Yüklemeden sonra disk şifrelemesini etkinleştir


61

13.10 Saucy ile koşuyorum. Yükleme sırasında disk şifrelemeyi etkinleştirmediysem, fiili sonrası etkinleştirmek için herhangi bir yolu var mı?

Bulduğum bu şifreleme zaman yüklemek gerçekleşmesi olduğunu öne sürdüğü, ama aynı zamanda Fedora sözediyor. Oradan yapmanın bir yolu varsa, kolayca canlı bir diske önyükleyebilirim.


Tam disk şifreleme mi, yoksa sadece / ana klasörün mü?
Joren

Dolu disk (Takip eden soru: tam diskin aşağı ve yukarı
yönleri

/ home disk şifreleme, takas alanı içermez. Yalnızca / ev şifreli ise, hassas veriler şifrelenmemiş takas alanına yazılabilir. Bu kurtarılabilir. Ubuntu oturum açma sırasında otomatik olarak / home şifresini çözer. Tam disk şifrelemenin, hem önyüklemede hem de oturum açarken bir şifre gerektirmesi gerekir. Şifrelenmiş bir sürücüyü yeniden boyutlandırmak zorlu bir işlemdir. Harici bir sürücünüz varsa, 13.10'da kurulduktan sonra şifrelemek kolaydır Saucy Salamander: verilerinizi yedekleyin, gösterge panelinden "diskleri" başlatın, harici sürücünüzü seçin, dişli kutusuna tıklayın, şifreyi seçin, yeni şifrelenmiş sürücünün kilidini açın , verileri geri kopyalayın.
user75798

Yanıtlar:


57

Ana klasörünüzün şifrelemesini etkinleştirmek istiyorsanız, şu paketleri kurmanız ve kullanmanız gerekir: ecryptfs-utilsve cryptsetup. Ayrıca yönetici ayrıcalıklarına sahip başka bir kullanıcı hesabına ihtiyacınız olacaktır. Tüm belgeler burada:

Yüklemeden sonra tam disk şifrelemesini etkinleştirmek istiyorsanız, şu an için kısa cevap muhtemelen: hayır, yapamazsınız . Neyse, bununla ilgileniyorsanız, sorunuzun kopyası:


8
Lütfen en azından buraya nasıl bağlı olduğunuzla ilgili temel adımları ekleyin. Bağlantınız çevrimdışıysa, değişir veya geçici olarak erişilemez durumdaysa.
con-f kullanımlık

1
@ con-f-use Dikkatli bir şekilde okursanız (karışıklık olmadan), temel adımlar adımda cevaba dahil edilir.
Radu Rădeanu

1
Ev klasörünüzde şifreli bir samba paylaşımınız varsa ne olur? Ağ kullanıcıları dosyaları artık okuyamıyor mu ya da paylaşım üzerinden şifreleri çözülüyor mu?
Rush Frisby

21

Takip eden soru: tam diske nazaran aşağı ve yukarı yönleri nelerdir?

/ Home içinde şifreleme, ecryptfs adlı bir kullanıcı alanı dosya sistemi kullanılarak yapılır.. Sıfır kullanılabilirlik dezavantajına sahip olmanız için çok iyi yapılır ve varsayılan auth sistemine sıkıca örülür: hesabınıza girdiğinizde (uzak bir kabuktan veya varsayılan giriş ekranından) şifreniz güvenli bir anahtarın paketini açmak için kullanılır , daha sonra dosyalarınızı anında ev dizininizde şifrelemek / şifresini çözmek için kullanılır (Monte edilmiş dosya sistemi doğrudan / home / username içinde bulunur). Oturumu kapattığınızda / home / username bağlantısı kaldırılır ve yalnızca şifreli dosyalar sistemde görünür durumda kalır (genellikle /home/.ecryptfs/username/.Private/ adresinde). Dosya adları da şifrelenmiş olduklarından, bir grup şifreli / rastgele dosyaya benziyorlar. Tek bilgi sızıntısı: dosya boyutu, zaman damgaları ve dosya sayısı (tam disk şifrelemesinde bunlar da gizlidir).

Sisteminiz birden fazla kullanıcı arasında paylaşılacaksa, bununla birlikte tam disk şifrelemesi eklemeye karar verseniz bile, bu çok hoş bir özelliktir: makine çalışırken ve çalışırken çalışırken Tam disk şifrelemenin güvenliği kapalıdır ( ecryptfs) şifreleme, oturumu kapattığınız sürece Açıktır.

Yani, tam disk şifreleme ve ev şifreleme mutlaka karşılıklı olarak özel değildir.

Farklı güvenlik gereksinimlerine bağlı olarak, olası kurulumların bir listesi:

  • SADECE TAM DİSK ŞİFRELEME: Bilgisayarınızı kullanan tek kişi sizseniz ve makineniz tam disk şifreleme ek yükünü kaldırabilir (tüm modern masaüstü bilgisayarlar bunu fark etmeden yapabilir, netbook'lar ve eski dizüstü bilgisayarlar çok fazla değildir) disk şifrelemesini ve evinizi işletim sisteminizle aynı bölüme yerleştirin (/).
  • TAM DİSK ŞİFRELEME VE EV ECRYPTFS ŞİFRELEME : PC'niz açıkken özel verilerinizin okunmasından endişe ediyorsanız veya bilgisayarınızı diğer kullanıcılarla paylaşıyorsanız, o zaman evinizi ecepstf'lerden tam bir diskten farklı bir bölümde kullanabilir ve şifreleme (LUKS / şifrelemek)
  • SADECE EV ECRYPTFS ŞİFRELEME : Uzaktayken sisteminizi kurcalayan birileri için fazla endişelenmiyorsanız, ancak özel verilerinizi güvende tutmak istemiyorsanız, tam disk şifrelemesini atlayın ve sadece ecryptfs (ev şifrelemesi) kullanın. Bu senaryonun ek bir avantajı, bundan sonra bile kurulması oldukça kolay olmasıdır.Ubuntu’yu sadece ecryptfs-migrate-home kullanarak yüklediniz. Ayrıca bu, birkaç disk serbest bırakılmadan önce varsayılan Ubuntu kurulumu oldu ve tam disk şifreleme imkanı eklendi. Çoğu modern masaüstü bilgisayar, tam disk şifrelemesini terlemeden halledebildiğinden ve çevrimdışı kod enjeksiyonuna karşı ince bir güvenlik katmanı sağladığından, yükleyiciye tam disk şifrelemesi eklenmiştir. Ancak çoğu kullanıcının evlerini ecryptfs ile şifrelemesinin ihtiyaçları için yeterli olacağına dikkat edin: arkadaşlarını ve ortak dizüstü bilgisayar hırsızlarını özel verilerinden uzak tutmak. Ayrıca, doğru araçları olan bir kuruluş tarafından tek tek hedef alındıysanız, tam disk şifrelemeye veya yalnızca ev şifrelemesine sahip olmanız, çok fazla başka paranoyak davranış sergilemediğiniz sürece bir fark yaratmaz. çekirdeği daima yanınızda olan ayrı bir kalem sürücüde tutmak; donanım kurcalama / keylogger vb. için sürekli kontrol

Yükleme sırasında disk şifrelemeyi etkinleştirmediysem, fiili sonrası etkinleştirmek için herhangi bir yolu var mı?

Evet ve şu anda LVM kullanıyorsanız ve sisteminizde şifrelenmemiş tüm sistem dosyalarınızı şifrelenmiş bir LUKS bölümüne kopyalamak için yeterli alana sahipseniz daha kolay olacak. Şu anda ayrıntılara girmiyorum, çünkü LVM kullanıp kullanmadığınızı ve şu an için sadece ecrypfs kullanmamayı tercih edip tam disk şifrelemenin zorluğunu bir sonraki yeni kuruluma kadar atlamayı tercih edersiniz.


3

Önemli tüm dizinlerin ve kurulu yazılımların bir yedeğini alabilirsiniz . Sürüm çakışmalarını önlemek için 13.10’unuzun tamamen güncellendiğinden emin olun. Genellikle işler ters düşer:

Bundan sonra sadece şimdi şifreli sistemi yeniden yükleyin . Tam genişletme için güncelleyin. Ardından yedeği şifreli sisteme taşıyın ve tüm yazılımı önceki sürümden yükleyin.

Arka tarafı geri koyarak Sadece ne zaman şifreleme önemli dosyaların üzerine değil emin olun, (örneğin /etc/fstab, /etc/cryptabbazı grub ilgili şeyler ve bazı şeyler /bootyedeklenen dosyaları ile değiştirilmelidir olmamalıdır).


1

Çalışan bir Ubuntu 16.04'ten, kurulum sonrası kök bölüm şifrelemesinde başarılı oldum, kök bölüm / boot dışındaki her şeyi içeren. Ayrı çıkarılabilir bir usb üzerine / boot koydum. Özellikle bunu Ubuntu 18'e yükseltmeden önce yaptım ve yükseltme şifreli disk versiyonunda iyi çalıştı.

Şifreleme "yerinde" yapılmadı, ki bu yeni kurulum çalışıncaya kadar çalışan sürümün üzerine yazmak istemediğim için, benim için sorun değildi.

Doğru işlemi yapmak son derece basit ve hızlıdır. (Bazı doğru ipuçlarını izlediğim için doğru işlemi bulmak çok zaman alıyordu.)

ANA HATLARI

  1. Canlı bir Linux USB disk oluşturun - kalıcılığın etkin olması uygundur. Bu canlı USB diskte önyükleme yapın.
  2. Boş bir bölümde bir luk şifreli birim grubu oluşturun. (Benim durumumda orijinal linux ile aynı disk üzerindeydi, fakat başka bir disk olabilir.) Şifrelenmiş bölüm üzerinde mantıksal birimler oluşturun / (kök) oluşturun ve bunları değiştirin. Bunlar, kopyalanan linux ile ilgili olarak sanal bölümler olarak hareket edecektir.
  3. Dosyaları eski kökten yeni köke kopyalayın.
  4. Çıkarılabilir önyükleme diski olarak çalışmak için başka bir USB kurun ve bölümleyin.
  5. Yeni kök içine bazı dosyalar kurun, biraz sihir yapın ve yeni kök içine chroot yapın ve sonra grubu chroot'un yeni kök ortamından önyükleme diski üzerine kurun.

DETAYLAR

1 - Canlı bir Linux USB disk ile önyükleme - kalıcılığın etkin olması uygundur.

Unetbootin ile bir usb üzerine Ubuntu 16 kuruldu. GUI "sebat etme" nin belirtilmesine izin verir, fakat sebatın çalışmaya devam etmesi için başka bir adım da gereklidir - aşağıdaki gibi /boot/grub/grub.cfgeklemek için değiştirin --- persistent:

menuentry "Try Ubuntu without installing" {
    set gfxpayload=keep
    linux   /casper/vmlinuz  file=/cdrom/preseed/ubuntu.seed boot=casper quiet splash --- persistent
    initrd  /casper/initrd
}

Canlı USB ile önyükleme yapın

2- Boş bir bölümdeki bir luk şifreli ses grubu oluşturun. Şifrelenmiş bölüm üzerinde / (root) oluşturun ve mantıksal birimleri değiştirin.

Şifrelenmemiş kullanılmayan bölümün olduğunu varsayalım /dev/nvme0n1p4.

İsteğe bağlı olarak , şifreleme ve biçimlendirme işleminden önce gizlemek istediğiniz bölümdeki eski verileriniz varsa, bölümü rasgele silebilirsiniz. Burada tartışmaya bakın .

dd if=/dev/urandom of=/dev/nvme0n1p4 bs=4096 status=progress

Şifrelemeyi ayarlayın.

cryptsetup -y -v luksFormat /dev/nvme0n1p4

Sizden bir şifre belirlemeniz istenecektir.

cryptsetup luksOpen /dev/nvme0n1p4 crypt1

Sizden şifreyi girmeniz istenecektir. Bu crypt1keyfi bir kullanıcı karar isim olduğunu unutmayın. Şimdi birimler ve format oluşturun.

pvcreate /dev/mapper/crypt1
vgcreate crypt1-vg /dev/mapper/crypt1

lvcreate -L 8G crypt1-vg -n swap
mkswap /dev/crypt1-vg/swap

lvcreate -l 100%FREE crypt1-vg -n root
mkfs.ext4 /dev/crypt1-vg/root

Birimleri görüntülemek ve hiyerarşiyi anlamak için bu yardımcı programları kullanın.

pvscan
vgscan
lvscan
ls -l /dev/mapper
ls -l /dev/crypt1

3- Dosyaları eski kökten yeni kök dizine kopyalayın

mkdir /tmp/old-root 
mount /dev/ubuntu-vg/root /tmp/old-root/
mkdir /tmp/new-root
mount /dev/crypt1-vg/root /tmp/new-root/
cp -a /tmp/old-root/. /tmp/new-root/

umount /tmp/old-root
umount /tmp/new-root

cp -a ... tüm dosya modlarını ve bayraklarını koruyarak arşiv modunda kopyalar.

4- Çıkarılabilir önyükleme diski olarak çalışmak için başka bir USB kurun ve bölümleyin.

Bunun için gparted kullandım. İki bölüm ayarlayın. İlk bölüm vfatikincisidir ext2. Her biri 512 MB'dı, daha azıyla kurtulabilirsiniz. Cihazı kabul et /dev/sdf.

# The first partition: (will be /dev/sdf1)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: fat32
Label: (leave)

# The second partition: (will be /dev/sdf2)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: ext4
Label: (leave) 

5- Yeni kök içine bazı dosyalar kurun, biraz sihir yapın ve yeni kök içine chroot yapın ve sonra grubu chroot'un yeni kök ortamından önyükleme diski üzerine kurun.

Daha sonra kullanmak üzere bazı UUID'leri bulun. Aşağıdaki komutlardan gelen çıktılara dikkat edin:

blkid /dev/sdf1
blkid /dev/sdf2
blkid /dev/nvme0n1p4

Kök bölümünü ve önyükleme bölümlerini takın

sudo mount /dev/mapper/crypt1--vg-root /mnt
sudo mount /dev/sdf2 /mnt/boot
sudo mount /dev/sdf1 /mnt/boot/efi

Dosyayı ayarla /mnt/etc/fstab

/dev/mapper/crypt1--vg-root /               ext4    errors=remount-ro 0       1
/dev/mapper/crypt1--vg-swap none    swap    sw              0       0
UUID=[uuid of /dev/sdf2] /boot           ext2    defaults        0       2
UUID=[uuid of /dev/sdf1]  /boot/efi       vfat    umask=0077      0       1

Burada "[uuid of ...]" yalnızca bir harf sayı - kısa çizgi birleşimidir.

Dosyayı oluşturun /mnt/etc/cryptab

# <target name> <source device>     <key file>  <options>
crypt1 UUID=[uuid of /dev/nvme0n1p4] none luks,discard,lvm=crypt1--vg-root

Kök dizin ortamına girmek için gereken bazı sihir:

sudo mount --bind /dev /mnt/dev
sudo mount --bind /proc /mnt/proc
sudo mount --bind /sys /mnt/sys
chroot /mnt

Şimdi açılış USB diskini şu şekilde ayarlayın grub:

apt install --reinstall grub-efi-amd64
grub-install --efi-directory=/boot/efi --boot-directory=/boot --removable
update-initramfs -k all -c
update-grub

Şimdi yeni oluşturulan USB önyükleme diskini kullanarak yeniden başlatıp açabilmelisiniz.

Toubleshooting-

(a)apt install --reinstall grub-efi-amd64 Komut için ağ bağlanmalıdır . Ağ bağlı, ancak DNS başarısız oluyorsa, deneyin

echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf > /dev/null

(b) Aramadan önce , orijinal linux'ta kullanılan initramfsgeçerli vmlinuz...dosyanın yeni kök dizinde bulunması gerekir. Değilse, bulun ve oraya yerleştirin.

(c)grub-install komut varsayılan arama tarafından tüm diğer Linux diskleri onlar olmasa bile bulabilirsiniz olacak mounted ve yeni önyükleme USB önyükleme menüsü koyun. Genellikle bu istenmez, bu yüzden bu satırı ekleyerek önlenebilir /boot/default/grub.cfg:

GRUB_DISABLE_OS_PROBER=true

NOT: Çıkarılabilir önyükleme USB'sine şifreleme anahtarlı bir metin dosyası eklenebilir.


0

Basit cevap: Hayır.

Karmaşık cevap:

Bir diski veya bölümü şifrelemek, o disk veya bölümdeki o andaki her şeyi siler, bu nedenle bir diski şifrelemek için ayrıca diskin içeriğini de çıkarmanız gerekir. Başlamadan önce uygun veri yedeklemelerini yapmalısınız. Açıkçası, bu tam disk şifrelemeyi kullanmak için sistemi yeniden kurmanız gerektiği anlamına geliyor. Bunun nedeni, verilerin kurtarılmasını zorlaştırmak için rastgele verilerin tüm diske yazılmasıdır.

Ancak, bugünlerde kök bölümünüzü şifrelemeniz gerekmez. Bir şey kablolarsa , verileri kurtarma olanağınız olmadan sisteminizden çıktığınızı unutmayın . Bunun yerine sadece kişisel bilgilerinizi şifrelemeyi düşünmelisiniz.

İlgili soruya bakın Tam disk yüklendikten sonra nasıl şifrelenir?


"Verileri kurtarma olanağı olmayan sisteminiz dışında" <--- Bu yanlış. Bir şifreleme anahtarına sahip olduğu sürece, veriler bir Live Medium ile kurtarılabilir.
kullan

@ con-f-use şifreli bir sürücü / bölüm için inanılmaz derecede kötü bir şey olursa, bunun anlamı "bir şey kabloyu çekerse" koşullu olduğunu göz önünde bulundurmaktır.
Braiam

Evet, eğer nitpicky kullanıyorsanız, şifreli diskteki LUKS başlığının yeni bir yedeğini de bulundurmanız gerekir. Ama bunu "şifreleme anahtarına" dahil ederim. Bunun dışında, veri kurtarma açısından tam şifrelemede zarar yoktur. Ancak, Ubuntu'nun hangi sürümünün orada olduğunu, hangi programların yüklü olduğunu ve tam olarak şifrelenmemiş disklere olası bir saldırı vektörü sağladığını söyleyebilirsiniz. Ayrıca SSD'ler genellikle yapar. Yani paranoyak için hala tam disk şifrelemenin yolu yok.
con-f kullanımlık

"Ancak, bugünlerde kök bölümünüzü şifrelemeniz gerekmez." Lütfen kendin için konuş, tamamen katılmıyorum. "Bir diski veya bölümü şifrelemek, o disk veya bölümdeki her şeyi siler, bu nedenle bir diski şifrelemek için ayrıca diskin içeriğini de kaldırmanız gerekir." Yine katılmıyorum. Truecrypt, Windows'ta mevcut disklerle FDE yapmanın çok güzel bir örneği. Aslında, yükleme fiili bir yöntemdir - şifrelenmemiş ve bir kez yapıldığında şifrelemek. Ubuntu’da atm mümkün olmadığı için cevabı değiştirmez, ancak ifadeleriniz çok kategorik ve yanlıştır.
Cookie

@Cookie neden daha sonra yükleyebileceğiniz şeyleri içeren bir bölümü şifreliyorsunuz? (ve lütfen, değirmenciliğin kullandığı kullanıcı sisteminden bahsediyorum, içinde kurulu olan şirket / kurumsal sunucularla ilgisi yok) 2) konuştuğunuz şey yalnızca kullanabileceğiniz bir truecrypt özelliği Windows bugüne kadar ve bir bölüm kurulumdan sonra şifrelemek bir Linux şifreleme sistemi bulamıyorsanız, benim deyim doğrudur çünkü şu anda mümkün değil.
Braiam
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.