具有无缝用户体验的 Linux 全盘加密是否可以通过 FileVault (macOS) 或 BitLocker (Windows) 实现？

Question

我找到了一些适用于 Linux 操作系统的全盘加密 (FDE) 解决方案。具体来说，我研究了适用于 Linux Mint 或 Ubuntu 的解决方案，因为这是我倾向于使用的。但我确信这个问题也适用于其他发行版。

我正在寻找一种全磁盘解决方案，它可以像在 macOS 上使用 FileVault 一样无缝地提供用户体验。

FileVault 体验如下：

• FileVault 加密整个磁盘。这样做是在安全性的首选项面板中的一键式操作。
• FV 提供了一个预启动环境，可以解锁一个 Mac 等价的可信平台模块（它实际上可能是一个 TPM，但我不认为它是），这是锁定实际执行的密钥的东西磁盘加密
• 登录时，实际上是登录到预引导环境。然后解锁 FV 的密钥。只有这样，操作系统磁盘才会被解锁。
• OS用户密码与FV密码同步；对于最终用户来说，这一切都是无缝的（除了少数用例）

在 Windows 上，BitLocker 使用 TPM 的方式与上述 FileVault 的方式大致相同。

然而，在 Linux 上，即使安装了 TPM 工具，我遇到的每个全盘加密方案都需要除了登录用户名和密码之外的启动密码。

例如，这个（写得很好，很详细）Linux Mint 示例：

https://community.linuxmint.com/tutorial/view/2026

在这个例子中，（顺便说一句，就像一百万个易于操作的 CLI 步骤），FDE 已经完成，但你可以看到用户必须在启动时在 Grub 提示中输入解密密码。

有没有人为 Linux 破解过这个问题？

要求

• 用户体验是用户只输入一次登录名和密码
• 全盘加密（包括启动分区）
• （很高兴）设置很容易，或者至少是 Simple(TM)

Answer 1

您无法加密启动分区，因为您需要从中启动预启动环境。加密启动分区没有任何帮助。

许多标准 Linux 安装（包括 Ubuntu）允许您在启动时选择“全盘加密”，并且不需要 grub 密码作为 GUI 的一部分。它会从 RAM 磁盘加载“预启动”环境，并使用它和 LUKS 来解锁分区。

一旦启动，通常会有第二步以特定用户身份使用密码登录，但是您可以设置自动登录 GUI。当然，如果您离开计算机并将其留在里面，您的系统将是完全开放的。

显然（但我没有测试过），Ubuntu本身支持 TPM 2.0 。（我承认我怀疑这是自动配置的，但我还没有尝试过）