Bagaimana cara menginstal 18.04 menggunakan enkripsi disk penuh dengan dua drive (SSD / HDD)

12

Saya memiliki laptop dan ingin melakukan instalasi baru dengan FULL DISK ENCRYPTION. Saya ingin OS saya diinstal pada SSD saya dan setelah instalasi, pindahkan saya ke HDD kedua saya.

  • Apakah mungkin untuk meminta installer untuk mengenkripsi sepenuhnya KEDUA drive pada saat instalasi?
  • Jika tidak, apakah mungkin untuk mengenkripsi HDD kedua secara manual setelah instalasi OS yang sukses ke SSD dan kemudian pindah / pulang ke HDD kedua? Jika demikian, bagaimana saya melakukannya?
  • Apakah mungkin menggunakan SATU kata sandi untuk mendekripsi kedua drive saat boot? Apakah saya benar dengan asumsi bahwa saya harus memiliki LUKS yang diinstal pada kedua drive (untuk menangani enkripsi) dan kemudian meregangkan (atau menghubungkan) sebuah LVM di kedua drive? Ini adalah bagian yang paling tidak pasti saya lakukan.

Terima kasih

Andor Kiss
sumber

Jawaban:

11

HOWTO Enkripsi Instalasi Ubuntu 18.04 LTS dengan DUA Drive: OS pada SSD utama, / home pada HDD sekunder Anda

Ini adalah panduan untuk FULL DISK ENCRYPTION untuk instalasi Ubuntu 18.04 LTS. Jangan bingung dengan enkripsi hanya direktori / home , yang saya percaya telah dihapus sebagai opsi saat instalasi. Instruksi ini untuk Ubuntu 18.04 LTS, tetapi harus bekerja dengan 16.04 LTS.

Panduan ini mengasumsikan bahwa Anda terbiasa dengan Ubuntu (Linux) dan dapat menginstal OS dari kunci USB, atau setidaknya memahami bagaimana melakukan prosedur ini - jika Anda tidak bisa, temukan seseorang yang dapat dan Anda berdua menjalaninya. . Panduan ini juga mengasumsikan bahwa Anda telah mencadangkan SEMUA data Anda sebelum memulai prosedur ini karena Anda akan menghancurkan semua DATA pada SEMUA drive selama prosedur ini.

ANDA TELAH DIPERINGATKAN!

Panduan ini sebagian besar merupakan gabungan dari dua prosedur dari sini (posting blog David Yates) ( https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14- 10-post-install / ) dan Ask post Ubuntu ( Pindahkan folder home ke drive kedua ).

Hal pertama yang pertama, mengapa kita ingin melakukan ini? Karena jika Anda memiliki laptop, atau data sensitif lainnya di komputer dan dicuri atau hilang, perlu untuk melindungi data tersebut. Anda mungkin bertanggung jawab secara hukum untuk melindungi data. Kedua, banyak (kebanyakan) sistem sekarang datang dengan SSD kecil (cepat) untuk OS dan HDD yang lebih besar (lambat) untuk data. Ketiga, mengenkripsi hanya direktori / home sekarang dikenali sebagai ide yang buruk karena mengenalkan Anda pada potensi / home yang diretas (jangan tanya saya bagaimana cara melakukannya, saya tidak bisa), dan enkripsi parsial memperlambat sistem ke tingkat yang besar. FDE membutuhkan lebih sedikit overhead dan karenanya memiliki dampak minimal pada kinerja sistem.

BAGIAN I: Instal Ubuntu 18.04 LTS pada drive utama (biasanya SSD)

Instal Ubuntu 18.04 LTS ke yang lebih kecil (biasanya SSD) dan periksa (i) hapus disk, (ii) enkripsi instalasi, dan (iii) manajemen LVM.

tangkapan layar pilihan pemasangan

Ini akan menghasilkan SSD terenkripsi, tetapi tidak akan menyentuh drive kedua (biasanya HDD). Saya berasumsi bahwa drive kedua Anda adalah drive baru yang tidak diformat, tetapi tidak masalah apa yang ada di drive sebelum prosedur ini. Kami akan menghancurkan semua data pada drive ini. Kami akan menggunakan paket perangkat lunak dari dalam Ubuntu untuk menyiapkan drive (tidak yakin apakah persiapan ini benar-benar diperlukan, tapi itulah yang saya uji). Untuk mempersiapkan ini untuk Anda segera-to-akan dipindahkan / home partisi (folder), Anda harus memformat menggunakan alat GUI disebut GParted .

sudo apt install gparted

Buka gParted dan arahkan ke HDD kedua Anda (periksa / dev / sd? X ) dengan hati-hati dan hapus semua partisi yang ada, lalu buat PARTISI PRIMARY baru menggunakan sistem file ext4 . Anda juga bisa memberi label, tetapi itu tidak perlu. Pilih "Terapkan". Satu gParted selesai, tutup gParted dan sekarang Anda siap untuk menginstal wadah LUKS pada drive kedua dan kemudian memformatnya. Dalam perintah berikut, ganti sd? X dengan nama drive SEKUNDER Anda (bukan drive utama Anda), misalnya sda1 .

sudo cryptsetup -y -v luksFormat /dev/sd?X

Maka Anda harus mendekripsi partisi baru sehingga Anda dapat memformatnya dengan ext4 , sistem file Linux modern yang disukai oleh Ubuntu.

sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt

Jika Anda ingin menggunakan HDD kedua sebagai hard drive biasa dan sering diakses (seperti memindahkan partisi / home Anda ke dalamnya, yang merupakan titik Bagian II ), ada cara untuk memasang dan mendekripsi drive kedua secara otomatis saat startup, ketika komputer Anda meminta kata sandi dekripsi hard drive primer. Selain itu: Saya menggunakan kata sandi yang sama untuk KEDUA drive saya, karena saya percaya takhayul dan membayangkan lebih banyak masalah dengan dua kata sandi yang berbeda.

Pertama, Anda harus membuat keyfile, yang bertindak sebagai kata sandi untuk drive sekunder Anda, dan agar Anda tidak perlu mengetik setiap kali Anda memulai (seperti kata sandi enkripsi hard drive utama Anda).

sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

Setelah keyfile dibuat, tambahkan baris berikut ke / etc / crypttab menggunakan nano

sudo nano /etc/crypttab

Tambahkan baris ini, simpan & tutup file ( / etc / crypttab ).

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard

Untuk mendapatkan UUID parisi Anda untuk masuk ke file / etc / crypttab , gunakan perintah ini (Anda harus menggunakan sudo agar semua partisi Anda muncul):

sudo blkid

Nilai yang Anda inginkan adalah UUID dari / dev / sd? X , bukan dev / mapper / sd? X_crypt . Pastikan juga untuk menyalin UUID, bukan PARTUUID.

Oke, pada titik ini ( file ditutup & disimpan / etc / crypttab ), Anda harus dapat login ke instalasi Ubuntu Anda (memasukkan kata sandi dekripsi drive utama Anda) dan itu harus mendekripsi KEDUA drive primer dan sekunder Anda. Anda harus memeriksa untuk melihat apakah ini terjadi atau BERHENTI ; dan menyelesaikan masalah. Jika Anda tidak memiliki ini berfungsi dan Anda / home Anda pindah , Anda akan memiliki sistem tidak bekerja.

Nyalakan ulang dan periksa untuk melihat apakah ini (daisy-chain decrypt) memang benar. Jika drive sekunder didekripsi secara otomatis, ketika Anda memilih "Lokasi Lain" drive kedua akan muncul dalam daftar dan memiliki ikon kunci di atasnya, tetapi ikon harus dibuka kuncinya .

Jika drive kedua secara otomatis mendekripsi (sebagaimana mestinya), kemudian beralih ke Bagian II , menunjuk drive kedua sebagai lokasi default folder / home Anda (dengan jumlah ruang yang lebih besar).

Bagian II: Pindahkan partisi / home Anda ke drive sekunder Anda ( mis. HDD)

Kita perlu membuat titik pemasangan untuk drive sekunder, untuk sementara memasang partisi baru (HDD sekunder) dan pindah / pulang ke sana:

sudo mkdir /mnt/tmp
sudo mount /dev/mapper/sd?X_crypt /mnt/tmp

dengan asumsi / sd? X adalah partisi baru untuk / home (seperti di atas)

Sekarang kami menyalin folder / home Anda ke lokasi baru / home dari drive utama (SSD) ke drive sekunder (HDD).

sudo rsync -avx /home/ /mnt/tmp

Kami kemudian dapat me-mount partisi baru sebagai / home with

sudo mount /dev/mapper/sd?X_crypt /home

untuk memastikan semua folder (data) ada.

ls

Sekarang, kami ingin menjadikan lokasi baru / home pada drive sekunder permanen, kami perlu mengedit entri fstab untuk secara otomatis me-mount pindah / home Anda pada HDD dekripsi sekunder.

sudo nano /etc/fstab

dan tambahkan baris berikut di akhir:

/dev/mapper/sd?X_crypt /home ext4 defaults 0 2

Simpan & tutup file.

Mulai ulang. Setelah reboot, / home Anda harus berada di drive sekunder yang baru dan Anda akan memiliki banyak ruang untuk DATA Anda.

Andor Kiss
sumber
Apa yang terjadi, jika Anda melakukan partirioning manual saat menginstal pada kedua drive dan memilih FDE?
jarno
Tidak yakin, tidak pernah mencoba. Saya akan mengujinya pada sistem uji sebelum mencoba unit kritis misi.
Andor Kiss
1
Anda dapat melakukan partisi secara manual selama instalasi, tetapi Anda akan mengalami beberapa cegukan. Pertama-tama, Anda harus mengatur enkripsi LUKS secara manual di kedua drive. Anda harus memastikan bahwa Anda juga membuat partisi boot yang tidak terenkripsi yang diperlukan. Kemudian Anda harus masuk setelah post-instalasi tetapi sebelum reboot, remount, chroot, perbarui /etc/cryptabfile. Anda juga perlu memperbarui initramfs. Saya tidak pernah mendokumentasikan proses yang tepat dalam pertanyaan, tetapi saya menginstal dengan partisi manual dan 3 drive. Percayalah, migrasi pasca pemasangan tidak lebih sulit.
b_laoshi
Saya memiliki masalah di Bagian I: ketika saya mengikuti semua instruksi dan reboot, saya dapat melihat drive kedua dengan ikon kunci tidak terkunci di atasnya, tetapi ketika saya mengkliknya, tertulis "Lokasi tidak dapat ditampilkan. Anda tidak memiliki izin yang diperlukan untuk melihat konten "8b ... b3". " Di LXDE, drive terbuka, tetapi tertulis "Kesalahan membuat direktori: Izin ditolak" ketika saya mencoba membuat direktori. Apa yang bisa saya lakukan untuk memperbaiki situasi?
Nickolai Leschov
Apakah Anda memeriksa UUID di file fstab dan memastikan bahwa itu benar? Anda juga harus memastikan Anda mengubah izin keyfile.
Andor Kiss