Çift önyüklemeli LUKS ile şifrelenmiş Ubuntu'yu nasıl kurabilirim?


73

Ubuntu 13.04 kurulum diski, LUKS kullanılarak şifrelenmiş Ubuntu kurulum seçeneğine sahiptir. Bununla birlikte, çift önyükleme senaryosu için şifrelenmiş bir kurulum boyunca varolan bölümleri gerçekleştirme seçeneği yoktur.

Ubuntu'yu başka bir bölümün yanında şifreli olarak canlı diskten nasıl yükleyebilirim?


Cryptroot betiğine bakıldığında, reddedilen düzenleme aslında doğrudur. Conf.d / cryptroot içindeki her satır, başka bir cryptopts argümanının yaptığı gibi aynı şekilde ele alınır. Yükleyiciyi şifresi çözülmüş bölüm bir cilt grubu olmadan kullanmak mümkün müdür? Denedim ve bölümlemeden kullanmama izin vermiyor gibi görünüyor. Benim durumumda 3 bölümlü bir SSD var: Linux / boot, Linux /, Windows, takas ve / / ev HDD'lerde. Sanırım canlı CD'den debootstrap kullanmak olan orijinal fikrimle kalmak zorunda kalacağım.

Faydalı rehber: " Şifreli Ubuntu Kurulumu Nasıl Kurulur ? ", Gayan tarafından HecticGeek.com'da - hecticgeek.com/2012/10/…
Gabriel Staples

Yanıtlar:


88

Öncelikle, bir sabit diske şifrelenmiş Ubuntu kurmak, mevcut bölümleri ve işletim sistemlerini değiştirmek istiyorsanız, bunu doğrudan grafiksel yükleyiciden yapabilirsiniz. Bu manuel işlem sadece çift önyükleme için gereklidir.

Bu cevap Ubuntu 13.04 ile test edilmiştir.

  1. Bir Ubuntu canlı DVD veya USB çubuğundan önyükleme yapın ve "Ubuntu'yu Dene" yi seçin.

  2. Canlı diskte bulunan GParted'i kullanarak iki bölüm oluşturun. İlk bölüm biçimlendirilmemeli ve kök ve takas için yeterince büyük olmalıdır, benim örneğimde bu böyle /dev/sda3. İkinci bölüm ext2 veya ext3'te birkaç yüz megabayt büyük ve biçimlendirilmiş olmalı, şifrelenmemiş ve /bootbunlara eklenecektir (benim örneğimde bu /dev/sda4).

    Bu ekran görüntüsünde, iki bölüm halinde şifrelenmemiş bir Ubuntu kurulumum var: /dev/sda1ve /dev/sda5, soldaki daireyi vurgulayın. Şifrelenmiş bir Ubuntu kurulumuna yönelik biçimlendirilmiş bir bölüm /dev/sda3ve ext3 bölümlerinde /dev/sda4sağdaki daireye vurgulanmış olarak oluşturdum:

    GParted ekran görüntüsü

  3. Bu komutları kullanarak bir LUKS kabı oluşturun. Değiştir /dev/sda3önce oluşturduğunuz biçimlendirilmemiş bölümü ile ve cryptcherriesseçtiğiniz bir isimle.

    sudo cryptsetup luksFormat /dev/sda3
    sudo cryptsetup luksOpen /dev/sda3 cryptcherries
    
  4. Uyarı : luksFormatTemel blok cihazını güvenli bir şekilde silmemesi nedeniyle adımın çok hızlı bir şekilde tamamlandığını fark edeceksiniz . Sadece farklı türde adli saldırılara karşı güvenlik denemeniz ve güvenlikle ilgilenmemeniz durumunda, içinde dosya sistemleri oluşturmadan önce yeni LUKS kapsayıcısını doğru şekilde başlatmak önemlidir. Eşlenen kabın üzerine sıfır yazmak, altta yatan blok aygıtına güçlü rasgele verilerin yazılmasına neden olacaktır. Bu biraz zaman alabilir, bu yüzden pvilerlemeyi izlemek için komutu kullanmak en iyisidir :

    ### Only for older releases, e.g. not for 19.04, `pv` is not included in the repo must be added first
    # sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
    # sudo apt-get update
    
    sudo apt-get install -y pv
    sudo sh -c 'exec pv -tprebB 16m /dev/zero >"$1"' _ /dev/mapper/cryptcherries
    

    veya çevrimdışı bir yükleme yapıyorsanız ve kolayca alamıyorsanız pv:

    sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16M
    
  5. Monte edilmiş LUKS kabının içinde bir LVM fiziksel hacmi, bir hacim grubu ve iki mantıksal birim oluşturun. İlk mantıksal hacim atılacak /ve ikincisi takas olarak kullanılacaktır. vgcherrieshacim grubunun adıdır ve lvcherriesrootve lvcherriesswapmantıksal birimler isimlerini olan, kendi seçebilir.

    sudo pvcreate /dev/mapper/cryptcherries
    sudo vgcreate vgcherries /dev/mapper/cryptcherries
    sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
    sudo lvcreate -n lvcherriesswap -L 1g vgcherries
    
  6. İki mantıksal birim için dosya sistemleri oluşturun: (Bu adımı doğrudan yükleyiciden de yapabilirsiniz.)

    sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
    sudo mkswap /dev/mapper/vgcherries-lvcherriesswap
    
  7. Yeniden başlatmadan , Ubuntu'yu grafik yükleyiciyi kullanarak yükleyin (kısayol masaüstünde Xubuntu 18.04'te) ve manuel bölümlemeyi seçerek. Atama /için /dev/mapper/vgcherries-lvcherriesrootve /boot(bu örnekte 2. adımda oluşturulan şifrelenmemiş bölüme /dev/sda4).

  8. Grafik yükleyici tamamlandığında, "test etmeye devam et" seçeneğini seçin ve bir terminal açın.

  9. LUKS bölümlerinin UUID'sini bulun ( /dev/sda3bu durumda), daha sonra ihtiyacınız olacak:

    $ sudo blkid /dev/sda3
    /dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"
    
  10. Uygun cihazları uygun yerlere monte edin /mntve içine yerleştirin:

    sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
    sudo mount /dev/sda4 /mnt/boot
    sudo mount --bind /dev /mnt/dev
    sudo chroot /mnt
    > mount -t proc proc /proc
    > mount -t sysfs sys /sys
    > mount -t devpts devpts /dev/pts
    
  11. /etc/crypttabUUID değerini LUKS bölümünün UUID'si vgcherriesve birim grubunun adıyla değiştirerek, bu satırı içermek için chrooted ortamında adlandırılmış bir dosya oluşturun :

    # <target name> <source device> <key file> <options>
    cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherries
    
  12. Chrooted ortamında aşağıdaki komutu çalıştırın:

    update-initramfs -k all -c
    
  13. Yeniden başlatın ve şifreli Ubuntu'ya önyükleyin. Sizden bir şifre sorulmalıdır.

  14. İçin şifreli bölüm kullandığınızı kontrol edin /çalıştırarak mount:

    $ mount
    /dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
    /dev/sda4 on /boot type ext3 (rw)
    # rest of output cut for brevity
    
  15. Bu komutu çalıştırarak şifreli takas bölümünü (başka herhangi bir kurulumdan şifrelenmemiş takas bölümünü değil) kullandığınızı kontrol edin:

    $ swapon -s
    Filename                              Type      Size   Used Priority
    /dev/mapper/vgcherries-lvcherriesswap partition 630780 0    -1
    
  16. Kurtarma moduna geçebildiğinizi kontrol edin, acil bir durumda kurtarma modunun çalışmadığını öğrenmek istemezsiniz :)

  17. Ramdisk'i yeniden oluşturma ve grub yapılandırmasını güncelleme olasılığı olan güncellemeleri yükleyin. Hem normal modu hem de kurtarma modunu yeniden başlatın ve test edin.


3
15.04'te 11., 13. ve 14. adımları atlayabileceğinizi ve aslında bu adımları atlamanın gerekebileceğini doğrulayabilirim (bu şekilde güncelleme
grubunu

4
@ process91 Adımları sayıları değiştirmiş gibi görünüyor. Şimdi 12, 14 ve 15 numaralarını atmanız gerekiyor.
Aleksandr Dubinsky

5
Harika bir rehber. Windows 10 için BitLocker ve Ubuntu 16.04 ile ilk kez çalıştı, burada 12, 14 ve 15 numaralı adımları atlayarak. Açıklığa kavuştuğum, özellikle önyükleyici bölümü için seçtiginiz (mevcut bir EFI bölümüne yüklenir, ancak muhtemelen Ubuntu'yu kurduğunuz diski seçebilirsiniz, örn. dev / sda). : Tam editör izinleri olan herkes kopyala-yapıştır benim yazma yukarıya hoşgeldin stevenmaude.co.uk/posts/...
Steven Maude

5
@ unhammer, yanıtı düzenledi ve yorumları okuyan ve kafasını karıştıranlar için birkaç adımı sildi.
Flimm

3
Yazar zaten 12,14,15 eski adımları attı. Bu yüzden herhangi bir adımı atlamayın. Ubuntu Mate ile çalışır 16.04.1.
user4955663

9

Ubuntu LiveCD'nin yalnızca GUI araçlarını kullanarak şifreli bir çift önyükleme kurulumu oluşturmak mümkündür.

Ön şartlar

  • 19.04 Ubuntu Yükleyici ile bir USB Stick.
  • Bir EFI Anakartınız varsa, diskin GUID Partition table (GPT) kullandığından emin olun. Bu yöntemle bir MBR disk kullanmak başarısız görünüyor. Linux araçlarıyla ( gdisk) bir MBR'yi GPT'ye dönüştürebilirsiniz , ancak önce bir yedekleme yapmanız gerekir. Bölüm tablosunu dönüştürürseniz, windows boot yükleyicisini daha sonra onarmanız gerekecektir .

pencereler

  • Başlat çubuğuna yazın disk partitionve ilk seçeneği seçin (disk bölüm yöneticisini ayarlardan açma).

  • Birincil bölümünüzü istediğiniz Ubuntu boyutuna göre küçültün (yalnızca varsayılanı kullandım, 500 GB sürücümü 240 GB Windows işletim sistemine ve 240 GB ayrılmamış alana ayırdım).

BIOS

  • Güvenli önyüklemeyi devre dışı bırak (bitlocker kullanıyorsanız, her seferinde güvenli bir şekilde pencerelere önyüklemesi yapmanız için onu devre dışı bırakmanız gerekir) - bu benim için sorun değil çünkü Ubu benim birincil işletim sistemim, sadece oyun için ön cam kullanın.

Ubuntu LiveCD

Sonunda - 19.04 Yükleyici USB'sine önyükleme yapın

  • Hit Entervarsayılan Ubuntu yükleyin seçeneğini.

  • Tüm diski sil ve bazı onay kutuları olduğunu gösteren ekrana geldiğinizde , Başka bir şey (el ile bölümlendirme) seçeneğini tıklatın . Aksi takdirde, Windows Verilerini kaybedeceksiniz!

Disk bölümü yöneticisi diskinizi yüklediğinde, büyük bir ayrılmamış alanınız olur. Buna tıklayın ve bölümler oluşturmak için Ekle düğmesine basın.

  • İlk önce, 500 MB'lık bir /bootbölüm oluşturun (birincil, ext4).
  • İkincisi, alanın geri kalanı ile şifrelenmiş bir birim oluşturun. Bu, tek bir LV bölümü oluşturacaktır. Seçili kök /bölüm olacak şekilde değiştirin .
  • Sonra yükleme işleminin geri kalanı her zamanki gibi çalışacaktır.

İlk kez başlattığınızda, giriş yapın, bir terminal açın, çalıştırın sudo apt-get updateve sudo apt dist-upgradetekrar başlatın ve yeniden başlatın.

2GB'lik bir takas dosyası otomatik olarak oluşturulur. Bunun yerine 8GB'lık bir tane istiyorsanız, bu cevabı okuyun .


4
Mayıs 2019'da bu, tercih edilen cevaptır (aslında 2012'den beri çalışıyor gibi görünüyor), komut satırı komplikasyonuna gerek yok. Bölümlemede, şifreleme için fiziksel birimi oluşturduktan sonra /dev/mapper/sdaX_crypt listenin en üstünde yenisini görmedim . Bu kılavuz ekran görüntüleri var ve bölüm biçimlendirmesini görselleştiriyor, yardımcı olabilir: hecticgeek.com/2012/10/…
firepol

İyi cevap, @Falieson! Ancak, ilk 14 gün boyunca anlamadım ve 17 saat süren araştırmalara baktım, bu yüzden kendi cevaplarımı ekran görüntüleri ile yazacağım. @Firepol tarafından yayınlanan makale ( hecticgeek.com/2012/10/… ) SÜPER yardımcı oldu ve sadece bu makaleden sonra cevabınız bana bir şey ifade etti.
Gabriel Staples

Ayrıca, bir dahaki sefere Windows Bitlocker'ı kullanmayı ve VeraCrypt'a geçmeyi bırakmanız gerektiğini de eklemek isterim. Ücretsiz ve Açık Kaynaklıdır, ücretsizdir ve çift önyüklemeyle harika görünmektedir. Windows bölümüm, harici sabit disklerimin yanı sıra bazı yerel dosya tabanlı birimleri kullanıyor. İşte VeraCrypt için harika bir tanıtım videosu: youtube.com/watch?v=C25VWAGl7Tw ve indirme sayfaları: veracrypt.fr/tr/Downloads.html . Ancak ext4 harici sürücülerde Linux tabanlı LUKS şifrelemesi için, biçimlendirirken LUKS şifreleme onay kutusu bulunan Ubuntu Disks yardımcı programını kullanıyorum .
Gabriel Staples

5

İlk olarak, neden yalnızca Linux bölümünü şifrelemenizin sizin için yeterince güvenli olamayacağına işaret eder:

  1. https://superuser.com/questions/1013944/encrypted-boot-in-a-luks-lvm-ubuntu-installation
  2. https://security.stackexchange.com/questions/166075/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil-maid-a
  3. https://www.reddit.com/r/linux/comments/6e5qlz/benefits_of_encrypting_the_boot_partition/
  4. https://unix.stackexchange.com/questions/422860/why-should-we-encrypt-the-system-partition-and-not-only-home
  5. https://www.coolgeeks101.com/howto/infrastructure/full-disk-encryption-ubuntu-usb-detached-luks-header/
  6. https://superuser.com/questions/1324389/how-to-avoid-encrypted-boot-partition-password-prompt-in-lvm-arch-linux

Şimdi bu dersi takip ettim:

  1. https://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive
  2. http://web.archive.org/web/20160402040105/http://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive

Bu cevap üzerine, adım adım (resimli) Linux kurulumunu Mint 19.1 XFCEve Ubuntu 18.04.2her ikisi de tek bir diskte tamamen şifrelenmiş olarak sunuyorum. Önce yüklü Ubuntu 14.04.2üzerinde /dev/sda5ve çünkü takas bölümleri yaratmadı Linux Mint 19.1ve Ubuntu 18.04.2yani bunları kullanmayın, bunlar takas dosyaları kullanın.

Ubuntu 18.04.2 Biyonik Kunduz

Önce, Ubuntukurulum ortamını yerleştirin ve makineyi Ubuntucanlı oturuma yeniden başlatın, ardından Try Ubuntubir terminali seçip açın, ardından

  1. sudo su -
  2. fdisk /dev/sda, sonra aşağıdaki bölümleri oluşturun
    • görüntü tanımını buraya girin
  3. cryptsetup luksFormat /dev/sda5
  4. cryptsetup luksOpen /dev/sda5 sda5_crypt
  5. pvcreate /dev/mapper/sda5_crypt
  6. vgcreate vgubuntu /dev/mapper/sda5_crypt
  7. lvcreate -L10G -n ubuntu_root vgubuntu
    • lvcreate -l 100%FREE -n ubuntu_root vgubuntu(isteğe bağlı, lvcreate -L10G -n ubuntu_root vgubuntuçalıştırmak lvcreate -l 100%FREE -n ubuntu_root vgubuntuyerine, yalnızca 10 GB yerine tüm disk boş alanınızı kullanmak için bunu çalıştırabilirsiniz )
    • görüntü tanımını buraya girin
  8. Terminali kapatmayın ve dağıtım kuruluşunu açın, başka bir şey seçin ve
    • /dev/sda1formatlı /bootbölüm olarak monte edilmişext2
    • /dev/mapper/vgubuntu-ubuntu_rootolarak monte edilmiş /olan ext4bir biçimde.
    • /dev/sda önyükleyici yükleme olarak
    • Başka bir şey işaretleme
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
  9. Yeniden başlatmayın, Linux'u Kullanmaya Devam Et'i tıklayın ve açık terminali seçin.
  10. mkdir /mnt/newroot
  11. mount /dev/mapper/vgubuntu-ubuntu_root /mnt/newroot
  12. mount -o bind /proc /mnt/newroot/proc
  13. mount -o bind /dev /mnt/newroot/dev
  14. mount -o bind /dev/pts /mnt/newroot/dev/pts
  15. mount -o bind /sys /mnt/newroot/sys
  16. cd /mnt/newroot
  17. chroot /mnt/newroot
  18. mount /dev/sda1 /boot
  19. blkid /dev/sda5 (UUID'yi tırnak işaretleri olmadan kopyalayın ve bir sonraki adımda kullanın)
  20. echo sda5_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
  21. Dosyayı oluşturun /etc/grub.d/40_custom
    • görüntü tanımını buraya girin
  22. Düzenle /etc/default/grubve ayarla
    • GRUB_TIMEOUT_STYLE=menu
    • GRUB_TIMEOUT=10
    • görüntü tanımını buraya girin
  23. update-initramfs -u
  24. update-grub
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
  25. exit
  26. reboot
  27. Bilgisayarınızı yeniden başlattıktan sonra, seçeneği seçin Ubuntuve doğru şifreleme şifrenizi isteyecektir
    • görüntü tanımını buraya girin
  28. Giriş yaptıktan sonra, koş
    • sudo apt-get update
    • sudo apt-get install gparted
  29. Ve açarak gpartedbu bulacaksınız
    • görüntü tanımını buraya girin

Daha ayrıntılı talimatlar için, bu sorunun başında gösterilen orijinal öğreticiyi okuyun veya bu komutların kullanımı hakkında google'da arama yapın.


Linux Nane 19.1 Tarçın

Kalan Linux kurulumları için rebootsizin Ubuntumakine ile çizme Mint 19.1(Live CD) yükleyici ve bir terminal penceresi açın

  1. sudo su -
  2. cryptsetup luksFormat /dev/sda6
  3. cryptsetup luksOpen /dev/sda6 sda6_crypt
  4. pvcreate /dev/mapper/sda6_crypt
  5. vgcreate vgmint /dev/mapper/sda6_crypt
  6. lvcreate -L10G -n mint_root vgmint
    • lvcreate -l 100%FREE -n mint_root vgmint(isteğe bağlı, lvcreate -L10G -n mint_root vgmintçalıştırmak lvcreate -l 100%FREE -n mint_root vgmintyerine, yalnızca 10 GB yerine tüm disk boş alanını kullanmak için bunu çalıştırabilirsiniz )
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
  7. Terminali kapatmayın ve dağıtım kuruluşunu açın, başka bir şey seçin ve
    • /dev/sda2formatlı /bootbölüm olarak monte edilmişext2
    • /dev/mapper/vgmint-mint_rootolarak monte edilmiş /olan ext4bir biçimde.
    • /dev/sda2önyükleyici yüklemesi olarak ( /dev/sdaönceden olduğu gibi seçmeyin )
    • Başka bir şey işaretleme
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
  8. Yeniden başlatmayın, Linux'u Kullanmaya Devam Et'i tıklayın ve açık terminali seçin.
  9. mkdir /mnt/newroot
  10. mount /dev/mapper/vgmint-mint_root /mnt/newroot
  11. mount -o bind /proc /mnt/newroot/proc
  12. mount -o bind /dev /mnt/newroot/dev
  13. mount -o bind /dev/pts /mnt/newroot/dev/pts
  14. mount -o bind /sys /mnt/newroot/sys
  15. cd /mnt/newroot
  16. chroot /mnt/newroot
  17. mount /dev/sda2 /boot
  18. blkid /dev/sda6 (UUID'yi tırnak işaretleri olmadan kopyalayın ve bir sonraki adımda kullanın)
  19. echo sda6_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
  20. update-initramfs -u
  21. update-grub
    • görüntü tanımını buraya girin
    • görüntü tanımını buraya girin
  22. exit
  23. reboot
  24. Bilgisayarınızı yeniden başlattıktan sonra, seçeneği seçin Linux Mint on /dev/sda2
    • görüntü tanımını buraya girin
  25. Ardından, doğru şekilde başlayacak Mint 19.1ve şifreleme şifresini isteyecektir.
    • görüntü tanımını buraya girin
  26. Giriş yaptıktan sonra, koş
    • sudo apt-get update
    • sudo apt-get install gparted
  27. Ve açarak gpartedbu bulacaksınız
    • görüntü tanımını buraya girin

İlgili Bağlantılar:

  1. Aktif bir LVM bölümünü nasıl yeniden boyutlandırabilirim?
  2. Bir LVM bölümünü nasıl yeniden boyutlandırabilirim? (yani: fiziksel hacim)
  3. https://www.tecmint.com/extend-and-reduce-lvms-in-linux/
  4. Grub zincir yükleyici, Windows 8 ile çalışmıyor
  5. UEFI Şifrelenmiş / Açılışta Açılıyor Ubuntu'da 14.04 LTS

1
Bilgisayarımda 1 adet sabit disk var ve bir tane şifreli olmayan Kubuntu 18.04 vardı. Buna dayanarak ilk şifrelenmemiş Kubuntu'nun yanına ikinci şifreli Kubuntu 18.04'ü yükledim. Şimdi her ikisi de tek bir sabit diskte iyi çalışıyor. Detaylı cevap için teşekkürler.
Ikrom'da

1
Linux Nane ile ilgili bölüm bu cevaptan çıkarılmalıdır. Bu kısmının cevabı gereksiz uzun yapar ve benzeri konu dışı takip sorulara yol açar, konu dışı, OP tarafından talep gelmediğini olan bu bir .
mook765

Nane ile ilgili kısım için -1.
user68186
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.