schard Wenn du den Kernel mittels EFISTUB direkt vom EFI laden lässt, musst du die EFI-Partition nach /boot mounten.
Bist du sicher? Es würde doch reichen, wenn man die benötigten Dateien auf die ESP kopiert und /boot auf der Partition mit dem Wurzelverzeichnis belässt, oder nicht?
schard Eine Vollverschlüsselung im engsten Sinne ist mit EFI allerdings nicht möglich, da das System immer eine unverschlüsselte EFI-Partition haben muss, auf der das EFI nach einem Loader suchen kann.
Eine Vollverschlüsselung im engsten Sinne ist nicht möglich, weil die Firmware einen verschlüsselten Bootloader nicht entschlüsseln kann.
Einen Bootloader zu verschlüsseln, ist auch ziemlich unnötig, da er praktisch keine schützenswerten Daten enthält (Verschlüsselung dient primär dem Schutzziel Vertraulichkeit).
Um Manipulationen am Bootloader zu entdecken, gäbe es Secure Boot.
schard Ob auf dieser jetzt noch Kernel und Initramfs liegen ist dabei aus der Sicherheitsperspektive irrelevant, da der dort befindliche EFI-Loader so wie so ohne Umgehung der Systemverschlüsselung manipuliert werden kann.
Falsch. Wenn man nur den Bootloader manipulieren kann, ist der Angriffsvektor deutlich kleiner als wenn man den Bootloader, Konfigurationen, initrd und Kernel manipulieren kann.
schard Gegen eine solche Manipulation hilft einzig und allein Secure Boot in Kombination mit einem TPM.
TPM ist empfehlenswert, aber keine notwendige Komponente für einen funktionierenden Secure Boot.
Aber da Arch Linux keine Kernel und Bootloader signiert, ist Secure Boot für Arch Linux Nutzer praktisch nutzlos oder nur mit grossem Aufwand so realisierbar, dass Secure Boot tatsächlich etwas nützt.
Einfach blind drauflos signieren wäre dann ein "Signed Boot" und kein "Secure Boot" mehr.
bubba In der Anleitung für Einsteiger steht
Die Anleitung für Einsteiger ist genau dies: Eine Anleitung für Einsteiger, die viele Dinge vereinfacht. Die Vereinfachung macht es Einsteigern leichter. Sie ist aber nicht dazu geeignet, sich in die Materie tiefer einzuarbeiten.
bubba Also wäre es eigentlich egal wo ich das einbinde, hauptsache es wird natürlich eingebunden?
Im Prinzip ist es egal, wohin du die ESP einbindest. In der Praxis hat sich /boot/efi als traditioneller Einhängepunkt durchgesetzt. Der Einhängepunkt /efi macht aus logischer Sicht am meisten Sinn und /boot sehe ich praktisch nur im Arch Linux Umfeld und bei systemd-boot.
Nur der Vollständigkeit halber: Die ESP muss nur dann eingebunden sein, wenn auf der ESP der Bootloader installiert oder aktualisiert wird. Die ESP ist für Arch Linux eigentlich nicht relevant. Bei meinen unverschlüsselten Arch Installationen habe ich in Arch Linux keinen Bootloader installiert und auch die ESP nicht eingebunden. Ich lasse Arch dann immer vom Grub eines anderen Linux starten.
bubba Könnte das auch nach /mnt/XYZ einbinden?
Ja, könntest du. Aber dann musst du dich selbst fragen, warum das sinnvoll sein sollte. Und bei Problemen müsstest du hier im Forum jedes Mal erklären, was du dir dabei gedacht hast.
bubba Denke ich halte mich dann einfach an die Anleitung um Probleme zu vermeiden bei der Installation.
Vor vielen Jahren habe ich auch mit der Anleitung für Einsteiger angefangen. Damit solltest du ein funktionierendes System installieren können.