На установочном диске Ubuntu 13.04 есть возможность установить Ubuntu, зашифрованный с помощью LUKS. Однако нет возможности выполнить зашифрованную установку рядом с существующими разделами для сценария двойной загрузки.
Как я могу установить Ubuntu в зашифрованном виде вместе с другим разделом с живого диска?
Прежде всего, если вы хотите установить Ubuntu в зашифрованном виде на жесткий диск, заменив все существующие разделы и операционные системы, вы можете сделать это прямо из графического установщика. Этот ручной процесс требуется только для двойной загрузки.
Этот ответ был протестирован с Ubuntu 13.04.
Загрузитесь с Live DVD или USB-накопителя Ubuntu и выберите «Попробовать Ubuntu».
Создать два раздела с использованием GParted включены в live disk. Первый раздел должен быть неформатированным и должен быть достаточно большим для root и swap, в моем примере это / dev / sda3
. Второй раздел должен быть размером в несколько сотен мегабайт и отформатирован в ext2 или ext3, он будет незашифрован и смонтирован в / boot
(в моем примере это / dev / sda4
).
На этом снимке экрана у меня есть существующая незашифрованная установка Ubuntu в двух разделах: / dev / sda1
и / dev / sda5
, выделите кружок слева. Я создал неформатированный раздел в / dev / sda3
и раздел ext3 в / dev / sda4
, предназначенный для зашифрованной установки Ubuntu, выделенный кружком справа:
Создайте контейнер LUKS, используя эти команды. Замените / dev / sda3
неформатированным разделом, созданным ранее, а cryptcherries
- именем по вашему выбору.
sudo cryptsetup luksFormat / dev / sda3
sudo cryptsetup luksOpen / dev / sda3 cryptcherries
Предупреждение : вы заметите, что шаг luksFormat
завершился очень быстро, потому что он не стирает безопасным образом базовое блочное устройство. Если вы просто не экспериментируете и не заботитесь о защите от различных типов криминалистических атак, очень важно правильно инициализировать новый контейнер LUKS перед созданием в нем файловых систем.Запись нулей в сопоставленный контейнер приведет к записи сильных случайных данных на базовое блочное устройство. Это может занять некоторое время, поэтому для отслеживания прогресса лучше всего использовать команду pv
:
### Только для более старых версий, например не для 19.04, pv не включается в репо, нужно сначала добавить
# sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $ (lsb_release -sc) universe"
# sudo apt-get update
sudo apt-get install -y pv
sudo sh -c 'exec pv -tprebB 16m / dev / zero> «$ 1»' _ / dev / mapper / cryptcherries
или, если вы выполняете установку офлайн и не можете легко получить pv
:
sudo dd if = / dev / zero of = / dev / mapper / cryptcherries bs = 16M
Внутри смонтированного контейнера LUKS создайте физический том LVM, группу томов и два логических тома. Первый логический том будет смонтирован по адресу /
, а второй будет использоваться как своп. vgcherries
- это имя группы томов, а lvcherriesroot
и lvcherriesswap
- это имена логических томов, вы можете выбрать свое.
sudo pvcreate / dev / mapper / cryptcherries
sudo vgcreate vgcherries / dev / mapper / cryptcherries
sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
sudo lvcreate -n lvcherriesswap -L 1g vgcherries
Создайте файловые системы для двух логических томов: (Вы также можете сделать этот шаг непосредственно из установщика.)
sudo mkfs.ext4 / dev / mapper / vgcherries-lvcherriesroot
Судо mkswap / dev / mapper / vgcherries-lvcherriesswap
Без перезагрузки установите Ubuntu с помощью графического установщика (ярлык находится на рабочем столе в Xubuntu 18.04), выбрав ручное разделение. Назначьте /
на / dev / mapper / vgcherries-lvcherriesroot
и / boot
незашифрованному разделу, созданному на шаге 2 (в этом примере, / dev /sda4
).
По завершении графического установщика выберите «продолжить тестирование» и откройте терминал.
Найдите UUID разделов LUKS ( / dev / sda3
в этом case), он понадобится вам позже:
$ sudo blkid / dev / sda3
/ dev / sda3: UUID = "8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE = "crypto_LUKS"
Установите соответствующие устройства в соответствующие места в / mnt
и выполните chroot в него:
sudo mount / dev / mapper / vgcherries-lvcherriesroot / mnt
sudo mount / dev / sda4 / mnt / загрузка
sudo mount --bind / dev / mnt / dev
sudo chroot / mnt
> смонтировать -t proc proc / proc
> смонтировать -t sysfs sys / sys
> смонтировать -t devpts devpts / dev / pts
Создайте файл с именем / etc / crypttab
в chrooted-окружении, чтобы содержать эту строку, заменив значение UUID на UUID раздела LUKS, а vgcherries
на имя группа томов:
# <целевое имя> <исходное устройство> <ключевой файл> <параметры>
cryptcherries UUID = 8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks, retry = 1, lvm = vgcherries
Выполните следующую команду в chrooted среде:
update-initramfs -k all -c
Перезагрузитесь и загрузитесь в зашифрованную Ubuntu. Вам будет предложено ввести пароль.
Убедитесь, что вы используете зашифрованный раздел для /
, запустив mount
:
$ mount
/ dev / mapper / vgcherries-lvcherriesroot на / type ext4 (rw, errors = remount-ro)
/ dev / sda4 на / тип загрузки ext3 (rw)
# остальная часть вывода вырезана для краткости
Убедитесь, что вы используете зашифрованный раздел подкачки (а не какие-либо незашифрованные разделы подкачки из любых других установок), выполнив следующую команду:
$ swapon -s
Имя файла Тип Размер Используемый приоритет
/ dev / mapper / vgcherries-lvcherriesswap раздел 630780 0-1
Убедитесь, что вы можете загрузиться в режиме восстановления, вы не хотите, чтобы позже во время чрезвычайной ситуации узнал, что режим восстановления не работает :)
Установите любые обновления, которые могут восстановить ramdisk и обновить Конфигурация grub. Перезагрузите и проверьте как нормальный режим, так и режим восстановления.
Можно создать зашифрованную установку с двойной загрузкой, используя только инструменты графического интерфейса Ubuntu LiveCD.
gdisk
), но сначала вы должны сделать резервную копию. Если вы преобразовываете таблицу разделов, вам нужно будет впоследствии исправить загрузчик Windows . В строке запуска введите раздел диска
и выберите первый вариант ( открытие диспетчера разделов диска из настроек).
Уменьшите размер основного раздела до желаемого размера Ubuntu (я просто использовал значение по умолчанию, разделив мой диск 500 ГБ на 240 ГБ ОС Windows и 240 ГБ нераспределенного пространства).
Наконец - Загрузитесь в установщик 19.04 USB
Нажмите Введите в параметре по умолчанию Установить Ubuntu .
Когда вы попадете на экран с надписью Стереть весь диск и имеет несколько флажков, выберите вариант Другое (ручное разбиение). В противном случае вы потеряете данные Windows!
Как только диспетчер разделов диска загрузит ваш диск, у вас будет большое незанятое пространство. Щелкните по нему и нажмите кнопку Добавить , чтобы создать разделы.
/ boot
(основной, ext4). /
. Другими словами, нажмите кнопку «изменить» на / dev / mapper / sdaX_crypt
и установите точку монтирования на /
] Когда вы загружаетесь в первый раз, войдите в систему, откройте терминал, запустите sudo apt-get update
и sudo apt dist-upgrade
, перезагрузитесь и войдите снова.
Файл подкачки размером 2 ГБ будет создан автоматически. Если вы хотите вместо этого 8 ГБ, прочтите этот ответ .
Először is rámutat, miért nem biztos, hogy csak a Linux partíció titkosítása elég biztonságos az Ön számára:
Mostantól követtem ezt az oktatóanyagot:
Ebben a válaszban lépésről lépésre (képekkel) bemutatom a Linux telepítését Mint 19.1 XFCE
és Ubuntu 18.04.2
, mindkettő teljesen titkosítva egyetlen lemezen. Először telepítettem az Ubuntu 14.04.2
fájlt a / dev / sda5
fájlra, és nem hoztam létre a cserepartíciókat, mert Linux Mint 19.1
és Ubuntu 18.04.2
ne használja őket, azaz cserefájlokat használjon
Először helyezze be az Ubuntu
telepítő adathordozót, és indítsa újra a gépet az Ubuntu programba.
élő munkamenet, majd válassza a Próbálja ki az Ubuntu
parancsot, és nyisson meg egy terminált, majd
sudo su -
fdisk / dev / sda
, majd hozza létre a következő partíciókat
cryptsetup luksFormat / dev / sda5
cryptsetup luksOpen / dev / sda5 sda5_crypt
pvcreate / dev / mapper / sda5_crypt
vgcreate vgubuntu / dev / mapper / sda5_crypt
vgcunte / 12 / mapper / sda5_crypt
mkdir / mnt / newroot
mount / dev / mapper / vgubuntu-ubuntu_root / mnt / newroot
mount -o bind / proc / mnt / newroot / proc
mount -o bind / dev / mnt / newroot / dev
mount -o bind / dev / pts / mnt / newroot / dev / pts
mount -o bind / sys / mnt / newroot / sys
cd / mnt / newroot
chroot / mnt / newroot
mount / dev / sda1 / boot
blkid / dev / sda5
(idézőjelek nélkül másolja az UUID-t és használja a következő lépésben) echo sda5_crypt UUID = 5f22073b- b4ab-4a95-85bb-130c9d3b24e4 none luks> / etc / crypttab
/etc/grub.d/40_custom
/ etc / default / grub
a második készlet
update-initramfs -u
update-grub
exit
reboot
Ubuntu
, és helyesen kéri a titkosítási jelszót
sudo apt-get update
sudo apt-get install gparted
gparted
megnyitásával megtalálja ezt
További részletekért olvassa el a kérdés tetején feltüntetett eredeti oktatóanyagot, vagy keressen a Google-on ezeknek a parancsoknak a használatáról.
A fennmaradó Linux-telepítéseknél indítsa újra
az Ubuntu
gépét, indítsa el az Mint 19.1
(Live CD) telepítővel, és nyisson meg egy terminálablakot
sudo su -
cryptsetup luksFormat / dev / sda6
cryptsetup luksOpen / dev / sda6 sda6_crypt
pvcreate / dev / mapper / sda6_crypt
vgcreate vgmint / dev / mapper / sda6_crypt
lvcreate -L10G -n mint_vot vro -n mint_root vgmint
(opcionális, az lvcreate -L10G -n mint_root vgmint
futtatása helyett futtathatja ezt lvcreate -l 100% FREE -n mint_root vgmint
teljes lemezterület, csak 10 GB helyett) mkdir / mnt / newroot
mount / dev / mapper / vgmint-mint_root / mnt / newroot
mount -o nyílt terminált. bind / proc / mnt / newroot / proc
mount -o bind / dev / mnt / newroot / dev
mount -o bind / dev / pts / mnt / newroot / dev / pts
mount -o bind / sys / mnt / newroot / sys
cd / mnt / newroot
chroot / mnt / newroot
mount / dev / sda2 / boot
blkid / dev / sda6
(UUID másolása idézőjelek nélkül és használd a következő lépésnél) 12200] reboot Linux Mint on / dev / sda2
Mint 19.1
parancsot, és megkérdezte a titkosítási jelszót
sudo apt-get update
sudo apt-get install gparted
gparted
megnyitásával megtalálja ezt
Kapcsolódó linkek:
Добавляем сюда еще один ответ, так как многие другие ресурсы, которые я нашел (здесь и где-то еще), немного устарели, и я думаю, что некоторые шаги можно упростить.
Во-первых. , как упоминалось в других ответах, Если вы не хотите использовать двойную загрузку, просто выберите параметр шифрования в автоматическом установщике.
Стоит отметить, что этот метод не шифрует / boot
. Хотя есть веские причины для шифрования / boot
, графический установщик не шифрует его, когда вы выполняете графическую установку с LUKS. Таким образом, я соответствую этому прецеденту и сохраняю простоту незашифрованного раздела / boot
.
В этом руководстве я буду ссылаться на ] / dev / sda
. Ваш может быть другим - в частности, это может быть / dev / nvme0n1
. Просто сделайте соответствующие замены ниже, отмечая также, что / dev / sda1
будет соответствовать / dev / nvme0n1p1
. 1
Разделение можно выполнить с помощью GParted, sgdisk , или gdisk. Здесь проще всего ссылаться на sgdisk как на команды.
# sgdisk --zap-all / dev / sda
# sgdisk --new = 1: 0: + 550M / dev / sda
# sgdisk --change-name = 1: EFI / dev / sda
# sgdisk --typecode = 1: ef00 / dev / sda
# mkfs.fat -F 32 / dev / sda1
C:
. Это сделает другой раздел. / boot
. Другой предназначен для Ubuntu и будет зашифрован с помощью LUKS и будет использовать LVM (аналогично тому, как его настраивает процесс установки по умолчанию). (Если вы не настраивали BitLocker раньше, номера ваших разделов будут отличаться на 1 из моего примера ниже (так что мой sda5 - это ваш sda4).
# sgdisk --new = 5: 0: + 768M / dev / sda
# sgdisk --new = 6: 0: 0 / dev / sda
# sgdisk --change-name = 5: / boot --change-name = 6: rootfs / dev / sda
# sgdisk --typecode = 5: 8301 --typecode = 6: 8301 / dev / sda
# mkfs.ext4 -L boot / dev / sda5
# cryptsetup luksFormat --type = luks1 / dev / sda6
# cryptsetup open / dev / sda6 sda6_crypt
# pvcreate / dev / mapper / sda6_crypt
# vgcreate ubuntu-vg / dev / mapper / sda6_crypt
# lvcreate -L 8G -n swap_1 ubuntu-vg
# lvcreate -l 100% БЕСПЛАТНО -n root ubuntu-vg
/ dev / sda5
как ext4
для / boot
/ dev / mapper / ubuntu - vg-root
как ext4
для /
/ dev / mapper / ubuntu - vg-swap_1
as swap
/ dev / sda
/ etc / crypttab
(как root). Это то, что вызовет запрос парольной фразы при загрузке. Замените UUID в файле на UUID вашего диска, полученный из sudo blkid / dev / sda6
# mount / dev / mapper / ubuntu - vg-root / target
# монтировать / dev / sda5 / target / boot
# в proc sys dev etc / resolv.conf; сделать mount --rbind / $ n / target / $ n;сделанный
# chroot / target
# mount -a
# echo 'sda6_crypt UUID = abcdefgh-1234-5678-9012-abcdefghijklm none luks, try = 0, discard, громко'> / etc / crypttab
# update-initramfs -k all -c
Готово! Если вы используете BitLocker в Windows, ему не понравится загружаться с помощью grub. Вместо этого загрузитесь непосредственно в Windows из параметров загрузки BIOS.