HOWTO Enkripsi Instalasi Ubuntu 18.04 LTS dengan DUA Drive: OS pada SSD utama, / home pada HDD sekunder Anda
Ini adalah panduan untuk FULL DISK ENCRYPTION untuk instalasi Ubuntu 18.04 LTS. Jangan bingung dengan enkripsi hanya direktori / home , yang saya percaya telah dihapus sebagai opsi saat instalasi. Instruksi ini untuk Ubuntu 18.04 LTS, tetapi harus bekerja dengan 16.04 LTS.
Panduan ini mengasumsikan bahwa Anda terbiasa dengan Ubuntu (Linux) dan dapat menginstal OS dari kunci USB, atau setidaknya memahami bagaimana melakukan prosedur ini - jika Anda tidak bisa, temukan seseorang yang dapat dan Anda berdua menjalaninya. . Panduan ini juga mengasumsikan bahwa Anda telah mencadangkan SEMUA data Anda sebelum memulai prosedur ini karena Anda akan menghancurkan semua DATA pada SEMUA drive selama prosedur ini.
ANDA TELAH DIPERINGATKAN!
Panduan ini sebagian besar merupakan gabungan dari dua prosedur dari sini (posting blog David Yates) ( https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14- 10-post-install / ) dan Ask post Ubuntu ( Pindahkan folder home ke drive kedua ).
Hal pertama yang pertama, mengapa kita ingin melakukan ini? Karena jika Anda memiliki laptop, atau data sensitif lainnya di komputer dan dicuri atau hilang, perlu untuk melindungi data tersebut. Anda mungkin bertanggung jawab secara hukum untuk melindungi data. Kedua, banyak (kebanyakan) sistem sekarang datang dengan SSD kecil (cepat) untuk OS dan HDD yang lebih besar (lambat) untuk data. Ketiga, mengenkripsi hanya direktori / home sekarang dikenali sebagai ide yang buruk karena mengenalkan Anda pada potensi / home yang diretas (jangan tanya saya bagaimana cara melakukannya, saya tidak bisa), dan enkripsi parsial memperlambat sistem ke tingkat yang besar. FDE membutuhkan lebih sedikit overhead dan karenanya memiliki dampak minimal pada kinerja sistem.
BAGIAN I: Instal Ubuntu 18.04 LTS pada drive utama (biasanya SSD)
Instal Ubuntu 18.04 LTS ke yang lebih kecil (biasanya SSD) dan periksa (i) hapus disk, (ii) enkripsi instalasi, dan (iii) manajemen LVM.
Ini akan menghasilkan SSD terenkripsi, tetapi tidak akan menyentuh drive kedua (biasanya HDD). Saya berasumsi bahwa drive kedua Anda adalah drive baru yang tidak diformat, tetapi tidak masalah apa yang ada di drive sebelum prosedur ini. Kami akan menghancurkan semua data pada drive ini. Kami akan menggunakan paket perangkat lunak dari dalam Ubuntu untuk menyiapkan drive (tidak yakin apakah persiapan ini benar-benar diperlukan, tapi itulah yang saya uji). Untuk mempersiapkan ini untuk Anda segera-to-akan dipindahkan / home partisi (folder), Anda harus memformat menggunakan alat GUI disebut GParted .
sudo apt install gparted
Buka gParted dan arahkan ke HDD kedua Anda (periksa / dev / sd? X ) dengan hati-hati dan hapus semua partisi yang ada, lalu buat PARTISI PRIMARY baru menggunakan sistem file ext4 . Anda juga bisa memberi label, tetapi itu tidak perlu. Pilih "Terapkan". Satu gParted selesai, tutup gParted dan sekarang Anda siap untuk menginstal wadah LUKS pada drive kedua dan kemudian memformatnya. Dalam perintah berikut, ganti sd? X dengan nama drive SEKUNDER Anda (bukan drive utama Anda), misalnya sda1 .
sudo cryptsetup -y -v luksFormat /dev/sd?X
Maka Anda harus mendekripsi partisi baru sehingga Anda dapat memformatnya dengan ext4 , sistem file Linux modern yang disukai oleh Ubuntu.
sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt
Jika Anda ingin menggunakan HDD kedua sebagai hard drive biasa dan sering diakses (seperti memindahkan partisi / home Anda ke dalamnya, yang merupakan titik Bagian II ), ada cara untuk memasang dan mendekripsi drive kedua secara otomatis saat startup, ketika komputer Anda meminta kata sandi dekripsi hard drive primer. Selain itu: Saya menggunakan kata sandi yang sama untuk KEDUA drive saya, karena saya percaya takhayul dan membayangkan lebih banyak masalah dengan dua kata sandi yang berbeda.
Pertama, Anda harus membuat keyfile, yang bertindak sebagai kata sandi untuk drive sekunder Anda, dan agar Anda tidak perlu mengetik setiap kali Anda memulai (seperti kata sandi enkripsi hard drive utama Anda).
sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile
Setelah keyfile dibuat, tambahkan baris berikut ke / etc / crypttab menggunakan nano
sudo nano /etc/crypttab
Tambahkan baris ini, simpan & tutup file ( / etc / crypttab ).
sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard
Untuk mendapatkan UUID parisi Anda untuk masuk ke file / etc / crypttab , gunakan perintah ini (Anda harus menggunakan sudo agar semua partisi Anda muncul):
sudo blkid
Nilai yang Anda inginkan adalah UUID dari / dev / sd? X , bukan dev / mapper / sd? X_crypt . Pastikan juga untuk menyalin UUID, bukan PARTUUID.
Oke, pada titik ini ( file ditutup & disimpan / etc / crypttab ), Anda harus dapat login ke instalasi Ubuntu Anda (memasukkan kata sandi dekripsi drive utama Anda) dan itu harus mendekripsi KEDUA drive primer dan sekunder Anda. Anda harus memeriksa untuk melihat apakah ini terjadi atau BERHENTI ; dan menyelesaikan masalah. Jika Anda tidak memiliki ini berfungsi dan Anda / home Anda pindah , Anda akan memiliki sistem tidak bekerja.
Nyalakan ulang dan periksa untuk melihat apakah ini (daisy-chain decrypt) memang benar. Jika drive sekunder didekripsi secara otomatis, ketika Anda memilih "Lokasi Lain" drive kedua akan muncul dalam daftar dan memiliki ikon kunci di atasnya, tetapi ikon harus dibuka kuncinya .
Jika drive kedua secara otomatis mendekripsi (sebagaimana mestinya), kemudian beralih ke Bagian II , menunjuk drive kedua sebagai lokasi default folder / home Anda (dengan jumlah ruang yang lebih besar).
Bagian II: Pindahkan partisi / home Anda ke drive sekunder Anda ( mis. HDD)
Kita perlu membuat titik pemasangan untuk drive sekunder, untuk sementara memasang partisi baru (HDD sekunder) dan pindah / pulang ke sana:
sudo mkdir /mnt/tmp
sudo mount /dev/mapper/sd?X_crypt /mnt/tmp
dengan asumsi / sd? X adalah partisi baru untuk / home (seperti di atas)
Sekarang kami menyalin folder / home Anda ke lokasi baru / home dari drive utama (SSD) ke drive sekunder (HDD).
sudo rsync -avx /home/ /mnt/tmp
Kami kemudian dapat me-mount partisi baru sebagai / home with
sudo mount /dev/mapper/sd?X_crypt /home
untuk memastikan semua folder (data) ada.
ls
Sekarang, kami ingin menjadikan lokasi baru / home pada drive sekunder permanen, kami perlu mengedit entri fstab untuk secara otomatis me-mount pindah / home Anda pada HDD dekripsi sekunder.
sudo nano /etc/fstab
dan tambahkan baris berikut di akhir:
/dev/mapper/sd?X_crypt /home ext4 defaults 0 2
Simpan & tutup file.
Mulai ulang. Setelah reboot, / home Anda harus berada di drive sekunder yang baru dan Anda akan memiliki banyak ruang untuk DATA Anda.
/etc/cryptab
file. Anda juga perlu memperbarui initramfs. Saya tidak pernah mendokumentasikan proses yang tepat dalam pertanyaan, tetapi saya menginstal dengan partisi manual dan 3 drive. Percayalah, migrasi pasca pemasangan tidak lebih sulit.