Вопросы Теги

Указать шифр шифрования для использования во время установки?

Я просто прошел определение процесса установки, "делают что-то еще", затем выбрал мой раздел для использования в качестве зашифрованного контейнера и наконец использовал тот контейнер, который будет отформатирован с файловой системой. Я не видел опции использовать шифр моего выбора и отметил, что значение по умолчанию, кажется, sha256.

Существует ли способ сказать это, что я хочу использовать?

Править: это использовало 16,10 настольной ISO.

Edit2: учитывая приведенную ниже таблицу AlexP в качестве примера, я думал, что перечислю фактические значения по умолчанию после прохождения через установщика Ubuntu, как описано выше.

Edit3: добавление с тем, что я думаю шоу, что рекомендации Arch и значения по умолчанию Ubuntu, возможно, не отличаются вообще.

Единственной вещью, которая выделяется, является смещение полезной нагрузки, и анекдотическим образом я чувствую, что диск человечности открывается быстрее. Я думаю, что это может быть из-за, это - опция для --iter-time. Значение по умолчанию 2000 (миллисекунды) и я указали бы 5000 вручную. Это - то, сколько времени это крутится прежде, чем прибыть в заключительный хеш, если я понимаю правильно. Каждый раз, когда Вы разблокировали, необходимо сделать это снова для получения правильного хэша пароля (корректный если неправильно). Кроме этого, вещи идентичны.

### ubuntu default
$ sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        512

### arch recommendation
$ sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 65535
MK bits:        512


### ubuntu default
$ sudo cryptsetup status /dev/mapper/ubuntu

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sdb2
  offset:  4096 sectors
  size:    487393280 sectors
  mode:    read/write

### arch recommendation
$ sudo cryptsetup status /dev/mapper/arch

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sda2
  offset:  65535 sectors
  size:    233262018 sectors
1
задан 13 February 2017 в 21:12

1 ответ

Шифр по умолчанию aes-xts-plain64 с 256-разрядным ключом и SHA 1 контрольная сумма. Это - хорошее значение по умолчанию. Очень хорошее значение по умолчанию. Если Вы не квалифицированный шифровальщик, необходимо оставить его, как. Хорошо осведомленные люди выбрали это значение по умолчанию после пребывания в течение большого количества времени и усилия.

Узнать, какой шифр используется для Вашего зашифрованного контейнера, можно использовать команду sudo cryptsetup status и sudo cryptsetup luksDump. Например:

$ sudo lsblk
NAME                  MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                     8:0    0   40G  0 disk  
├─sda1                  8:1    0  284M  0 part  /boot
└─sda2                  8:2    0 39.7G  0 part  
  └─Machinia          252:0    0 39.7G  0 crypt 
    ├─Machinia-Swap   252:1    0  1.2G  0 lvm   [SWAP]
    ├─Machinia-Home   252:2    0  9.5G  0 lvm   /home
    ├─Machinia-System 252:3    0   20G  0 lvm   /
    └─Machinia-Srv    252:4    0    6G  0 lvm   /srv
sr0                    11:0    1 1024M  0 rom   

$ sudo cryptsetup status Machinia
/dev/mapper/Machinia is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 256 bits
  device:  /dev/sda2
  offset:  4096 sectors
  size:    83298304 sectors
  mode:    read/write
  flags:   discards

$ sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
...

Те, которые сказали, он, Вы абсолютно хотите указать другой шифр, Вы можете. Базовый процесс хорошо описан хорошими людьми в ArchLinux в Шифровании всей системы. Сделайте это следующим образом:

  1. Начальная загрузка из носителя установки.

  2. Выберите "Try Ubuntu".

  3. Откройте терминал.

  4. Используя fdisk, parted или графическое Gparted, создайте Ваш /boot разделите вручную. (Это предполагает использование фрагментированного диска MBR. При использовании GPT-отформатированного диска необходимо также создать Системный раздел EFI.)

  5. Создайте свой раздел, который будет зашифрован вручную. Скажем, то, что это /dev/sda2.

  6. Отформатируйте его как контейнер LUKS. Это - то, где Вы указываете шифр:

    sudo cryptsetup luksFormat /dev/sda2 --cipher=<cipherspec> --keysize=<size>

    Например,

    sudo crypsetup luksFormat /dev/sda2 --cipher=aes-cbc-essiv:sha256 --keysize=512

    Позвольте мне повторить, что, если у Вас нет профессионального криптографического знания, Вы не должны делать этого. Но давайте продолжим.

  7. Откройте свой зашифрованный раздел и дайте ему контейнерное имя:

    sudo cryptsetup luksOpen /dev/sda2 <name>

    Для "любимой" компьютерной системы хороший выбор состоит в том, чтобы использовать имя хоста с первоначальным капиталом. Например, если Вы планируете использовать имя хоста machinia,

    sudo cryptsetup luksOpen /dev/sda2 Machinia

  8. Формат /dev/mapper/Machinia (или безотносительно имени Вы выбрали на шаге 7) как физический том LVM:

    sudo pvcreate /dev/mapper/Machinia # Use the name chosen in step 7

  9. Создайте группу объема LVM на физическом томе:

    sudo vgcreate Machinia /dev/mapper/Machinia # Use the name chosen in step 7

  10. Создайте логические тома для /, /home, /srv, /var, подкачайте и т.д. в группе объема LVM. Необходимо создать по крайней мере один логический том для /. Отдельный объем для /home является дополнительным, но рекомендован. Создание отдельных объемов для /var, подкачка и так далее является дополнительной и зависит от Ваших планов.

    sudo lvcreate -L 20g -n System Machinia # /
sudo lvcreate -L 3g  -n Swap   Machinia # swap
sudo lvcreate -L 10g -n Home   Machinia # /home

    Можно хотеть оставить некоторое пространство освобожденным, чтобы смочь использовать снимки LVM. Ваш выбор.

  11. Теперь запустите установщик и установите Ubuntu, выбор "Something else" и выбор /dev/sda1 (или безотносительно) для /boot, /dev/mapper/Machinia-System (использование Ваших выбранных имен, конечно) для /, /dev/mapper/Machinia-Swap для области подкачки, /dev/mapper/Machinia-Home для /home.

    Используйте раздел, сделанный на шаге 4 для /boot, и логические тома, созданные на шаге 10 для /, подкачка, /home и т.д.

    Если Вы используете перепроверку фрагментированного диска MBR и удостоверяетесь, что GRUB должен быть установлен на физическом диске, /dev/sda (или независимо от того, что является правильным для Вашей системы.)

  12. Позвольте установщику продолжиться в конец. Когда это закончится, выберите "Continue testing" и вернитесь к своему терминалу.

  13. Смонтируйте свой будущий корневой объем на /target, смонтируйте специальные каталоги, затем chroot в /target:

    sudo mount /dev/mapper/Machinia-System /target
for d in dev proc run sys; do sudo mount --bind /$d /target/$d; done
chroot /target

  14. Вы - теперь корень в своем будущем корневом объеме. Перейдите в /etc и редактирование /etc/crypttab:

    cd /etc
echo Machinia UUID=$(cryptsetup luksUUID /dev/sda2) none luks,discard >crypttab

    /etc/crypttab должен быть похожим на это:

    # cat /etc/crypttab
Machinia UUID=016193a0-8a79-416c-95f3-c94bd3745c5c none luks,discard

    (С Вашим выбранным именем вместо Machinia и UUID, возвращенным cryptsetup luksUUID.)

  15. Обновите начальную корневую файловую систему и GRUB:

    update-initramfs
update-grub

  16. Выход от chroot:

    exit

  17. Размонтирование, что Вы смонтировали на шаге 13:

    for d in dev proc run sys; do sudo umount /target/$d; done
umount /target

  18. Перезагрузка и надежда на лучшее.

3
ответ дан 7 December 2019 в 12:35

Другие вопросы по тегам:

Похожие вопросы: