Вопросы Теги

Ubuntu шифрует SSD + / домашний (жесткий диск)

У меня есть SSD и жесткий диск.

При установке Ubuntu я хочу "Диск стирания и устанавливаю Ubuntu", и также "Шифруют новую установку Ubuntu для безопасности".

Это делает мой / домой под SSD, но я хотел бы иметь его под жестким диском, но также и зашифрованный. Как я могу сделать это?

Править:

sda                       8:0    0 223,6G  0 disk  
├─sda1                    8:1    0   512M  0 part  /boot/efi
├─sda2                    8:2    0   732M  0 part  /boot
└─sda3                    8:3    0 222,4G  0 part  
  └─sda3_crypt          253:0    0 222,4G  0 crypt 
    ├─ubuntu--vg-root   253:1    0 206,4G  0 lvm   /
    └─ubuntu--vg-swap_1 253:2    0  15,9G  0 lvm   [SWAP]
sdb                       8:16   0 931,5G  0 disk  
└─sdb1                    8:17   0 931,5G  0 part  
  └─home_drive          253:3    0 931,5G  0 crypt /mnt
  • подкачка изменяет размер его, будет следующий шаг (или даже отключит),
2
задан 14 November 2017 в 00:31

1 ответ

А-ч, пользовательское разделение. Это - забавное, особенно когда Вы пытаетесь зашифровать перекрестный объем. Я собираюсь предположить, что Вы не хотите чрезмерно сходить с ума (да, который является моей структурой раздела), и используйте LVM в LUKS здесь. Я также собираюсь предположить, что Вы уже установили вещи, поскольку это делает этот процесс крошечным битом легче.

Первая часть: Установка Вашего Раздела LUKS

Вы оказываетесь перед необходимостью запускаться путем создания нового раздела EXT4 на жестком диске. Заставьте его поднять столько пространства, сколько Вы хотите.

Затем, необходимо будет работать cryptsetup на самом деле настраивать шифрование. Команда, которую Вы хотите, будет:

cryptsetup luksFormat /dev/sdXY

Замена /dev/sdXY с чем указывает на Ваш новый раздел EXT4. Вам предложат выбрать пароль. Выберите сильный и запишите его. Вы не должны будете помнить это к тому времени, когда Вы сделаны (Вы будете видеть почему, поскольку мы добираемся далее в это сообщение).

Затем, мы должны сделать другого ext4 раздел в Вашем контейнере LUKS, который в конечном счете продолжит содержать /home. Эти команды достигнут этого:

cryptsetup open --type luks /dev/sdXY home_drive
mkfs -t ext4 /dev/mapper/home_drive
cryptsetup close home_drive

Затем, выполненный blkid и обратите внимание на UUID своего нового контейнера LUKS (в /dev/sdXY). Вам будет нужен он через секунду.


Вторая часть: включите автоматическое дешифрование

Теперь, мы должны настроить что-то позвонившее decrypt_derived, который позволяет Вам "цепочечным" операциям дешифрования.

Путем выполнения этого мы позволим одному паролю работать через оба диска. В действительности Ваш дешифрованный первый диск будет паролем для Вашего второго диска. Ваш пароль (выбранный выше) будет все еще работать в случае чрезвычайной ситуации (думайте восстановление данных или подобный).

Работайте ниже редактирований команд/файла. Обязательно переименуйте ubuntu_crypt к чему называют Ваш текущий склеп (см. /etc/crypttab найти это). Также замена /dev/sdXY с Вашим новым разделом LUKS.

/lib/cryptsetup/scripts/decrypt_derived ubuntu_crypt > /tmp/home_keyfile
cryptsetup luksAddKey /dev/sdXY /tmp/home_keyfile
shred -u /tmp/home_keyfile

Затем, Вы захотите добавить следующую строку к /etc/crypttab:

home_drive UUID=<your_drive_uuid> ubuntu_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

Если Вы используете SSD для своего домашнего диска, несомненно, заменят luks,keyscript=... с luks,discard,keyscript=....


Часть III: добавьте к /etc/fstab

Теперь, когда Ваша система настраивается и может автосмонтировать диск, мы должны сделать /etc/fstab зная об этом.

К счастью, это - просто одна строка, которая должна быть добавлена ниже / запись в /etc/fstab. Эта строка посмотрит что-то как:

/dev/mapper/home_drive    /mnt    ext4    errors=remount-ro    0    1


Часть IV: Проверение его

Затем, Вы собираетесь хотеть смонтировать свое новое (готовый пойти!) размещают раздел. Ваши команды будут чем-то как: 

cryptsetup open --type luks /dev/sdXY home_drive
mount /dev/mapper/home_drive /mnt

Скопируйте свою текущую домашнюю папку в новый диск и удостоверьтесь, что все выглядит хорошим.

Наконец, просто необходимо работать ниже команды для создания системы, знающей склепе:

update-initramfs -u -k all

Перезагрузите свою систему и удостоверьтесь, что необходимо будет только ввести пароль однажды. Если необходимо сделать это несколько раз, что-то пошло не так, как надо. Перепроверьте все свои шаги.

После того как Вы назад онлайн, подтвердите это /mnt имеет все Ваши домашние данные, существующие в нем.


Часть V: Перемещение для реального

Теперь, Вы собираетесь хотеть вновь открыться /etc/fstab снова, и редактирование Ваша новая строка, заменяя /mnt с /home. Это должно быть похожим на это:

/dev/mapper/home_drive    /home    ext4    errors=remount-ro    0    1

Сохраните файл.

Выполненный update-initramfs -u -k all еще раз, и перезагрузка Ваша система.

После того как Вы вернулись, выполненные lsblk и удостоверьтесь, что Ваш homedir смонтирован к новому диску.

После того как Вы счастливы, необходимо будет избавиться от старых домашних данных. Проблема состоит в том, что монтирование заменит текущую папку собой, таким образом, не будет никакого способа получить доступ к тем данным (и Вы не можете удалить свой homedir при выполнении). Так, необходимо будет сделать bindmount:

mount --bind / /mnt

Выполненный touch /mnt/home/test, и затем сразу выполненный cat /home/test и удостоверьтесь, что это жалуется, что файл не найден. Если файл найден, что-то неправильно с Вашей конфигурацией монтирования.

После того как Вы уверены это /home/test не существует, но /mnt/home/test делает, можно идти вперед и удалить старый дом с rm -rf /mnt/home/*.

Ваша система теперь будет на Вашем SSD, и Ваш homedir будет на его собственном зашифрованном диске!

2
ответ дан 2 December 2019 в 03:36

Другие вопросы по тегам:

Похожие вопросы: