>1. Правильно ли я понял, что в случае с Ubuntu абсолютно не важно - включен ли SecureBoot или выключен? В статье пишут, что он все-равно не работает как надо. И вообще из статьи я понял, что SecureBoot - это скорее вирус или бэкдор от Микрософт. Насколько я знаю, последние Ubuntu полноценно работают с Secure Boot. Именно полноценно — вы не сможете по умолчанию загрузить модули ядра, не подписанные каким-то ключом из db Secure Boot. Нет, Secure Boot не вирус и не бекдор. По-хорошему, продвинутые пользователи должны сгенерировать и добавить свои ключи в db Secure Boot, и опционально отозвать ключи Microsoft (в Secure Boot от MS два типа ключей — два Windows и для всего остального, вторые используются в том числе и для линуксовых загрузчиков; отзывать нужно первый), если не планируете пользоваться Windows.
Более подробно тут: https://habrahabr.ru/post/273497/
>2. Стоит ли включать LVM-шифрование простым пользователям? Если совсем вкратце - от каких именно проблем с безопасностью это защитит?
Вы, вероятно, имели ввиду LUKS, а не LVM. Оно защитит вас от компрометации данных, если ваш ноутбук, например, украдут, или кто-то получит к нему доступ на ограниченное время, пока он выключен, с целью копирования данных.
>3. Почему в Ubuntu не сделают полное шифрование, включая /boot раздел? В чем проблема? Они не знают об этой проблеме? Или это баг?
>4. НЕшифрованный /boot раздел - это сильно плохо для безопасности простого юзера? Кто потенциальный атакующий и как он может этим воспользоваться (и вообще проверить, что /boot незашифрован)?
Это и есть полное шифрование, это не баг. У вас должно быть что-то незашифрованное, чтобы система запустилась. Если мы говорим о UEFI, то там есть незашифрованный ESP-раздел, на котором, с большой вероятностью, находится загрузчик, а может быть и ядро, и initramfs. Можно, конечно, настроить GRUB2 таким образом, что он будет сначала расшифровывать ядро и initramfs, а потом их загружать.
От этой проблемы нужно пытаться избавляться в том случае, если кто-то охотится за вашими данными. Злоумышленник не сможет получить ваших данных, если получит доступ к выключенному компьютеру, но он может подменить вам загрузчик, ядро или initramfs, добавив в него функциональность сохранения вашего пароля, и когда он получит доступ к компьютеру _второй_ раз, то сможет расшифровать ваши данные.
К слову, Secure Boot как таковой не имеет никакой защиты против человека _за_ компьютером, он был создан для того, чтобы избежать подмены загрузчика (установки буткита) извне, когда злоумышленник не имеет физического доступа к компьютеру, но имеет полный удаленный доступ. Однако, как правило, пароль на UEFI Setup является хорошей мерой защиты, его, как правило, так просто не сбросить.
Более простым с точки зрения настройки, но не использования, способом, является вынос загрузчика, ядра и initramfs на отдельную USB-флешку, которую вы будете вставлять при загрузке компьютера. Хоть и технологически эти подходы совершенно разные, результат они приносят примерно одинаковый.
Если вас всерьез волнует эта тема, то вам нужно смотреть в сторону доверенной загрузки (Trusted Boot) — если Secure Boot сделан для ограничения выполнения подмененного (неподписанного) кода, то Trusted Boot просто не расшифрует данные, если что-то подменили в процессе загрузки. Планирую написать статью на эту тему, если интересно.
P.S. опоздал с ответом, аноним вам то же самое рассказал, но другими словами.
