У меня есть SSD и жесткий диск.
При установке Ubuntu я хочу "Диск стирания и устанавливаю Ubuntu", и также "Шифруют новую установку Ubuntu для безопасности".
Это делает мой / домой под SSD, но я хотел бы иметь его под жестким диском, но также и зашифрованный. Как я могу сделать это?
Править:
sda 8:0 0 223,6G 0 disk
├─sda1 8:1 0 512M 0 part /boot/efi
├─sda2 8:2 0 732M 0 part /boot
└─sda3 8:3 0 222,4G 0 part
└─sda3_crypt 253:0 0 222,4G 0 crypt
├─ubuntu--vg-root 253:1 0 206,4G 0 lvm /
└─ubuntu--vg-swap_1 253:2 0 15,9G 0 lvm [SWAP]
sdb 8:16 0 931,5G 0 disk
└─sdb1 8:17 0 931,5G 0 part
└─home_drive 253:3 0 931,5G 0 crypt /mnt
А-ч, пользовательское разделение. Это - забавное, особенно когда Вы пытаетесь зашифровать перекрестный объем. Я собираюсь предположить, что Вы не хотите чрезмерно сходить с ума (да, который является моей структурой раздела), и используйте LVM в LUKS здесь. Я также собираюсь предположить, что Вы уже установили вещи, поскольку это делает этот процесс крошечным битом легче.
Вы оказываетесь перед необходимостью запускаться путем создания нового раздела EXT4 на жестком диске. Заставьте его поднять столько пространства, сколько Вы хотите.
Затем, необходимо будет работать cryptsetup
на самом деле настраивать шифрование. Команда, которую Вы хотите, будет:
cryptsetup luksFormat /dev/sdXY
Замена /dev/sdXY
с чем указывает на Ваш новый раздел EXT4. Вам предложат выбрать пароль. Выберите сильный и запишите его. Вы не должны будете помнить это к тому времени, когда Вы сделаны (Вы будете видеть почему, поскольку мы добираемся далее в это сообщение).
Затем, мы должны сделать другого ext4
раздел в Вашем контейнере LUKS, который в конечном счете продолжит содержать /home
. Эти команды достигнут этого:
cryptsetup open --type luks /dev/sdXY home_drive
mkfs -t ext4 /dev/mapper/home_drive
cryptsetup close home_drive
Затем, выполненный blkid
и обратите внимание на UUID своего нового контейнера LUKS (в /dev/sdXY
). Вам будет нужен он через секунду.
Теперь, мы должны настроить что-то позвонившее decrypt_derived
, который позволяет Вам "цепочечным" операциям дешифрования.
Путем выполнения этого мы позволим одному паролю работать через оба диска. В действительности Ваш дешифрованный первый диск будет паролем для Вашего второго диска. Ваш пароль (выбранный выше) будет все еще работать в случае чрезвычайной ситуации (думайте восстановление данных или подобный).
Работайте ниже редактирований команд/файла. Обязательно переименуйте ubuntu_crypt
к чему называют Ваш текущий склеп (см. /etc/crypttab
найти это). Также замена /dev/sdXY
с Вашим новым разделом LUKS.
/lib/cryptsetup/scripts/decrypt_derived ubuntu_crypt > /tmp/home_keyfile
cryptsetup luksAddKey /dev/sdXY /tmp/home_keyfile
shred -u /tmp/home_keyfile
Затем, Вы захотите добавить следующую строку к /etc/crypttab
:
home_drive UUID=<your_drive_uuid> ubuntu_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
Если Вы используете SSD для своего домашнего диска, несомненно, заменят luks,keyscript=...
с luks,discard,keyscript=...
.
/etc/fstab
Теперь, когда Ваша система настраивается и может автосмонтировать диск, мы должны сделать /etc/fstab
зная об этом.
К счастью, это - просто одна строка, которая должна быть добавлена ниже /
запись в /etc/fstab
. Эта строка посмотрит что-то как:
/dev/mapper/home_drive /mnt ext4 errors=remount-ro 0 1
Затем, Вы собираетесь хотеть смонтировать свое новое (готовый пойти!) размещают раздел. Ваши команды будут чем-то как:
cryptsetup open --type luks /dev/sdXY home_drive
mount /dev/mapper/home_drive /mnt
Скопируйте свою текущую домашнюю папку в новый диск и удостоверьтесь, что все выглядит хорошим.
Наконец, просто необходимо работать ниже команды для создания системы, знающей склепе:
update-initramfs -u -k all
Перезагрузите свою систему и удостоверьтесь, что необходимо будет только ввести пароль однажды. Если необходимо сделать это несколько раз, что-то пошло не так, как надо. Перепроверьте все свои шаги.
После того как Вы назад онлайн, подтвердите это /mnt
имеет все Ваши домашние данные, существующие в нем.
Теперь, Вы собираетесь хотеть вновь открыться /etc/fstab
снова, и редактирование Ваша новая строка, заменяя /mnt
с /home
. Это должно быть похожим на это:
/dev/mapper/home_drive /home ext4 errors=remount-ro 0 1
Сохраните файл.
Выполненный update-initramfs -u -k all
еще раз, и перезагрузка Ваша система.
После того как Вы вернулись, выполненные lsblk
и удостоверьтесь, что Ваш homedir смонтирован к новому диску.
После того как Вы счастливы, необходимо будет избавиться от старых домашних данных. Проблема состоит в том, что монтирование заменит текущую папку собой, таким образом, не будет никакого способа получить доступ к тем данным (и Вы не можете удалить свой homedir при выполнении). Так, необходимо будет сделать bindmount:
mount --bind / /mnt
Выполненный touch /mnt/home/test
, и затем сразу выполненный cat /home/test
и удостоверьтесь, что это жалуется, что файл не найден. Если файл найден, что-то неправильно с Вашей конфигурацией монтирования.
После того как Вы уверены это /home/test
не существует, но /mnt/home/test
делает, можно идти вперед и удалить старый дом с rm -rf /mnt/home/*
.
Ваша система теперь будет на Вашем SSD, и Ваш homedir будет на его собственном зашифрованном диске!