Yalnızca kök bölümü şifrelemeye nasıl başlayabilirim?


13

3 bölümüm var: EFI ( /boot/efi), boot ( /boot) ve root ( /). Ben şifrelemek istiyorum sadece / . Bunu yükleyici aracılığıyla manuel olarak yapabilirim, ancak önceden basmak istiyorum.

Nasıl tanımlarım? Şifrelenmemiş tarifim aşağıdaki gibi görünüyor. Bulduğum EFI Sistem Bölümleri için önerilerin bir karışımıdır (net bir kılavuz bulunamadı).

boot-root ::
  100 100 100 fat32
    $primary
    $iflabel{ gpt }
    $reusemethod( }
    use_filesystem{ } filesystem{ vfat }
    method{ efi } format{ }
    mountpoint{ /boot/efi }
  .
  300 300 300 ext4
    use_filesystem{ } filesystem{ ext4 }
    method{ format } format{ }
    mountpoint{ /boot }
  .
  100% 3000 100% ext4
    use_filesystem{ } filesystem{ ext4 }
    method{ format } format{ }
    mountpoint{ / }
  .

Nasıl sda3LUKS-şifreleme için fiziksel bir bölüm olmak ve bunun üzerine bir dosya sistemi nasıl yapabilirim ?

GÜNCELLEME:

Bölümü aşağıdaki gibi kripto olarak ayarlayabildiğimi keşfettim, ancak hala 3 sorun var:

  1. Seçilen bölümdeki şifrelenmiş birimleri oluşturmam ve etkinleştirmem gerekiyor
  2. Oluşturulduktan ve etkinleştirildikten sonra hala şifrelenmiş birimde doğru ext4 dosya sistemini ayarlamam gerekiyor
  3. Tarif dm-crypt, şifrelenmiş birimleri oluşturmak ve etkinleştirmek için gerekli olan şifreleme türünü seçmez .

Hala kudretli mücadele ediyor

boot-root ::
  100 100 100 fat32
    $primary
    $iflabel{ gpt }
    $reusemethod( }
    use_filesystem{ } filesystem{ vfat }
    method{ efi } format{ }
    mountpoint{ /boot/efi }
  .
  300 300 300 ext4
    use_filesystem{ } filesystem{ ext4 }
    method{ format } format{ }
    mountpoint{ /boot }
  .
  100% 3000 100% ext4
    method{ crypto } format{ }
  .

Bilginize, etiketler gibi sda, sdb, sdcvb hep (benim her çizme geçiş) botlar arasındaki aynı harf (a, b, c) tutmuyorum
Xen2050

2
@ Xen2050 haklısın, UUIDya PARTUUIDda LABELya PARTLABELda çok daha iyisin . Benim durumumda, biçimlendirmek için bir görüntü önyükleme yapıyorum, bu yüzden sadece bir sürücü var. Her iki durumda da, tek bir bölümü şifrelemek için nasıl ayarlayabilirim? Etkileşimli olarak yapabilirim, ancak önceden gerekli olmasına ihtiyacım var.
deitch

Hmm, bir yere geliyor olabilir, ama daha fazla soru. Diğer q gönderir.
deitch

@deitch - bu bir sunucu bölümü yapılandırması mı, istemci mi yoksa yalnızca masaüstü bölümü örneği mi? Bu 3 bölüm, niyetiniz için çok az - eksik / takas ve / ev var - bu nedenle bir şekilde mantıksal bölümlere sahip sabit diskin genişletilmiş bir kısmını ayarlamanız gerekiyor - normal olarak bölümler genel olarak sadece 4'e izin veriyor, ancak mantıksal bölümlerle genişliyor Maksimum 4 kez 63 bölüm (ve GPT çok daha fazlasını sağlar)?! - unix.stackexchange.com/questions/33555/… - master ve slave bölümleri ile ilgili.
dschinn1001

@ dschinn1001 aslında onun güvenli bir sunucu için bir şablon. Çekirdek işletim sistemi çıkarılabilir bir sürücüde. Kullanıcı verileri ve takas, bir systemd hizmetinin uygun şekilde bulduğu ve bağladığı dahili bir sürücü üzerindedir. Ama bunu göz ardı ederek .... Kökü LVM olmadan şifrelenecek şekilde nasıl ayarlayabilirim?
deitch

Yanıtlar:


1

İlk önce bir kök terminal açın:

sudo -i

Ardından şifrelenmesi gereken bölümü, aşağıdaki gibi bir komut kullanarak rastgele verilerle doldurun:

openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > /dev/sdxy

sdxyŞifrelenecek bölümle değiştirmelisiniz . Sonra yazın

cryptsetup luksFormat --cipher twofish-xts-plain64 --key-size 512 --hash sha512 --iter-time 2000 /dev/sdxy

bölümü şifrelemek sdxy. Birimi açın ve adlandırın root:

cryptsetup luksOpen /dev/sdxy root

İçinde bir ext4 dosya sistemi oluşturmak için bu komutu kullanın:

mkfs.ext4 /dev/mapper/root

Ardından yükleyiciyi başlatabilirsiniz. Ne yapmak istediğiniz sorulduğunda "Başka bir şey" i seçin. Ardından, şifrelenmemiş tüm bölümleriniz için bağlama noktalarını seçin. Senin için rootbölüm seçin /dev/mapper/root, "Değiştir" i tıklayın. Sonra ext4dosya sistemi türü için seçin ve bağlama noktasını olarak ayarlayın /. Ardından "Şimdi yükle" yi tıklayın ve Ubuntu'yu normal şekilde yükleyin.

Yükleme tamamlandığında "Teste devam et" i tıklayın. Bir terminal açın ve şunu yazın:

sudo -i
cd /mnt
mkdir root
mount /dev/mapper/root root
mount /dev/sdyz root/boot

sdyzbootbölümünüzle değiştirilmelidir . Sonra şunu yazın:

chroot root
mount -t proc proc /proc
mount -t sysfs sys /sys
nano /etc/crypttab

İkinci bir terminal açın ve yazın sudo blkid. İçin root( crypto_lukssonunda yazan) UUID'yi bulun ve içine yapıştırın /etc/crypttab. Sonra dosya şöyle /etc/crypttabgörünmelidir:

root UUID=d68911dd-172a-4608-86d4-084eb72f409c none luks

Dosyayı kapatın Ctrl+ x, yve Enter. Tip nano /etc/fstabherşey görünüyor sağ (örn UUID) eğer terminali in ve check.

Sonunda, chroot ortamından çıkın ve şunu yazın:

cryptsetup luksHeaderBackup /dev/sdxy --header-backup-file /root/root.img

Bu, şifrelenmiş bölümün üstbilgisinin görüntüsünü klasöre koyar /rootve adlandırır root.img. Ardından görüntüyü harici bir sürücüye taşıyın (parolayı unutmanız durumunda). Şimdi yeni yüklediğiniz Ubuntu'nuzu yeniden başlatabilirsiniz.

Kaynak: http://thesimplecomputer.info/full-disk-encryption-with-ubuntu


Ubuntu'ya Sor hoş geldiniz! Bu teorik olarak soruyu cevaplayabilirken, cevabın temel kısımlarını buraya dahil etmek ve referans için bağlantı sağlamak tercih edilir.
Karl Richter

@Ell bölümü önceden bir chroot (veya kapsayıcı) ortamda oluşturmayı ve sonra yükleyiciye yapıştırmayı mı öneriyorsunuz?
deitch

Bunu ön tohumcu ile nasıl çalışardım?
deitch

Bilmiyorum, ama bu en azından rootLVM olmadan LUKS şifreli bir bölüm yapmak için bir çözüm .
Earl Nick
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.