我试过把 /boot 分区放在加密卷里，但失败了。

加密了 grub 怎么引导

需要硬件支持(例如 tpm)

可以，但是限制比较多，参考 https://wiki.archlinux.org/index.php/GRUB/>不知道你为啥要这么做，折腾玩么

https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html
调查了一下还是可以的，就是每次引导的时候输入密码或者提供密钥

没有 tpm 支持的话还是有风险，输入的密码可能会被恶意程序记录下来

所以我一开始凭直觉说了个错误答案, 调查了一下发现确实是可以的
不过就像你说的, 没有硬件设备 (TPM/RoT), 不能确保可靠性

如果要确保引导和系统可信, 可以考虑 RoT 解决方案或者游戏主机的方案
RoT 就不多介绍了, 游戏主机则是从 boot0 开始定制, 每一层都对下一层做签名检查和加解密
对应到 PC 上就是相当于开启 Secure Boot 然后只信任自己的根证书

我 windows 一直在用，bitlocker 加密所有磁盘分区，但因为台式机没有 tpm，启动分区只能不加密，也是开机输密码

所有没硬件加密的。直接挂硬盘。

顺便问问，linux 对根文件系统加密的常用方案？

bitlocker 不会加密 EFI 分区的吧

如果机器有 TPM 就会加密
https://www.howtogeek.com/237232/what-is-a-tpm-and-why-does-windows-need-one-for-disk-encryption/

没看到有说加密 efi 啊

你找点材料看看吧，想清楚背后的原理就不会这么问了

我自己就在用 BitLocker+TPM 全盘加密，没见得 EFI 分区有被覆盖到，麻烦你给出具体的参考链接

巨硬的全盘加密不包含“系统区”（巨硬喜欢把负责引导工作的分区称为“系统分区”，而把操作系统本身所在的分区反而称作“引导分区”）。
反正他们就这么设计的。

我搜了下，是我想当然了，bitlocker 是用 tpm 来校验 EFI 分区没被改动，所以不需要加密 EFI
你这个说法和我在磁盘管理器里看到的不一样，引导分区（带“启动”字样）是 sector 0 有 55AA 结尾的那个分区，系统分区是 OS 安装的那个分区。


微软的文档，尤其是关于引导、镜像、恢复等等主题的文档里，把引导分区称为“系统分区”（我估计这里的“系统”指的是“引导系统”），把操作系统分区称为“引导分区”（我估计是指“被引导”）。

微软的文档，尤其是关于引导、镜像、恢复等等主题的文档里，把引导分区称为“系统分区”（我估计这里的“系统”指的是“引导系统”），把操作系统分区称为“引导分区”（我估计是指“被引导”）。

我用的译文词眼有点不合适，应该是：
引导分区 -> 系统分区 system partitoin
操作系统分区 -> 启动分区 boot partition
这是微软的讲法