Возможный переместить 16.04 ноутбуков LTS в полный диск (удачи) шифрование?

Question 1

Таким образом, у меня есть ноутбук, и я хочу видеть, как трудно он должен мигрировать на полное шифрование диска. Я сделал это от чистой установки однажды и даже записал ПРАКТИЧЕСКОЕ РУКОВОДСТВО, которое у меня, к сожалению, больше нет доступа к (корпоративная Wiki). Мое ожидание состоит в том, что выполнение его от чистой установки было, вероятно, очень автоматизировано и таким образом, миграция могла бы быть намного более трудной. Я искал руководства, но они все, кажется, отмечены с некоторым вариантом "Duplicate", "Обновление Потребностей", "Кандидат на Удаление", и т.д. таким образом, что очень трудно теперь сказать, который является самым соответствующим руководством.

Question 2

Я делал такую миграцию один или два раза, но вы должны иметь возможность использовать Google для решения возникающих проблем. Это не полный ответ, просто грубые шаги того, что вам нужно сделать. Эти шаги должны выполняться с Live CD и включать операции с LUKS и LVM, поэтому вы также можете получить Live CD, содержащий последнюю версию KDE Partition Manager 3.0, и использовать его для операций LUKS и LVM.

Если у вас достаточно свободного места (более 50%), вы можете просто

Изменить размер текущего раздела.
Создайте новый физический том LVM2 (PV), зашифрованный с помощью LUKS.
Создайте новую группу томов, содержащую LVM PV.
Создайте новый логический том LVM для ваших rootfs (и, возможно, подкачки и всех других разделов, которые у вас могут быть ...). Я сам использую btrfs с вложенными томами, поэтому у меня были только btrfs и swap.
Переместите ваши данные в зашифрованные разделы
Удалите незашифрованные разделы
Деактивируйте LVM и деактивируйте свой контейнер LUKS
Переместите контейнер LUKS в начало диска (пространство, освобожденное удаление незашифрованных данных)
Снова откройте свой контейнер LUKS.
Вырасти свой контейнер LUKS так, чтобы он заполнил весь диск.
Увеличьте LVM LV, содержащий вашу корневую файловую систему.

Затем вам нужно будет обновить записи в / etc / fstab, создать / etc / crypttab, выполнить chroot в ваших зашифрованных rootfs, обновить ваши initramfs и конфигурацию grub.

Это все еще оставляет / boot незашифрованным. Вы также можете зашифровать / загрузить, но это добавляет несколько дополнительных шагов, поэтому сначала убедитесь, что все выше работает. Для того, чтобы зашифровать загрузку, вы должны переместить содержимое раздела / boot в ваш rootfs / boot /. Затем в / etc / default / grub вам нужно добавить GRUB_ENABLE_CRYPTODISK=y и удалить старый незашифрованный / boot. Затем вам снова нужно обновить записи в / etc / fstab, создать / etc / crypttab, выполнить chroot в зашифрованные rootfs, обновить конфигурацию initramfs и grub. После этих шагов grub будет запрашивать парольную фразу перед загрузкой, однако она не передает ее initramfs при загрузке, поэтому cryptsetup будет запрашивать ее снова. Поэтому вам нужно будет добавить файл ключа luks в ваш контейнер luks и поместить его в ваши initramfs. Например. мой файл / etc / crypttab содержит

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

Andrius Štikonas · Answer 1 · 7 November 2019 в 04:56

Я делал такую миграцию один или два раза, но вы должны иметь возможность использовать Google для решения возникающих проблем. Это не полный ответ, просто грубые шаги того, что вам нужно сделать. Эти шаги должны выполняться с Live CD и включать операции с LUKS и LVM, поэтому вы также можете получить Live CD, содержащий последнюю версию KDE Partition Manager 3.0, и использовать его для операций LUKS и LVM.

Если у вас достаточно свободного места (более 50%), вы можете просто

Изменить размер текущего раздела.
Создайте новый физический том LVM2 (PV), зашифрованный с помощью LUKS.
Создайте новую группу томов, содержащую LVM PV.
Создайте новый логический том LVM для ваших rootfs (и, возможно, подкачки и всех других разделов, которые у вас могут быть ...). Я сам использую btrfs с вложенными томами, поэтому у меня были только btrfs и swap.
Переместите ваши данные в зашифрованные разделы
Удалите незашифрованные разделы
Деактивируйте LVM и деактивируйте свой контейнер LUKS
Переместите контейнер LUKS в начало диска (пространство, освобожденное удаление незашифрованных данных)
Снова откройте свой контейнер LUKS.
Вырасти свой контейнер LUKS так, чтобы он заполнил весь диск.
Увеличьте LVM LV, содержащий вашу корневую файловую систему.

Затем вам нужно будет обновить записи в / etc / fstab, создать / etc / crypttab, выполнить chroot в ваших зашифрованных rootfs, обновить ваши initramfs и конфигурацию grub.

Это все еще оставляет / boot незашифрованным. Вы также можете зашифровать / загрузить, но это добавляет несколько дополнительных шагов, поэтому сначала убедитесь, что все выше работает. Для того, чтобы зашифровать загрузку, вы должны переместить содержимое раздела / boot в ваш rootfs / boot /. Затем в / etc / default / grub вам нужно добавить GRUB_ENABLE_CRYPTODISK=y и удалить старый незашифрованный / boot. Затем вам снова нужно обновить записи в / etc / fstab, создать / etc / crypttab, выполнить chroot в зашифрованные rootfs, обновить конфигурацию initramfs и grub. После этих шагов grub будет запрашивать парольную фразу перед загрузкой, однако она не передает ее initramfs при загрузке, поэтому cryptsetup будет запрашивать ее снова. Поэтому вам нужно будет добавить файл ключа luks в ваш контейнер luks и поместить его в ваши initramfs. Например. мой файл / etc / crypttab содержит

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

Возможный переместить 16.04 ноутбуков LTS в полный диск (удачи) шифрование?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: