Đĩa cài đặt Ubuntu 13.04 có tùy chọn cài đặt mã hóa Ubuntu bằng LUKS. Tuy nhiên, không có tùy chọn để thực hiện cài đặt được mã hóa dọc theo các phân vùng hiện có cho kịch bản khởi động kép.

Làm cách nào tôi có thể cài đặt Ubuntu được mã hóa cùng với một phân vùng khác từ đĩa trực tiếp?

Trước hết, nếu bạn muốn cài đặt Ubuntu được mã hóa trên đĩa cứng, thay thế mọi phân vùng và hệ điều hành hiện có, bạn có thể thực hiện việc này trực tiếp từ trình cài đặt đồ họa. Quá trình thủ công này chỉ cần thiết cho khởi động kép.

Câu trả lời này đã được thử nghiệm với Ubuntu 13.04.

1. Khởi động từ đĩa DVD hoặc USB trực tiếp của Ubuntu và chọn "Dùng thử Ubuntu".

2. Tạo hai phân vùng bằng GParted có trong đĩa trực tiếp. Phân vùng đầu tiên phải được định dạng và phải đủ lớn để root và trao đổi, trong ví dụ của tôi, đây là /dev/sda3. Phân vùng thứ hai phải lớn vài trăm megabyte và được định dạng trong ext2 hoặc ext3, nó sẽ không được mã hóa và gắn vào /boot(trong ví dụ của tôi là /dev/sda4).

   Trong ảnh chụp màn hình này, tôi có một bản cài đặt Ubuntu không được mã hóa hiện có trong hai phân vùng: /dev/sda1và /dev/sda5, tô sáng trong vòng tròn bên trái. Tôi đã tạo một phân vùng chưa được định dạng trong /dev/sda3và một phân vùng ext3 /dev/sda4, dành cho cài đặt Ubuntu được mã hóa, được chiếu trong vòng tròn bên phải:

   

3. Tạo một thùng chứa LUKS bằng các lệnh này. Thay thế /dev/sda3bằng phân vùng chưa được định dạng được tạo trước đó và cryptcherriesbằng tên bạn chọn.

   sudo cryptsetup luksFormat /dev/sda3
   sudo cryptsetup luksOpen /dev/sda3 cryptcherries
   

4. Cảnh báo : Bạn sẽ nhận thấy rằng luksFormatbước hoàn thành rất nhanh, vì nó không xóa an toàn thiết bị khối bên dưới. Trừ khi bạn chỉ đang thử nghiệm và không quan tâm đến bảo mật chống lại các loại tấn công pháp y khác nhau, điều quan trọng là phải khởi tạo đúng cách bộ chứa LUKS mới trước khi tạo các hệ thống tệp trong đó. Việc ghi các số 0 vào vùng chứa được ánh xạ sẽ khiến dữ liệu ngẫu nhiên mạnh được ghi vào thiết bị khối bên dưới. Việc này có thể mất một lúc, vì vậy tốt nhất là sử dụng pvlệnh để theo dõi tiến trình:

   ### Only for older releases, e.g. not for 19.04, `pv` is not included in the repo must be added first
   # sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
   # sudo apt-get update
   
   sudo apt-get install -y pv
   sudo sh -c 'exec pv -tprebB 16m /dev/zero >"$1"' _ /dev/mapper/cryptcherries
   

   hoặc, nếu bạn đang thực hiện cài đặt ngoại tuyến và không thể dễ dàng nhận được pv:

   sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16M
   

5. Bên trong thùng chứa LUKS được gắn, tạo một khối vật lý LVM, một nhóm âm lượng và hai khối hợp lý. Khối lượng logic đầu tiên sẽ được gắn vào /và khối thứ hai sẽ được sử dụng làm trao đổi. vgcherrieslà tên của nhóm âm lượng lvcherriesrootvà lvcherriesswaplà tên của các khối hợp lý, bạn có thể chọn nhóm của riêng mình.

   sudo pvcreate /dev/mapper/cryptcherries
   sudo vgcreate vgcherries /dev/mapper/cryptcherries
   sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
   sudo lvcreate -n lvcherriesswap -L 1g vgcherries
   

6. Tạo hệ thống tập tin cho hai khối hợp lý: (Bạn cũng có thể thực hiện bước này trực tiếp từ trình cài đặt.)

   sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
   sudo mkswap /dev/mapper/vgcherries-lvcherriesswap
   

7. Nếu không khởi động lại , hãy cài đặt Ubuntu bằng trình cài đặt đồ họa (lối tắt nằm trên màn hình nền trong Xubfox 18.04), chọn phân vùng thủ công. Gán /đến /dev/mapper/vgcherries-lvcherriesrootvà /bootđể phân vùng được mã hóa tạo ở bước 2 (trong ví dụ này, /dev/sda4).

8. Khi trình cài đặt đồ họa kết thúc, chọn "tiếp tục thử nghiệm" và mở một thiết bị đầu cuối.

9. Tìm UUID của các phân vùng LUKS ( /dev/sda3trong trường hợp này), bạn sẽ cần nó sau:

   $ sudo blkid /dev/sda3
   /dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"
   

10. Gắn các thiết bị phù hợp vào các vị trí thích hợp /mntvà chroot vào đó:

    sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
    sudo mount /dev/sda4 /mnt/boot
    sudo mount --bind /dev /mnt/dev
    sudo chroot /mnt
    > mount -t proc proc /proc
    > mount -t sysfs sys /sys
    > mount -t devpts devpts /dev/pts
    

11. Tạo một tệp có tên /etc/crypttabtrong môi trường chroot để chứa dòng này, thay thế giá trị UUID bằng UUID của phân vùng LUKS và vgcherriesbằng tên của nhóm âm lượng:

    # <target name> <source device> <key file> <options>
    cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherries
    

12. Chạy lệnh sau trong môi trường chroot:

    update-initramfs -k all -c
    

13. Khởi động lại và khởi động vào Ubuntu được mã hóa. Bạn nên được nhắc nhập mật khẩu.

14. Kiểm tra xem bạn đang sử dụng phân vùng được mã hóa /bằng cách chạy mount:

    $ mount
    /dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
    /dev/sda4 on /boot type ext3 (rw)
    # rest of output cut for brevity
    

15. Kiểm tra xem bạn đang sử dụng phân vùng trao đổi được mã hóa (không phải bất kỳ phân vùng trao đổi không được mã hóa từ bất kỳ cài đặt nào khác) bằng cách chạy lệnh này:

    $ swapon -s
    Filename                              Type      Size   Used Priority
    /dev/mapper/vgcherries-lvcherriesswap partition 630780 0    -1
    

16. Kiểm tra xem bạn có thể khởi động vào chế độ khôi phục không, bạn không muốn tìm hiểu sau trong trường hợp khẩn cấp mà chế độ khôi phục không hoạt động :)

17. Cài đặt bất kỳ bản cập nhật nào, có khả năng xây dựng lại ramdisk và cập nhật cấu hình grub. Khởi động lại và kiểm tra cả chế độ bình thường và chế độ phục hồi.

Có thể tạo một thiết lập khởi động kép được mã hóa chỉ bằng các công cụ GUI của Ubuntu LiveCD.

Điều kiện tiên quyết

• Một thanh USB với Trình cài đặt Ubuntu 19.04.
• Nếu bạn có Mainboard EFI, hãy đảm bảo rằng đĩa đang sử dụng bảng phân vùng GUID (GPT). Sử dụng đĩa MBR với phương pháp này dường như thất bại. Bạn có thể chuyển đổi MBR sang GPT bằng các công cụ Linux ( gdisk), nhưng trước tiên bạn nên thực hiện sao lưu. Nếu bạn chuyển đổi bảng Phân vùng, bạn sẽ cần sửa bộ tải khởi động windows sau đó.

các cửa sổ

• Trong loại thanh bắt đầu disk partitionvà chọn tùy chọn đầu tiên (mở trình quản lý phân vùng đĩa từ cài đặt).

• Thu nhỏ phân vùng chính của bạn đến kích thước Ubuntu mong muốn của bạn (Tôi chỉ sử dụng mặc định, chia ổ đĩa 500 GB của mình thành HĐH Windows 240 GB và dung lượng 240 GB chưa phân bổ).

BIOS

• Vô hiệu hóa khởi động an toàn (nếu bạn có bitlocker, bạn sẽ cần phải thay đổi nó để khởi động an toàn vào windows mỗi lần) - điều này tốt cho tôi vì Ubu là hệ điều hành chính của tôi, chỉ cần sử dụng Windoze để chơi game.

Ubuntu LiveCD

Cuối cùng - Khởi động vào USB cài đặt 19.04

• Nhấn Entervào tùy chọn Cài đặt Ubuntu mặc định .

• Khi bạn đến màn hình có nội dung Xóa toàn bộ đĩa và có một số hộp kiểm, hãy nhấp vào tùy chọn Something other (phân vùng thủ công). Nếu không, bạn sẽ mất Windows Data!

Khi trình quản lý phân vùng đĩa tải đĩa của bạn, bạn sẽ có một không gian lớn chưa được phân bổ. Nhấp vào đó và nhấn nút Thêm để tạo phân vùng.

• Đầu tiên, tạo /bootphân vùng 500MB (chính, ext4).
• Thứ hai, với phần còn lại của không gian tạo thành một khối được mã hóa. Điều này sẽ tạo ra một phân vùng LV duy nhất. Sửa đổi nó để được /phân vùng gốc được chọn .
• Sau đó, phần còn lại của quá trình cài đặt sẽ hoạt động như bình thường.

Khi bạn khởi động lần đầu tiên, hãy đăng nhập, mở một thiết bị đầu cuối, chạy sudo apt-get updatevà sudo apt dist-upgrade, khởi động lại và đăng nhập lại.

Một tệp hoán đổi 2GB sẽ được tạo tự động. Nếu bạn muốn một chiếc 8GB thay thế, hãy đọc câu trả lời này .

Đầu tiên, điểm tại sao chỉ mã hóa phân vùng Linux có thể không đủ an toàn cho bạn:

1. https://superuser.com/questions/1013944/encrypted-boot-in-a-luks-lvm-ubfox-installation
2. https://security.stackexchange.com/questions/166075/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil- maid-a
3. https://www.reddit.com/r/linux/comments/6e5qlz/benefits_of_encrypting_the_boot_partition/
4. https://unix.stackexchange.com/questions/422860/why-should-we-encrypt-the-system-partition-and-not-only-home
5. https://www.coolgeek101.com/howto/infr Hạ tầng / full -disk-encoding-ubfox-usb-detached-luks-header/
6. https://superuser.com/questions/1324389/how-to-avoid-encrypted-boot-partition-password-prompt-in-lvm-arch-linux

Bây giờ, tôi đã làm theo hướng dẫn này:

1. https://www.oxygenimpaired.com/multipl-linux-distro-installs-on-a-luks-encrypted-harddrive
2. http://web.archive.org/web/20160402040105/http://www.oxygenimpaired.com/multipl-linux-distro-installs-on-a-luks-encrypted-harddrive

Về câu trả lời này, tôi đang trình bày từng bước cài đặt Linux (có hình ảnh) Mint 19.1 XFCEvà Ubuntu 18.04.2cả hai được mã hóa hoàn toàn trong một đĩa. Trước tiên tôi được cài đặt Ubuntu 14.04.2trên /dev/sda5và tôi không tạo ra các phân vùng swap vì Linux Mint 19.1và Ubuntu 18.04.2không sử dụng chúng, ví dụ, họ sử dụng các file swap.

Ubuntu 18.04.2 Beaver Beaver

Đầu tiên, chèn Ubuntuphương tiện cài đặt và khởi động lại máy vào Ubuntuphiên trực tiếp, sau đó, chọn Try Ubuntuvà mở một thiết bị đầu cuối, sau đó

1. sudo su -
2. fdisk /dev/sda, sau đó, tạo các phân vùng sau
   • 
3. cryptsetup luksFormat /dev/sda5
4. cryptsetup luksOpen /dev/sda5 sda5_crypt
5. pvcreate /dev/mapper/sda5_crypt
6. vgcreate vgubuntu /dev/mapper/sda5_crypt
7. lvcreate -L10G -n ubuntu_root vgubuntu
   • lvcreate -l 100%FREE -n ubuntu_root vgubuntu(tùy chọn, thay vì chạy lvcreate -L10G -n ubuntu_root vgubuntu, bạn có thể chạy phần này lvcreate -l 100%FREE -n ubuntu_root vgubuntuđể sử dụng toàn bộ dung lượng trống của đĩa, thay vì chỉ 10GB)
   • 
8. Không đóng thiết bị đầu cuối và mở trình cài đặt distro, chọn Thứ khác và cài đặt với
   • /dev/sda1gắn dưới dạng /bootphân vùng với ext2định dạng
   • /dev/mapper/vgubuntu-ubuntu_rootgắn kết /với ext4định dạng.
   • /dev/sda khi cài đặt bộ tải khởi động
   • Không đánh dấu bất cứ điều gì khác
   • 
   • 
9. Không khởi động lại, nhấp vào Tiếp tục sử dụng Linux và chọn thiết bị đầu cuối mở
10. mkdir /mnt/newroot
11. mount /dev/mapper/vgubuntu-ubuntu_root /mnt/newroot
12. mount -o bind /proc /mnt/newroot/proc
13. mount -o bind /dev /mnt/newroot/dev
14. mount -o bind /dev/pts /mnt/newroot/dev/pts
15. mount -o bind /sys /mnt/newroot/sys
16. cd /mnt/newroot
17. chroot /mnt/newroot
18. mount /dev/sda1 /boot
19. blkid /dev/sda5 (sao chép UUID mà không có dấu ngoặc kép và sử dụng nó ở bước tiếp theo)
20. echo sda5_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
21. Tạo tập tin /etc/grub.d/40_custom
    • 
22. Chỉnh sửa /etc/default/grubvà thiết lập
    • GRUB_TIMEOUT_STYLE=menu
    • GRUB_TIMEOUT=10
    • 
23. update-initramfs -u
24. update-grub
    • 
    • 
25. exit
26. reboot
27. Sau khi khởi động lại máy tính của bạn, chọn tùy chọn Ubuntuvà nó sẽ hỏi chính xác mật khẩu mã hóa của bạn
    • 
28. Sau khi bạn đăng nhập, hãy chạy
    • sudo apt-get update
    • sudo apt-get install gparted
29. Và bằng cách mở gpartedbạn sẽ tìm thấy điều này
    • 

Để biết hướng dẫn chi tiết hơn, hãy đọc hướng dẫn ban đầu được chỉ ra ở đầu câu hỏi này hoặc tìm kiếm trên google về việc sử dụng các lệnh này.

Bạc hà Linux 19.1 Quế

Đối với các cài đặt Linux còn lại, máy rebootcủa bạn Ubuntu, khởi động với Mint 19.1trình cài đặt (Live CD) và mở cửa sổ đầu cuối

1. sudo su -
2. cryptsetup luksFormat /dev/sda6
3. cryptsetup luksOpen /dev/sda6 sda6_crypt
4. pvcreate /dev/mapper/sda6_crypt
5. vgcreate vgmint /dev/mapper/sda6_crypt
6. lvcreate -L10G -n mint_root vgmint
   • lvcreate -l 100%FREE -n mint_root vgmint(tùy chọn, thay vì chạy lvcreate -L10G -n mint_root vgmint, bạn có thể chạy phần này lvcreate -l 100%FREE -n mint_root vgmintđể sử dụng toàn bộ dung lượng trống của đĩa, thay vì chỉ 10 GB)
   • 
   • 
7. Không đóng thiết bị đầu cuối và mở trình cài đặt distro, chọn Thứ khác và cài đặt với
   • /dev/sda2gắn dưới dạng /bootphân vùng với ext2định dạng
   • /dev/mapper/vgmint-mint_rootgắn kết /với ext4định dạng.
   • /dev/sda2khi cài đặt bộ tải khởi động (không chọn /dev/sdanhư trước)
   • Không đánh dấu bất cứ điều gì khác
   • 
   • 
8. Không khởi động lại, nhấp vào Tiếp tục sử dụng Linux và chọn thiết bị đầu cuối mở
9. mkdir /mnt/newroot
10. mount /dev/mapper/vgmint-mint_root /mnt/newroot
11. mount -o bind /proc /mnt/newroot/proc
12. mount -o bind /dev /mnt/newroot/dev
13. mount -o bind /dev/pts /mnt/newroot/dev/pts
14. mount -o bind /sys /mnt/newroot/sys
15. cd /mnt/newroot
16. chroot /mnt/newroot
17. mount /dev/sda2 /boot
18. blkid /dev/sda6 (sao chép UUID mà không có dấu ngoặc kép và sử dụng nó ở bước tiếp theo)
19. echo sda6_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
20. update-initramfs -u
21. update-grub
    • 
    • 
22. exit
23. reboot
24. Sau khi khởi động lại máy tính của bạn, chọn tùy chọn Linux Mint on /dev/sda2
    • 
25. Sau đó, nó sẽ bắt đầu chính xác Mint 19.1và yêu cầu mật khẩu mã hóa
    • 
26. Sau khi bạn đăng nhập, hãy chạy
    • sudo apt-get update
    • sudo apt-get install gparted
27. Và bằng cách mở gpartedbạn sẽ tìm thấy điều này
    • 

Liên kết liên quan:

1. Làm cách nào để thay đổi kích thước phân vùng LVM đang hoạt động?
2. Làm cách nào để thay đổi kích thước phân vùng LVM? (tức là: khối lượng vật lý)
3. https://www.tecmint.com/extend-and-reduce-lvms-in-linux/
4. Trình tải chuỗi Grub không hoạt động với Windows 8
5. Khởi động UEFI với mã hóa / khởi động trên Ubuntu 14.04 LTS