İki sürücü (SSD / HDD) ile tam disk şifrelemesi kullanarak 18.04'ü nasıl yüklerim

12

Bir dizüstü bilgisayarım var ve TAM DİSK ŞİFRELEME ile yeni bir kurulum yapmak istiyorum. İşletim sistemimin SSD'ye yüklenmesini istiyorum ve kurulumdan sonra ikinci HDD'ye taşıyın.

  • Yükleyiciden kurulum sırasında BOTH sürücüleri tamamen şifrelemesini istemek mümkün müdür?
  • Değilse, işletim sistemini SSD'ye başarılı bir şekilde yükledikten sonra ikinci HDD'yi manuel olarak şifrelemek ve daha sonra ikinci HDD'ye / yuvasına taşımak mümkün müdür? Öyleyse, bunu nasıl yaparım?
  • Önyükleme sırasında her iki sürücünün şifresini çözmek için ONE şifresi kullanmak mümkün müdür? Ben hem sürücüler (encyption işlemek için) ve daha sonra yüklü LÜKS olması gerekir varsayarak doğru olurdu streç iki sürücüler arasında (veya başka bağlantı) bir LVM? Bu benim en emin olduğum / nasıl yapacağım kısmı.

Teşekkürler

partitioning  hard-drive  encryption  ssd 
Andor Öpücüğü
kaynak

Yanıtlar:

11

Ubuntu 18.04 LTS Kurulumunu İKİ Sürücüyle Şifreleme: Birincil SSD'de işletim sistemi, ikincil HDD'nizde ev

Bu, Ubuntu 18.04 LTS kurulumunun TAM DİSK ŞİFRELEME kılavuzudur. Yükleme sırasında bir seçenek olarak kaldırıldığını düşündüğüm sadece / home dizininin şifrelenmesi ile karıştırılmamalıdır . Bu talimatlar Ubuntu 18.04 LTS içindir, ancak 16.04 LTS ile çalışmalıdır.

Bu kılavuz, Ubuntu'ya (Linux) aşina olduğunuzu ve işletim sistemini bir USB anahtarından yükleyebileceğinizi veya en azından bu prosedürün nasıl yapılacağını anlayabildiğini varsayar - yapamıyorsanız, yapabilen birini ve her ikiniz de içinden geçebilirsiniz . Bu kılavuz ayrıca bu yordama başlamadan önce TÜM verilerinizi yedeklediğinizi varsayar; çünkü bu yordam sırasında TÜM sürücülerdeki tüm DATA'ları yok edersiniz.

UYARILDIN!

Bu kılavuz büyük ölçüde buradan iki prosedürün bir sonucudur (David Yates'in blog yazısı) ( https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14- 10-post-install / ) ve Ubuntu'ya Sor postası (Giriş klasörünü ikinci sürücüye taşı ).

İlk önce, bunu neden yapmak istiyoruz? Çünkü bir dizüstü bilgisayarınız veya bilgisayardaki diğer hassas verileriniz varsa ve çalınır veya kaybolursa, verileri koruyabilmeniz gerekir. Verileri korumak yasal olarak sizin sorumluluğunuzda olabilir. İkincisi, birçok (çoğu) sistem şimdi işletim sistemi için küçük bir SSD (hızlı) ve veri için daha büyük HDD (yavaş) ile geliyor. Üçüncü olarak, sadece / home dizinini şifrelemek sizi / home'un saldırıya uğrama potansiyeline maruz bıraktığı için kötü bir fikir olarak kabul edilmektedir (nasıl yapılacağını sorma, yapamadım) VE kısmi şifreleme yavaşlar sistemi büyük ölçüde. FDE daha az ek yük gerektirir ve bu nedenle sistemin performansı üzerinde minimum etkiye sahiptir.

BÖLÜM I: Ubuntu 18.04 LTS'yi birincil sürücüye (genellikle SSD) yükleyin

Ubuntu 18.04 LTS'yi küçük (genellikle SSD) sürücünüze kurun ve (i) diski silmek, (ii) kurulumu şifrelemek ve (iii) LVM yönetimini kontrol etmek.

yükleme seçeneklerinin ekran görüntüsü

Bu şifreli bir SSD ile sonuçlanır, ancak ikinci (genellikle HDD) sürücüye dokunmaz. İkinci sürücünüzün yeni, biçimlendirilmemiş bir sürücü olduğunu varsayıyorum, ancak bu yordamdan önce sürücüde ne olduğu gerçekten önemli değil. Bu sürücüdeki tüm verileri yok edeceğiz. Sürücüyü hazırlamak için Ubuntu içinden bir yazılım paketi kullanacağız (bu hazırlığın kesinlikle gerekli olup olmadığından emin değilim, ancak test ettiğim şey budur). Bunu yakında taşınacak / ana bölümünüze (klasör) hazırlamak için gParted adlı GUI aracını kullanarak biçimlendirmeniz gerekir .

sudo apt install gparted

GParted uygulamasını açın ve ikinci HDD'nize gidin ( / dev / sd? X'i dikkatlice kontrol edin ) ve varolan tüm bölümleri silin, ardından ext4 dosya sistemini kullanarak yeni bir PRIMARY PARTITION oluşturun . Ayrıca etiketleyebilirsiniz, ancak bu gerekli değildir. "Uygula" yı seçin. Bir gParted işlemi tamamlandı, gParted'i kapatın ve şimdi LUKS kapsayıcısını ikinci sürücüye kurup biçimlendirmeye hazırsınız. Aşağıdaki komutlarda, sd? X yerine SECONDARY sürücünüzün adını (birincil sürücünüz değil), örneğin sda1 yazın .

sudo cryptsetup -y -v luksFormat /dev/sd?X

Ardından yeni bölümün şifresini çözmeniz gerekir, böylece onu Ubuntu tarafından tercih edilen modern Linux dosya sistemi ext4 ile biçimlendirebilirsiniz .

sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt

İkinci HDD'nizi normal, sık erişilen bir sabit sürücü olarak kullanmak istiyorsanız ( bölüm II'nin noktası olan / home bölümünüzü ona taşımak gibi ), başlangıçta ikinci sürücünüzü otomatik olarak monte etmenin ve şifresini çözmenin bir yolu vardır, bilgisayarınız birincil sabit sürücü şifre çözme parolasını istediğinde. Bir yana: Batıl inançlarım olduğu ve iki farklı parola ile daha fazla sorun öngördüğünden, sürücülerim için aynı parolayı kullanıyorum.

Öncelikle, ikincil sürücünüz için bir parola görevi gören bir anahtar dosyası oluşturmanız gerekir ve böylece her başlattığınızda (birincil sabit sürücü şifreleme parolanız gibi) yazmanız gerekmez.

sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

Anahtar dosyası oluşturulduktan sonra, nano kullanarak / etc / crypttab dosyasına aşağıdaki satırları ekleyin.

sudo nano /etc/crypttab

Bu satırı ekleyin, dosyayı kaydedin ve kapatın ( / etc / crypttab ).

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard

Bölümünüzün UUID'sinin / etc / crypttab dosyasına girmesini sağlamak için bu komutu kullanın ( tüm bölümlerinizin görünmesi için sudo bunu kullanmanız gerekir ):

sudo blkid

İstediğiniz değer dev / mapper / sd? X_crypt değil , / dev / sd? X'in UUID değeridir . Ayrıca PARTUUID değil de UUID'yi kopyaladığınızdan emin olun.

Tamam, bu noktada (kapalı ve kaydedilmiş / etc / crypttab dosyası), Ubuntu kurulumunuza (birincil sürücü şifre çözme şifrenizi girerek) giriş yapabilmeniz ve hem birincil hem de ikincil sürücülerin şifresini çözmesi gerekir. Bunun olup olmadığını kontrol etmelisiniz aksi halde DUR ; ve sorunları çözün. Bu işe yaramıyorsanız ve / evinizi taşıyorsanız , çalışmayan bir sisteminiz olacaktır.

Yeniden başlatın ve bunun (papatya zinciri şifresinin) gerçekte olup olmadığını kontrol edin. İkincil sürücünün şifresi otomatik olarak çözülürse, “Diğer Konumlar” ı seçtiğinizde ikinci sürücünün listede görünmesi ve üzerinde bir kilit simgesi bulunması gerekir, ancak simgenin kilidi açılmalıdır .

İkinci sürücü otomatik olarak şifresini çözerse (olması gerektiği gibi), ikinci sürücüyü / home klasörünüzün varsayılan konumu (daha fazla alanla) olarak belirleyerek Bölüm II'ye geçin .

Bölüm II: / home bölümünüzü ikincil sürücünüze taşıyın ( örn. HDD)

İkincil sürücü için bir bağlantı noktası oluşturmamız, yeni bölümü (ikincil HDD) geçici olarak monte etmemiz ve buraya / yuvasına taşımamız gerekir:

sudo mkdir /mnt/tmp
sudo mount /dev/mapper/sd?X_crypt /mnt/tmp

/ sd? X / home için yeni bölüm olduğunu varsayarsak (yukarıdaki gibi)

Şimdi / home klasörünüzü birincil sürücüden (SSD) ikincil sürücüye (HDD) yeni / home konumuna kopyalıyoruz .

sudo rsync -avx /home/ /mnt/tmp

Daha sonra yeni bölümü / home olarak

sudo mount /dev/mapper/sd?X_crypt /home

Tüm klasörlerin (veriler) mevcut olduğundan emin olmak için.

ls

Şimdi, ikincil sürücüdeki yeni / ev konumunu kalıcı hale getirmek istiyoruz , taşınan / evinizi otomatik olarak ikincil şifresi çözülmüş HDD'ye monte etmek için fstab girişini düzenlememiz gerekiyor .

sudo nano /etc/fstab

ve sonuna aşağıdaki satırı ekleyin:

/dev/mapper/sd?X_crypt /home ext4 defaults 0 2

Dosyayı kaydedin ve kapatın.

Yeniden Başlatma. Yeniden başlatmanın ardından, / eviniz yeni ikincil sürücüde bulunmalı ve VERİ'niz için yeterli alanınız olmalıdır.

Andor Öpücüğü
kaynak
Her iki sürücüye de yükleme sırasında manuel bölümlendirme yapar ve FDE'yi seçerseniz ne olur?
jarno
Emin değilim, hiç denemedim. Görev açısından kritik bir birimi denemeden önce bir test sisteminde test ederdim.
Andor Kiss
1
Yükleme sırasında manuel bölümleme yapabilirsiniz, ancak bazı hıçkırıklarla karşılaşırsınız. Her şeyden önce, her iki sürücüye de LUKS şifrelemesini manuel olarak ayarlamanız gerekir. Gerekli şifrelenmemiş önyükleme bölümlerini de oluşturduğunuzdan emin olmanız gerekir. Sonra yükleme sonrası sonra ama yeniden başlatmadan önce yeniden, yeniden, chroot, /etc/cryptabdosyayı güncellemek gerekir . Ayrıca initramfs güncellemeniz gerekir. Söz konusu işlemi hiç bir zaman belgelemedim, ancak manuel bölümleme ve 3 sürücü ile kurulum yapıyorum. Güven bana, kurulum sonrası taşıma daha zor değil.
b_laoshi
Bölüm I'de bir sorunum var: Tüm talimatları izlediğimde ve yeniden başlattığımda, üzerinde kilitli bir kilit simgesi olan ikinci sürücüyü görebiliyorum, ancak üzerine tıkladığımda "Konum görüntülenemedi. "8b ... b3" içeriğini görüntülemek için gerekli izinlere sahip olun. " LXDE'de sürücü açılır, ancak bir dizin oluşturmaya çalıştığımda "Dizin oluşturma hatası: İzin reddedildi" yazıyor. Durumu düzeltmek için ne yapabilirim?
Nickolai Leschov
Fstab dosyasındaki UUID'yi kontrol ettiniz ve doğru olduğundan emin misiniz? Ayrıca, anahtar dosyasının izinlerini değiştirdiğinizden de emin olmalısınız.
Andor Kiss
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.