Я хотел бы установить Ubuntu на двухдисковый RAID 1 с dm-целостности и LUKS2-шифрованием.
К сожалению, ни Ubiquity, ни альтернативный инсталлятор textmode не предлагают такого решения.
Хотя это казалось простым делом вручную, я пока не смог установить систему.
Макет для обоих дисков был следующим:
/ dev / sdX1
[ext2] для использования в качестве незашифрованного / boot
/ dev / sdX2
[неформатирован] для настроенный в LVM для зашифрованных / root
и swap
Я отформатировал оба диска в работающей системе в gparted
и затем выполнил cryptsetup luksFormat --type luks2 - -integrity hmac-sha256 / <устройство> / <раздел>
для любого диска в качестве основы для создания устройства RAID, LVM и файловой системы на более позднем этапе в установщике вручную.
Однако разделитель вручную не распознает зашифрованные разделы, и я не могу продолжать работать с ними.
Как я могу «открыть» зашифрованные разделы, чтобы настроить их для установки системы, не переформатируя их в первую очередь? 1236] Есть ли что-то еще, что необходимо учитывать при таком подходе? Требует ли Ubuntu определенных LUKS-параметров или что-то целесообразно использовать для этой цели?
Нужно ли вручную добавлять устройства в файл после установки, чтобы правильно расшифровать его при загрузке? Используется ли опция - целостность
автоматически? 1238] Это даже лучший подход или есть другой способ сделать это? (Без использования файловых систем Btrfs / ZFS)
Прежде всего, вероятно, безопаснее создать зашифрованные тома в расширенном логическом разделе, если позднее на нем будет использоваться LVM .
Я пытался отформатировать раздел с помощью dm-целостности в Ubuntu 20.04 перед открытием установщика, и хотя cryptsetup смог его открыть, я не смог создать группу томов или файловую систему на нем, потому что mkfs. ext4
завершится с ошибкой, и pvcreate
привел к следующему:
Error reading device /dev/mapper/sda5_crypt at 0 length 512.
Error reading device /dev/mapper/sda5_crypt at 0 length 4096.
Device /dev/mapper/sda5_crypt excluded by a filter.
Установщик также не знал, как обрабатывать разделы, и не позволял мне создавать какие-либо разделы на нем.
Я не пробовал это на устройстве RAID, но сомневаюсь, что это улучшит ситуацию. Я также заметил, что dm-целостность создает два устройства шифрования, как показано в lsblk
:
└─sda5 8:6 0 237.3G 0 part
└─sda5_crypt_dif 253:0 0 223.2G 0 crypt
└─sda5_crypt 253:1 0 223.2G 0 crypt
Создание файловой системы работало нормально на обычном устройстве luks без целостности, но я вижу, что действующая система получит те же ошибки на шаге 4 при попытке форматирования новых разделов, поэтому это должна быть система на USB, которая может как-то правильно их форматировать.
Автор также упоминает в В завершение:
К сожалению, эти инструкции не работают для Debian Buster (RC2) (а также, возможно, более поздних версий Ubuntu) из-за недавних изменений в cryptsetup, в частности / usr / share / initramfs / hooks / cryptroot. Первая ошибка («Несоответствие источника») происходит в print_crypttab_entry, где dmsetup info -c -o devnos_used возвращает другой старший номер при работе с устройством dm_integrity.
В настоящее время это, к сожалению, кажется невозможным, если только кто-то не сможет скопировать и переформатировать всю систему без каких-либо дополнительных проблем.