Làm cách nào để cài đặt 18.04 bằng mã hóa toàn bộ đĩa với hai ổ đĩa (SSD / HDD)


12

Tôi có một máy tính xách tay và muốn thực hiện cài đặt mới với FULL DISK ENCRYPTION. Tôi muốn cài đặt HĐH trên ổ SSD của mình và sau khi cài đặt, hãy chuyển sang ổ cứng thứ hai.

  • Có thể yêu cầu trình cài đặt mã hóa đầy đủ các ổ đĩa BÓNG tại thời điểm cài đặt không?
  • Nếu không, có thể mã hóa thủ công ổ cứng thứ hai sau khi cài đặt thành công hệ điều hành vào ổ SSD và sau đó di chuyển / về nhà với ổ cứng thứ hai không? Nếu vậy, làm thế nào để tôi làm điều đó?
  • Có thể sử dụng MỘT mật khẩu để giải mã cả hai ổ đĩa khi khởi động không? Liệu tôi có đúng không khi cho rằng tôi sẽ phải cài đặt LUKS trên cả hai ổ đĩa (để xử lý sự hấp thụ) và sau đó kéo dài (hoặc liên kết khác) một LVM qua hai ổ đĩa? Đây là phần mà tôi không chắc chắn nhất về / cách làm.

Cảm ơn

Câu trả lời:


11

HOWTO Mã hóa cài đặt Ubuntu 18.04 LTS với HAI ổ đĩa: Hệ điều hành trên ổ SSD chính, / nhà trên ổ cứng thứ cấp của bạn

Đây là một hướng dẫn để HOÀN TOÀN ENCRYPTION của bản cài đặt Ubuntu 18.04 LTS. Đừng nhầm lẫn với mã hóa chỉ thư mục / home , mà tôi tin rằng đã bị xóa như một tùy chọn trong khi cài đặt. Các hướng dẫn này dành cho Ubuntu 18.04 LTS, nhưng sẽ hoạt động với 16.04 LTS.

Hướng dẫn này giả định rằng bạn đã quen thuộc với Ubuntu (Linux) và có thể cài đặt HĐH từ khóa USB hoặc ít nhất là hiểu cách thực hiện quy trình này - nếu bạn không thể, hãy tìm ai đó có thể và cả hai bạn cùng trải qua . Hướng dẫn này cũng giả định rằng bạn đã sao lưu TẤT CẢ dữ liệu của mình trước khi bắt đầu quy trình này vì bạn sẽ hủy tất cả DATA trên TẤT CẢ các ổ đĩa trong quy trình này.

BẠN ĐÃ ĐƯỢC CẢNH BÁO!

Hướng dẫn này phần lớn là một trong hai thủ tục từ đây (bài đăng trên blog của David Yates) ( https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ub Ubuntu-14- 10-post-install / ) và Ask Ubuntu post ( Chuyển thư mục nhà sang ổ đĩa thứ hai ).

Điều đầu tiên trước tiên, tại sao chúng ta muốn làm điều này? Bởi vì nếu bạn sở hữu một máy tính xách tay, hoặc dữ liệu nhạy cảm khác trên máy tính và nó bị đánh cắp hoặc bị mất, thì cần phải có khả năng bảo vệ dữ liệu. Bạn có thể chịu trách nhiệm pháp lý để bảo vệ dữ liệu. Thứ hai, nhiều hệ thống (hầu hết) hiện nay đi kèm với một ổ SSD nhỏ (nhanh) cho HĐH và ổ cứng lớn hơn (chậm) cho dữ liệu. Thứ ba, mã hóa chỉ thư mục / home hiện được công nhận là một ý tưởng tồi vì nó cho bạn thấy khả năng / nhà bị hack (đừng hỏi tôi làm thế nào, tôi không thể), và mã hóa một phần làm chậm hệ thống ở mức độ lớn. FDE yêu cầu ít chi phí hơn và do đó có tác động tối thiểu đến hiệu suất của hệ thống.

PHẦN I: Cài đặt Ubuntu 18.04 LTS trên ổ đĩa chính (thường là SSD)

Cài đặt Ubuntu 18.04 LTS lên máy nhỏ hơn (thường là SSD) và kiểm tra (i) xóa đĩa, (ii) mã hóa cài đặt và (iii) quản lý LVM.

ảnh chụp màn hình của các lựa chọn cài đặt

Điều này sẽ dẫn đến một ổ SSD được mã hóa, nhưng sẽ không chạm vào ổ đĩa thứ hai (thường là ổ cứng). Tôi cho rằng ổ đĩa thứ hai của bạn là ổ đĩa mới, chưa được định dạng, nhưng thực sự không có vấn đề gì trên ổ đĩa trước quy trình này. Chúng tôi sẽ phá hủy tất cả dữ liệu trên ổ đĩa này. Chúng tôi sẽ sử dụng gói phần mềm từ bên trong Ubuntu để chuẩn bị ổ đĩa (không chắc việc chuẩn bị này có thực sự cần thiết hay không, nhưng đó là những gì tôi đã thử nghiệm). Để chuẩn bị điều này cho phân vùng (thư mục) sắp được di chuyển / thư mục của bạn, bạn nên định dạng nó bằng công cụ GUI có tên gParted .

sudo apt install gparted

Mở gParted và điều hướng đến ổ cứng thứ hai của bạn (kiểm tra cẩn thận / dev / sd? X ) và xóa bất kỳ & tất cả các phân vùng hiện có, sau đó tạo PHẦN THAM GIA CHÍNH bằng hệ thống tệp ext4 . Bạn cũng có thể dán nhãn cho nó, nhưng điều đó không cần thiết. Chọn "Áp dụng". Một gParted đã kết thúc, đóng gParted và bây giờ bạn đã sẵn sàng cài đặt bộ chứa LUKS trên ổ đĩa thứ hai và sau đó định dạng nó. Trong các lệnh sau, thay thế sd? X bằng tên của ổ đĩa THỨ HAI (không phải ổ đĩa chính của bạn), ví dụ sda1 .

sudo cryptsetup -y -v luksFormat /dev/sd?X

Sau đó, bạn sẽ cần giải mã phân vùng mới để bạn có thể định dạng nó bằng ext4 , hệ thống tệp Linux hiện đại được Ubuntu ưa thích.

sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt

Nếu bạn muốn sử dụng ổ cứng thứ hai như một ổ cứng thông thường, được truy cập thường xuyên (như khi di chuyển phân vùng / nhà của bạn sang ổ cứng , đó là điểm của Phần II ), có một cách để tự động gắn và giải mã ổ đĩa thứ hai của bạn khi khởi động, khi máy tính của bạn nhắc bạn nhập mật khẩu giải mã ổ cứng chính. Ngoài ra: Tôi sử dụng cùng một cụm mật khẩu cho cả hai ổ đĩa của mình, vì tôi mê tín và hình dung ra nhiều vấn đề hơn với hai cụm mật khẩu khác nhau.

Trước tiên, bạn sẽ cần tạo một keyfile, hoạt động như một mật khẩu cho ổ đĩa thứ cấp của bạn và để bạn không phải nhập mỗi khi bạn khởi động (như mật khẩu mã hóa ổ cứng chính của bạn).

sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

Khi keyfile đã được tạo, hãy thêm các dòng sau vào / etc / crypttab bằng nano

sudo nano /etc/crypttab

Thêm dòng này, lưu và đóng tệp ( / etc / crypttab ).

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard

Để có được UUID parition của bạn nhập vào tệp / etc / crypttab , hãy sử dụng lệnh này (bạn cần sử dụng sudo để tất cả các phân vùng của bạn hiển thị):

sudo blkid

Giá trị bạn muốn là UUID của / dev / sd? X , không phải dev / mapper / sd? X_crypt . Đồng thời đảm bảo sao chép UUID, không phải PHẦN MỀM.

Được rồi, tại thời điểm này (đã đóng & lưu / etc / crypttab ), bạn sẽ có thể đăng nhập vào cài đặt Ubuntu của mình (nhập mật khẩu giải mã ổ đĩa chính) và nó sẽ giải mã CẢ HAI ổ đĩa chính và ổ đĩa phụ của bạn. Bạn nên kiểm tra xem nếu điều này xảy ra nếu không thì DỪNG ; và giải quyết vấn đề. Nếu bạn không làm việc này và bạn đã chuyển nhà / nhà của bạn, bạn sẽ có một hệ thống không hoạt động.

Khởi động lại và kiểm tra xem liệu điều này (giải mã chuỗi daisy) trong thực tế có phải là trường hợp không. Nếu ổ đĩa thứ cấp được tự động giải mã, khi bạn chọn Vị trí khác, ổ đĩa thứ hai sẽ hiển thị trong danh sách và có biểu tượng khóa trên đó, nhưng biểu tượng sẽ được mở khóa .

Nếu ổ đĩa thứ hai tự động giải mã (nếu cần), sau đó chuyển sang Phần II , chỉ định ổ đĩa thứ hai là vị trí mặc định của thư mục / nhà của bạn (với dung lượng lớn hơn).

Phần II: Di chuyển phân vùng / nhà của bạn sang ổ đĩa thứ cấp ( ví dụ: HDD)

Chúng ta cần tạo một điểm gắn kết cho ổ đĩa thứ cấp, tạm thời gắn phân vùng mới (ổ cứng thứ cấp) và di chuyển / về nhà với nó:

sudo mkdir /mnt/tmp
sudo mount /dev/mapper/sd?X_crypt /mnt/tmp

giả sử / sd? X là phân vùng mới cho / home (như trên)

Bây giờ chúng tôi sao chép thư mục / home của bạn sang vị trí mới / home từ ổ đĩa chính (SSD) sang ổ đĩa thứ cấp (HDD).

sudo rsync -avx /home/ /mnt/tmp

Sau đó chúng tôi có thể gắn kết phân vùng mới như / home với

sudo mount /dev/mapper/sd?X_crypt /home

để đảm bảo tất cả các thư mục (dữ liệu) đều có mặt.

ls

Bây giờ, chúng tôi muốn đặt vị trí mới / nhà trên ổ đĩa thứ cấp vĩnh viễn, chúng tôi cần chỉnh sửa mục nhập fstab để tự động gắn di chuyển / nhà của bạn vào ổ cứng được giải mã thứ cấp.

sudo nano /etc/fstab

và thêm dòng sau vào cuối:

/dev/mapper/sd?X_crypt /home ext4 defaults 0 2

Lưu và đóng tệp.

Khởi động lại. Sau khi khởi động lại, / nhà của bạn sẽ nằm trên ổ đĩa thứ cấp mới và bạn sẽ có nhiều không gian cho DATA của mình.


Điều gì xảy ra, nếu bạn thực hiện chia tay thủ công trong khi cài đặt trên cả hai ổ đĩa và chọn FDE?
jarno

Không chắc chắn, không bao giờ thử. Tôi sẽ thử nghiệm nó trên một hệ thống thử nghiệm trước khi thử một đơn vị quan trọng.
Andor Kiss

1
Bạn có thể thực hiện phân vùng thủ công trong khi cài đặt, nhưng bạn sẽ gặp phải một số trục trặc. Trước hết, bạn sẽ phải thiết lập mã hóa LUKS theo cách thủ công trên cả hai ổ đĩa. Bạn sẽ cần chắc chắn rằng bạn cũng tạo các phân vùng khởi động không được mã hóa cần thiết. Sau đó, bạn phải vào sau khi cài đặt sau nhưng trước khi khởi động lại, remount, chroot, cập nhật /etc/cryptabtệp. Bạn cũng sẽ cần cập nhật initramfs. Tôi chưa bao giờ ghi lại quá trình chính xác trong câu hỏi, nhưng tôi cài đặt với phân vùng thủ công và 3 ổ đĩa. Tin tôi đi, việc di chuyển sau cài đặt không khó hơn.
b_laoshi

Tôi gặp một vấn đề trong Phần I: khi tôi làm theo tất cả các hướng dẫn và khởi động lại, tôi có thể thấy ổ đĩa thứ hai có biểu tượng khóa được mở khóa trên đó, nhưng khi tôi nhấp vào nó, nó sẽ hiện "Không thể hiển thị vị trí. Bạn không có quyền cần thiết để xem nội dung của 8b ... b3. " Trong LXDE, ổ đĩa mở ra, nhưng nó báo "Lỗi tạo thư mục: Quyền bị từ chối" khi tôi cố gắng tạo thư mục. Tôi có thể làm gì để khắc phục tình hình?
Nickolai Leschov

Bạn đã kiểm tra UUID trong tệp fstab và đảm bảo rằng nó đúng? Bạn cũng phải đảm bảo rằng bạn thay đổi quyền của keyfile.
Andor Kiss
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.