование. В этот момент следует загрузиться в среду live CD и посмотреть, есть ли ошибка в tpm-luks, или раздел /boot действительно был изменен. Вы по-прежнему оставляете раздел /boot незашифрованным, но если что-то важное будет изменено, основной диск никогда не будет расшифрован.