Attualmente sul portatile ho installato kde neon e l'hd e' completamente criptato come da installazione assistita.
Mi chiedo se sia possibile avere un sistema multiboot su un hd sempre completamente criptato. Per la precisione mi piacerebbe avere 3 cosiddette partizioni contenenti debian, neon ed i dati in comune ai due sistemi.
Che dite, si puo' fare?

alla fine cripti le partizioni che vuoi. installi debian e neon criptando la loro / e lo stesso fai per la partizione dati, la cripti e per accedere inserirai la password.
usa lo stesso metodo per criptare tutte e tre e sei a posto.

Ok grazie, in linea di principio sembra semplice ;)

beh si, dovrebbe essere semplice a patto di non fare casino con i metodi di cifratura :D
se non sbaglio, quando vai a cifrare la partizione te la formatta, quindi occhio

Come volevasi dimostrare la procedura e' un po' piu' complicata del previsto.
Tramite l'installer di debian sono arrivato al punto in cui devo definire il partizionamento del disco, al momento la situazione e' la seguente:

sda
n 1 primaria 5.0GB - swap
n 1 primaria 50.0GB - crypto - /root (debian)
n 1 primaria 50.0GB - crypto - non usata (in futuro neon)
n 1 logica 200.0GB - crypto - non usata (in futuro per i dati)

Al momento l'installer si lamenta di due cose:
1- devo creare una partizione /boot separata e non criptata per debian
2- lo spazio di swap dev'essere criptato

Mi chiedo quindi se devo creare oltreche' una partizione /boot per debian anche una per neon oppure se le due installazioni possono condividere la stessa partizione di boot.
E per lo swap lo cripto come farei per una partizione normale di dati? :confused:

Se la partizione di boot non è criptata, di solito si può condividere tra due distribuzioni.
Ovviamente, quando installi la seconda distribuzione, devi associare il mount point /boot alla partizione ed evitare che venga formattata.

Ok, cercando piu' approfonditamente in rete mi sono imbattuto in questo tutorial (https://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive) che potrebbe proprio fare al caso mio.
Da quel che leggo la situazione e' decisamente piu' complicata del previsto, infatti dovrei creare due partizioni non criptate per i rispettivi /boot di neon e debian e poi creare una partizione criptata all'interno della quale ricavare tre volumi logici che saranno le root di neon, debian e la partizione di dati.

Vediamo un po' se ne esco vivo :D

Ok, cercando piu' approfonditamente in rete mi sono imbattuto in questo tutorial (https://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive) che potrebbe proprio fare al caso mio.
Da quel che leggo la situazione e' decisamente piu' complicata del previsto, infatti dovrei creare due partizioni non criptate per i rispettivi /boot di neon e debian e poi creare una partizione criptata all'interno della quale ricavare tre volumi logici che saranno le root di neon, debian e la partizione di dati.

Vediamo un po' se ne esco vivo :D

Ma il sistema è UEFI o BIOS? Nel primo la configurazione sarebbe semplificata dal fatto che le entry per i due sistemi operativi si specificano nelle varie di boot UEFI.

Comunque sia la questione è la seguente:

1. grub non supporta il boot diretto da volumi cifrati, per cui il file del kernel ( vmlinuz ) e quell'initramfs devono essere su partizioni non cifrate. Se le distro utilizzassero una nomenclatura migliore, si potrebbe avere una singola partizione di boot non cifrata, con dentro kernel+initramfs per ognuno dei sistemi. Siccome così non è, sei costretto ad avere N partizioni di boot non cifrate.

2. Occorrono N partizioni di root cifrate, quelle dove andranno tutti i file di ognuna delle distribuzioni installate.

Si possono applicare due schemi, ovvero LVM on LUKS o LUKS on LVM. La differenza è che nel primo caso ha il disco diviso in volumi LVM, su ognuno dei quali applichi la cifratura. Nel secondo caso hai l'hard disk cifrato, al cui interno crei i volumi LVM.

Il secondo caso richiede che le partizioni di boot siano a parte, cioè fuori dal volume LUKS. Nel primo caso puoi invece creare tanti volumi logici LVM, contenenti sia le partizioni boot che quelle root, a cui dare nomi univoci, per cui diventa possibile ficcare più distro nello stesso volume group LVM.

Chiaramente puoi benissimo non usare LVM e limitarti ad usare solo LUKS. Solo che poi organizzare N partizioni di boot + N partizioni di root diventa prono ad errori ( giocare con gli UUID fa commettere facilmente errori di configurazione ).

Per approfondire, visto che comunque bisogna capire bene come funziona la cosa, ti consiglio di guardare qui

https://wiki.archlinux.org/index.php/LVM
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system

Grazie pabloski, effettivamente adesso mi e' piu' chiaro il procedimento e nel tutorial che ho riportato mi sembra di capire che abbiano scelto l'approccio LUKS on LVM.

In linea di principio pero' mi sembra piu' "pulito" come approccio il sistema LVM on LUKS, che ne dite?

Grazie pabloski, effettivamente adesso mi e' piu' chiaro il procedimento e nel tutorial che ho riportato mi sembra di capire che abbiano scelto l'approccio LUKS on LVM.

In linea di principio pero' mi sembra piu' "pulito" come approccio il sistema LVM on LUKS, che ne dite?

Dipende da cosa vuoi fare. LVM on LUKS significa che prendi l'hard disk, lo cripti e sul volume criptato ci ricavi le partizioni LVM. Una boot non ce la puoi mettere lì dentro, perchè boot non può essere criptata.

Con LUKS on LVM, invece, ogni volume LVM può essere criptato o meno. E quindi nello stesso gruppo LVM possono andarci tutti i volumi ( boot, root, ecc... ).