Dysk instalacyjny Ubuntu 13.04 ma opcję instalacji Ubuntu zaszyfrowanego przy użyciu LUKS. Nie ma jednak opcji wykonania zaszyfrowanej instalacji obok istniejących partycji w scenariuszu podwójnego rozruchu.

Jak mogę zainstalować Ubuntu zaszyfrowane obok innej partycji z dysku na żywo?

Przede wszystkim, jeśli chcesz zainstalować Ubuntu zaszyfrowane na dysku twardym, zastępując istniejące partycje i systemy operacyjne, możesz to zrobić bezpośrednio z instalatora graficznego. Ten ręczny proces jest wymagany tylko w przypadku podwójnego uruchamiania.

Ta odpowiedź została przetestowana w systemie Ubuntu 13.04.

1. Uruchom komputer z dysku DVD lub pamięci USB Ubuntu i wybierz „Wypróbuj Ubuntu”.

2. Utwórz dwie partycje za pomocą GParted zawartej w dysku na żywo. Pierwsza partycja powinna być niesformatowana i powinna być wystarczająco duża do rootowania i zamiany, w moim przykładzie tak jest /dev/sda3. Druga partycja powinna mieć kilkaset megabajtów i być sformatowana w ext2 lub ext3, będzie niezaszyfrowana i zamontowana na /boot(w moim przykładzie jest to /dev/sda4).

   Na tym zrzucie ekranu mam istniejącą, niezaszyfrowaną instalację Ubuntu w dwóch partycjach: /dev/sda1i /dev/sda5podświetl w kółku po lewej stronie. Utworzyłem niesformatowaną partycję /dev/sda3i partycję ext3 /dev/sda4, przeznaczoną do szyfrowanej instalacji Ubuntu, wyróżnioną w kółku po prawej stronie:

   

3. Utwórz kontener LUKS za pomocą tych poleceń. Zamień /dev/sda3na niesformatowaną partycję utworzoną wcześniej i cryptcherriesna wybraną nazwę.

   sudo cryptsetup luksFormat /dev/sda3
   sudo cryptsetup luksOpen /dev/sda3 cryptcherries
   

4. Ostrzeżenie : Zauważysz, że luksFormatkrok został zakończony bardzo szybko, ponieważ nie usuwa on bezpiecznie podstawowego urządzenia blokowego. O ile nie eksperymentujesz i nie przejmujesz się ochroną przed różnego rodzaju atakami kryminalistycznymi, bardzo ważne jest prawidłowe zainicjowanie nowego kontenera LUKS przed utworzeniem w nim systemów plików. Zapis zer do zmapowanego kontenera spowoduje zapisanie silnych danych losowych na leżącym poniżej urządzeniu blokowym. Może to chwilę potrwać, więc najlepiej użyć pvpolecenia do monitorowania postępu:

   ### Only for older releases, e.g. not for 19.04, `pv` is not included in the repo must be added first
   # sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
   # sudo apt-get update
   
   sudo apt-get install -y pv
   sudo sh -c 'exec pv -tprebB 16m /dev/zero >"$1"' _ /dev/mapper/cryptcherries
   

   lub jeśli wykonujesz instalację offline i nie możesz łatwo uzyskać pv:

   sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16M
   

5. Wewnątrz zamontowanego kontenera LUKS utwórz wolumin fizyczny LVM, grupę woluminów i dwa woluminy logiczne. Pierwszy wolumin logiczny zostanie zamontowany w /, a drugi będzie używany jako swap. vgcherriesjest nazwą grupy woluminów lvcherriesrooti lvcherriesswapsą to nazwy woluminów logicznych, możesz wybrać własny.

   sudo pvcreate /dev/mapper/cryptcherries
   sudo vgcreate vgcherries /dev/mapper/cryptcherries
   sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
   sudo lvcreate -n lvcherriesswap -L 1g vgcherries
   

6. Utwórz systemy plików dla dwóch woluminów logicznych: (Możesz również wykonać ten krok bezpośrednio z instalatora).

   sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
   sudo mkswap /dev/mapper/vgcherries-lvcherriesswap
   

7. Bez ponownego uruchamiania , zainstaluj Ubuntu za pomocą graficznego instalatora (skrót znajduje się na pulpicie w Xubuntu 18.04), wybierając ręczne partycjonowanie. Przypisania /do /dev/mapper/vgcherries-lvcherriesrooti /bootz niezaszyfrowanym przegrody utworzonej w etapie 2 (w tym przykładzie /dev/sda4).

8. Po zakończeniu instalatora graficznego wybierz opcję „kontynuuj testowanie” i otwórz terminal.

9. Znajdź UUID partycji LUKS ( /dev/sda3w tym przypadku), będziesz go później potrzebować:

   $ sudo blkid /dev/sda3
   /dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"
   

10. Zamontuj odpowiednie urządzenia w odpowiednich lokalizacjach /mnti chroot w nim:

    sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
    sudo mount /dev/sda4 /mnt/boot
    sudo mount --bind /dev /mnt/dev
    sudo chroot /mnt
    > mount -t proc proc /proc
    > mount -t sysfs sys /sys
    > mount -t devpts devpts /dev/pts
    

11. Utwórz plik o nazwie /etc/crypttabw środowisku chrootowanym, aby zawierał ten wiersz, zastępując wartość UUID identyfikatorem UUID partycji LUKS i vgcherriesnazwą grupy woluminów:

    # <target name> <source device> <key file> <options>
    cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherries
    

12. Uruchom następujące polecenie w środowisku chrootowanym:

    update-initramfs -k all -c
    

13. Uruchom ponownie i uruchom zaszyfrowane Ubuntu. Powinieneś zostać poproszony o podanie hasła.

14. Sprawdź, czy używasz zaszyfrowanej partycji /, uruchamiając mount:

    $ mount
    /dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
    /dev/sda4 on /boot type ext3 (rw)
    # rest of output cut for brevity
    

15. Sprawdź, czy używasz zaszyfrowanej partycji wymiany (a nie żadnych niezaszyfrowanych partycji wymiany z innych instalacji), uruchamiając to polecenie:

    $ swapon -s
    Filename                              Type      Size   Used Priority
    /dev/mapper/vgcherries-lvcherriesswap partition 630780 0    -1
    

16. Sprawdź, czy możesz uruchomić komputer w trybie odzyskiwania, nie chcesz później dowiadywać się, że tryb odzyskiwania nie działa :)

17. Zainstaluj wszelkie aktualizacje, które prawdopodobnie odbudują ramdysk i zaktualizuj konfigurację grub. Uruchom ponownie i przetestuj tryb normalny i tryb odzyskiwania.

Możliwe jest utworzenie zaszyfrowanej konfiguracji podwójnego rozruchu przy użyciu tylko narzędzi GUI na Ubuntu LiveCD.

Wymagania wstępne

• Pamięć USB z instalatorem Ubuntu 19.04.
• Jeśli masz płytę główną EFI, upewnij się, że dysk korzysta z tabeli partycji GUID (GPT). Korzystanie z dysku MBR w tej metodzie wydaje się nie działać. Możesz przekonwertować MBR na GPT za pomocą narzędzia Linux ( gdisk), ale najpierw wykonaj kopię zapasową. Jeśli przekonwertujesz tabelę partycji, musisz później naprawić moduł ładujący Windows .

Windows

• W pasku początkowym wpisz disk partitioni wybierz pierwszą opcję (otwieranie menedżera partycji dysku z ustawień).

• Zmniejsz partycję podstawową do żądanego rozmiaru Ubuntu (właśnie użyłem domyślnego, dzieląc mój dysk 500 GB na 240 GB systemu operacyjnego Windows i 240 GB nieprzydzielonego miejsca).

BIOS

• Wyłącz bezpieczny rozruch (jeśli masz blokadę bitów, będziesz musiał ponownie włączyć ją, aby bezpiecznie uruchamiać się w systemie Windows za każdym razem) - dla mnie jest to w porządku, ponieważ Ubu jest moim głównym systemem operacyjnym, po prostu użyj windoze do grania.

Ubuntu LiveCD

Wreszcie - uruchom do instalatora USB 19.04

• Włącz Enterdomyślną opcję instalacji Ubuntu .

• Po przejściu do ekranu z informacją Wymaż cały dysk i zawierającego kilka pól wyboru kliknij opcję Coś innego (partycjonowanie ręczne). W przeciwnym razie stracisz dane systemu Windows!

Gdy menedżer partycji dysku załaduje dysk, będziesz mieć dużą nieprzydzieloną przestrzeń. Kliknij i kliknij przycisk Dodaj , aby utworzyć partycje.

• Najpierw utwórz /bootpartycję 500 MB (podstawowa, ext4).
• Po drugie, z resztą miejsca stwórz zaszyfrowany wolumin. Spowoduje to utworzenie pojedynczej partycji LV. Zmień go, aby był wybraną /partycją główną .
• Następnie reszta procesu instalacji będzie działać jak zwykle.

Podczas uruchamiania po raz pierwszy zaloguj się, otwórz terminal, uruchom sudo apt-get updatei sudo apt dist-upgradeuruchom ponownie i zaloguj się ponownie.

Plik wymiany 2 GB zostanie utworzony automatycznie. Jeśli zamiast tego chcesz mieć 8 GB, przeczytaj tę odpowiedź .

Po pierwsze, wskazuje, dlaczego tylko szyfrowanie partycji Linux może nie być dla Ciebie wystarczająco bezpieczne:

1. https://superuser.com/questions/1013944/encrypted-boot-in-a-luks-lvm-ubuntu-installation
2. https://security.stackexchange.com/questions/166075/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil-maid-a
3. https://www.reddit.com/r/linux/comments/6e5qlz/benefits_of_encrypting_the_boot_partition/
4. https://unix.stackexchange.com/questions/422860/why-should-we-encrypt-the-system-partition-and-not-only-home
5. https://www.coolgeeks101.com/howto/infrastructure/full-disk-encryption-ubuntu-usb-detached-luks-header/
6. https://superuser.com/questions/1324389/how-to-avoid-encrypted-boot-partition-password-prompt-in-lvm-arch-linux

Teraz wykonałem ten samouczek:

1. https://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive
2. http://web.archive.org/web/20160402040105/http://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive

W tej odpowiedzi przedstawiam krok po kroku (ze zdjęciami) instalację Linuksa Mint 19.1 XFCEi Ubuntu 18.04.2oba są w pełni zaszyfrowane na jednym dysku. Najpierw zainstalowany Ubuntu 14.04.2na /dev/sda5i nie tworzyć partycje swap, bo Linux Mint 19.1i Ubuntu 18.04.2nie używaj ich, to znaczy, używają plików wymiany.

Ubuntu 18.04.2 Bionic Beaver

Najpierw włóż Ubuntunośnik instalacyjny i ponownie uruchom komputer w Ubuntusesji na żywo, a następnie wybierz Try Ubuntui otwórz jeden terminal

1. sudo su -
2. fdisk /dev/sda, a następnie utwórz następujące partycje
   • 
3. cryptsetup luksFormat /dev/sda5
4. cryptsetup luksOpen /dev/sda5 sda5_crypt
5. pvcreate /dev/mapper/sda5_crypt
6. vgcreate vgubuntu /dev/mapper/sda5_crypt
7. lvcreate -L10G -n ubuntu_root vgubuntu
   • lvcreate -l 100%FREE -n ubuntu_root vgubuntu(opcjonalnie, zamiast uruchamiać lvcreate -L10G -n ubuntu_root vgubuntu, możesz uruchomić to, lvcreate -l 100%FREE -n ubuntu_root vgubuntuaby wykorzystać całe wolne miejsce na dysku, zamiast tylko 10 GB)
   • 
8. Nie zamykaj terminalu, otwórz instalator dystrybucji, wybierz Coś innego i zainstaluj go
   • /dev/sda1montowane jako /bootpartycja z ext2formatem
   • /dev/mapper/vgubuntu-ubuntu_rootzamontowany jak /w ext4formacie.
   • /dev/sda jako instalacja modułu ładującego rozruch
   • Nie zaznaczaj nic innego
   • 
   • 
9. Nie uruchamiaj ponownie, kliknij Kontynuuj korzystanie z systemu Linux i wybierz otwarty terminal
10. mkdir /mnt/newroot
11. mount /dev/mapper/vgubuntu-ubuntu_root /mnt/newroot
12. mount -o bind /proc /mnt/newroot/proc
13. mount -o bind /dev /mnt/newroot/dev
14. mount -o bind /dev/pts /mnt/newroot/dev/pts
15. mount -o bind /sys /mnt/newroot/sys
16. cd /mnt/newroot
17. chroot /mnt/newroot
18. mount /dev/sda1 /boot
19. blkid /dev/sda5 (skopiuj UUID bez cudzysłowów i użyj go w następnym kroku)
20. echo sda5_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
21. Utwórz plik /etc/grub.d/40_custom
    • 
22. Edytuj /etc/default/grubi ustaw
    • GRUB_TIMEOUT_STYLE=menu
    • GRUB_TIMEOUT=10
    • 
23. update-initramfs -u
24. update-grub
    • 
    • 
25. exit
26. reboot
27. Po ponownym uruchomieniu komputera wybierz opcję Ubuntu, aby poprawnie poprosić o hasło do szyfrowania
    • 
28. Po zalogowaniu uruchom
    • sudo apt-get update
    • sudo apt-get install gparted
29. I otwierając gpartedto znajdziesz
    • 

Aby uzyskać bardziej szczegółowe instrukcje, przeczytaj oryginalny samouczek wskazany u góry tego pytania lub wyszukaj w Google informacje na temat korzystania z tych poleceń.

Linux Mint 19.1 Cynamon

W przypadku pozostałych instalacji systemu Linux rebooturuchom Ubuntukomputer za pomocą Mint 19.1instalatora (Live CD) i otwórz okno terminala

1. sudo su -
2. cryptsetup luksFormat /dev/sda6
3. cryptsetup luksOpen /dev/sda6 sda6_crypt
4. pvcreate /dev/mapper/sda6_crypt
5. vgcreate vgmint /dev/mapper/sda6_crypt
6. lvcreate -L10G -n mint_root vgmint
   • lvcreate -l 100%FREE -n mint_root vgmint(opcjonalnie, zamiast uruchamiać lvcreate -L10G -n mint_root vgmint, możesz uruchomić to, lvcreate -l 100%FREE -n mint_root vgmintaby wykorzystać całe wolne miejsce na dysku, zamiast tylko 10 GB)
   • 
   • 
7. Nie zamykaj terminalu, otwórz instalator dystrybucji, wybierz Coś innego i zainstaluj go
   • /dev/sda2montowane jako /bootpartycja z ext2formatem
   • /dev/mapper/vgmint-mint_rootzamontowany jak /w ext4formacie.
   • /dev/sda2jako instalacja modułu ładującego (nie wybierać /dev/sdajak wcześniej)
   • Nie zaznaczaj nic innego
   • 
   • 
8. Nie uruchamiaj ponownie, kliknij Kontynuuj korzystanie z systemu Linux i wybierz otwarty terminal
9. mkdir /mnt/newroot
10. mount /dev/mapper/vgmint-mint_root /mnt/newroot
11. mount -o bind /proc /mnt/newroot/proc
12. mount -o bind /dev /mnt/newroot/dev
13. mount -o bind /dev/pts /mnt/newroot/dev/pts
14. mount -o bind /sys /mnt/newroot/sys
15. cd /mnt/newroot
16. chroot /mnt/newroot
17. mount /dev/sda2 /boot
18. blkid /dev/sda6 (skopiuj UUID bez cudzysłowów i użyj go w następnym kroku)
19. echo sda6_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
20. update-initramfs -u
21. update-grub
    • 
    • 
22. exit
23. reboot
24. Po ponownym uruchomieniu komputera wybierz opcję Linux Mint on /dev/sda2
    • 
25. Następnie uruchomi się poprawnie Mint 19.1i poprosi o hasło do szyfrowania
    • 
26. Po zalogowaniu uruchom
    • sudo apt-get update
    • sudo apt-get install gparted
27. I otwierając gpartedto znajdziesz
    • 

Powiązane linki:

1. Jak mogę zmienić rozmiar aktywnej partycji LVM?
2. Jak mogę zmienić rozmiar partycji LVM? (tj .: objętość fizyczna)
3. https://www.tecmint.com/extend-and-reduce-lvms-in-linux/
4. Program ładujący Grub nie działa w systemie Windows 8
5. Uruchamianie UEFI z szyfrowaniem / bootowaniem w systemie Ubuntu 14.04 LTS