Korzystam z Saucy 13.10. Jeśli nie włączyłem szyfrowania dysku podczas instalacji, czy jest jakiś sposób, aby włączyć to post facto?
Znalazłem to , co mówi, że szyfrowanie musi nastąpić w czasie instalacji, ale dotyczy to również Fedory. Mogę z łatwością uruchomić się na dysk na żywo, jeśli jest na to sposób.
encryption
Isaac Dontje Lindell
źródło
źródło
Odpowiedzi:
Jeśli chcesz włączyć szyfrowanie folderu domowego, musisz zainstalować i używać tych pakietów:
ecryptfs-utils
icryptsetup
. Będziesz także potrzebować innego konta użytkownika z uprawnieniami administratora (sudo). Pełna dokumentacja znajduje się tutaj:Jeśli chcesz włączyć pełne szyfrowanie dysku po instalacji, na razie krótka odpowiedź brzmi: nie, nie możesz . W każdym razie, jeśli jesteś tym zainteresowany, twoje pytanie jest duplikatem:
źródło
Szyfrowanie w / home odbywa się przy użyciu systemu plików przestrzeni użytkownika o nazwie ecryptfs. Jest to bardzo dobrze zrobione i ściśle powiązane z domyślnym systemem uwierzytelniania, dzięki czemu będziesz mieć zero wad użyteczności: po wejściu na konto (ze zdalnej powłoki lub z domyślnego ekranu logowania) twoje hasło służy do rozpakowania bezpiecznego klucza , który jest następnie używany do szyfrowania / deszyfrowania plików w katalogu domowym w locie (zamontowany system plików będzie znajdować się bezpośrednio w / home / nazwa użytkownika). Po wylogowaniu / home / nazwa użytkownika jest odmontowana i tylko zaszyfrowane pliki pozostają widoczne w systemie (zwykle w /home/.ecryptfs/username/.Private/). Wyglądają jak kilka scrabbowanych / losowych plików, ponieważ nazwy plików są również szyfrowane. Jedyny wyciek informacji to: rozmiar pliku, znaczniki czasu i liczba plików (przy pełnym szyfrowaniu dysku są one również ukryte).
Jeśli twój system ma być współużytkowany przez wielu użytkowników, jest to bardzo miła funkcja, nawet jeśli zdecydujesz się na dodanie pełnego szyfrowania dysku wraz z tym: bezpieczeństwo szyfrowania całego dysku jest wyłączone, gdy maszyna jest uruchomiona w domu ( ecryptfs) szyfrowanie jest włączone, dopóki użytkownik jest wylogowany.
Tak więc szyfrowanie całego dysku i szyfrowanie domowe niekoniecznie się wykluczają.
Oto lista możliwych konfiguracji, w zależności od różnych potrzeb bezpieczeństwa:
Tak i będzie łatwiej, jeśli obecnie używasz LVM i masz wystarczająco dużo miejsca w systemie, aby skopiować wszystkie niezaszyfrowane pliki systemowe na zaszyfrowaną partycję LUKS. W tej chwili nie wchodzę w szczegóły, ponieważ nie wiem, czy używasz LVM i czy wolisz nie używać na razie ecrypfs i pominąć kłopot pełnego szyfrowania dysku, aż do kolejnej nowej instalacji.
źródło
Cóż, możesz wykonać kopię zapasową wszystkich ważnych katalogów i zainstalowanego oprogramowania. Upewnij się, że Twój 13.10 jest w pełni zaktualizowany, aby uniknąć konfliktów wersji. Zwykle rzeczy, które wykonują kopię zapasową, to:
/boot
/etc
home
var
/usr/local
/bin
,/lib
,lib64
).Następnie ponownie instalujesz system tylko teraz zaszyfrowany. Zaktualizuj go w pełnym zakresie. Następnie przenieś kopię zapasową do zaszyfrowanego systemu i zainstaluj całe oprogramowanie z poprzedniej wersji.
Tylko pamiętaj, aby nie nadpisać pliki do szyfrowania ważnych, gdy oddanie z powrotem do tyłu w górę (na przykład
/etc/fstab
,/etc/cryptab
niektóre grub podobne rzeczy, a niektóre rzeczy w/boot
nie powinno być zastąpione kopii zapasowych plików).źródło
Z działającego systemu Ubuntu 16.04 udało mi się poinstalacyjne szyfrowanie partycji root, przy czym partycja root zawiera wszystko oprócz / boot. Umieszczam / bootuję na osobnym wymiennym usb. W szczególności zrobiłem to przed aktualizacją do Ubuntu 18, a aktualizacja działała dobrze na wersji dysku zaszyfrowanego.
Szyfrowanie nie zostało wykonane „na miejscu”, co było dla mnie w porządku, ponieważ i tak nie chciałem nadpisywać działającej wersji, dopóki nowa konfiguracja nie działała.
Wykonanie prawidłowej procedury jest niezwykle proste i szybkie. (Chociaż ustalenie prawidłowej procedury było bardzo czasochłonne, ponieważ podążyłem za fałszywymi wskazówkami).
ZARYS
DETALE
1 - Uruchom z dysku USB z linuksem na żywo - wygodnie jest mieć włączoną trwałość.
Zainstalowano Ubuntu 16 na usb z unetbootin. GUI pozwala na określenie „trwałości”, ale wymagany jest również kolejny krok, aby trwałość działała - zmodyfikuj,
/boot/grub/grub.cfg
aby dodać--- persistent
w następujący sposób:Uruchom komputer za pomocą USB na żywo
2- Utwórz zaszyfrowaną grupę woluminów Luks na pustej partycji. Utwórz / (root) i zamień woluminy logiczne na tej zaszyfrowanej partycji.
Załóżmy, że nieużywana partycja do zaszyfrowania to
/dev/nvme0n1p4
.Opcjonalnie , jeśli masz stare dane na partycji, którą chcesz ukryć przed szyfrowaniem i formatowaniem, możesz przypadkowo wyczyścić partycję. Zobacz dyskusję tutaj .
Skonfiguruj szyfrowanie.
Zostaniesz poproszony o ustawienie hasła.
Zostaniesz poproszony o podanie hasła. Pamiętaj, że
crypt1
jest to dowolna nazwa ustalona przez użytkownika. Teraz utwórz woluminy i format.Użyj tych narzędzi, aby wyświetlić woluminy i zrozumieć hierarchię.
3- Skopiuj pliki ze starego katalogu głównego do nowego katalogu głównego
cp -a ...
kopiuje w trybie archiwizacji, zachowując wszystkie tryby plików i flagi.4- Skonfiguruj i podziel na partycje inny port USB, aby działał jako wymienny dysk rozruchowy.
Użyłem do tego gparted. Skonfiguruj dwie partycje. Pierwsza partycja to
vfat
drugaext2
. Każdy z nich miał 512 MB, możesz dostać mniej. Załóż urządzenie/dev/sdf
.5- Skonfiguruj niektóre pliki w nowym katalogu głównym, zrób trochę magii i chroot w nowym katalogu głównym, a następnie zainstaluj gruba na dysku startowym z nowego środowiska roota.
Znajdź niektóre UUID do późniejszego wykorzystania. Zwróć uwagę na wyniki następujących poleceń:
Zamontuj partycję root i partycje rozruchowe
Skonfiguruj plik
/mnt/etc/fstab
gdzie „[uuid z ...]” to tylko kombinacja litera-liczba-łącznik.
Utwórz plik
/mnt/etc/cryptab
Do wejścia do środowiska katalogu głównego wymagana jest magia:
Teraz skonfiguruj rozruchowy dysk USB za pomocą
grub
:Teraz powinieneś być w stanie zrestartować się i uruchomić przy użyciu nowo utworzonego dysku rozruchowego USB.
Rozwiązywanie problemów
(a) Sieć musi być podłączona do
apt install --reinstall grub-efi-amd64
polecenia. Jeśli sieć jest podłączona, ale DNS nie działa, spróbuj(b) Przed wywołaniem
initramfs
bieżącyvmlinuz...
plik użyty w oryginalnym systemie Linux musi znajdować się w nowym katalogu głównym. Jeśli nie, znajdź go i umieść tam.(c)
grub-install
polecenie przez domyślną wyszukiwarkę wszystkie inne dyski Linux może znaleźć nawet jeśli nie są onemount
ed, i umieścić je w menu startowym na nowym startowego USB. Zwykle nie jest to pożądane, więc można tego uniknąć, dodając ten wiersz do/boot/default/grub.cfg
:UWAGA: Do wymiennego rozruchowego USB można dodać plik tekstowy z kluczem szyfrującym.
źródło
Prosta odpowiedź: nie.
Skomplikowana odpowiedź:
Szyfrowanie dysku lub partycji spowoduje wymazanie wszystkiego, co aktualnie znajduje się na tym dysku lub partycji, więc aby zaszyfrować dysk, należy również usunąć jego zawartość. Przed rozpoczęciem należy wykonać odpowiednie kopie zapasowe danych. Oczywiście oznacza to, że należy ponownie zainstalować system, aby korzystać z pełnego szyfrowania dysku, nie ma innej możliwości. Wynika to z faktu, że losowe dane będą zapisywane na całym dysku, co utrudni odzyskanie danych.
Ale obecnie nie musisz szyfrować partycji root. Pamiętaj, że jeśli coś pójdzie nie tak, jesteś poza systemem bez możliwości odzyskania danych. Zamiast tego należy rozważyć szyfrowanie tylko danych osobowych.
Zobacz podobne pytanie Jak zaszyfrować pełny dysk po instalacji?
źródło