Системное шифрование Dm-Crypt с разными ключами для каждого пользователя

Я нашел следующую примерную конфигурацию для системного шифрования:

Пример 5: шифрование параноидальной системы

• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick 

Однако я не нашел никаких подробностей.

Означает ли это, что возможно иметь полное системное шифрование, где каждый пользовательский раздел имеет свою собственную кодовую фразу, например, когда один пользователь входит в систему, он не может читать данные другого пользователя, который не зарегистрирован, поскольку его данные зашифрованы ? (Подобно тому, как это было бы, если бы вы шифровали разные домашние разделы с помощью ecryptfs ).

Так может ли кто-нибудь предоставить некоторые детали, как это работает на практике и как настроить его в системе ubuntu?

Если вы хотите, чтобы каждое пользовательское шифрование, Ubuntu уже предлагает решение для этого, я считаю. Он не использует dm-crypt/luks но ecryptfs или аналогичный, для шифрования каждого домашнего каталога пользователей отдельно, используя зашифрованный слой поверх обычной файловой системы.

Что касается dm-crypt/luks , вам нужно создать отдельный раздел или логический том для каждого пользователя для достижения того же.

Другая возможность заключается в том, что это относится к LUKS, поддерживающим несколько ключей для одного и того же контейнера. Однако это ограничено 8 ключевыми слотами, так что это не очень практично, если только ваше количество пользователей не так мало.

Вы также можете настроить цепочку – дать пользователю ключ, который разблокирует главный ключ, который, в свою очередь, разблокирует контейнер. Я не думаю, что это действительно подходит для управления пользователями, хотя это может быть полезно, если вы хотите предотвратить кражу / потерю USB-накопителя.