¿Cómo instalo 18.04 usando el cifrado de disco completo con dos unidades (SSD / HDD)

12

Tengo una computadora portátil y deseo hacer una instalación nueva con ENCRIPTACIÓN DE DISCO COMPLETO. Me gustaría tener mi sistema operativo instalado en mi SSD y después de la instalación, mover mi a mi segundo HDD.

  • ¿Es posible pedirle al instalador que cifre completamente AMBAS unidades en el momento de la instalación?
  • Si no es así, ¿es posible cifrar manualmente el segundo HDD después de una instalación exitosa del sistema operativo en el SSD y luego mover / home al segundo HDD? Si es así, ¿cómo hago eso?
  • ¿Es posible usar UNA contraseña para descifrar ambas unidades en el arranque? ¿Sería correcto al suponer que tendría que tener LUKS instalado en ambas unidades (para manejar la encriptación) y luego estirar (o vincular) un LVM a través de las dos unidades? Esta es la parte de la que no estoy tan seguro / cómo hacerlo.

Gracias

Andor Kiss
fuente

Respuestas:

11

CÓMO Cifrar una instalación Ubuntu 18.04 LTS con DOS unidades: SO en el SSD primario, / home en su HDD secundario

Esta es una guía para la ENCRIPTACIÓN DE DISCO COMPLETO de una instalación de Ubuntu 18.04 LTS. No debe confundirse con el cifrado solo del directorio / home , que creo que se ha eliminado como una opción durante la instalación. Estas instrucciones son para Ubuntu 18.04 LTS, pero deberían funcionar con 16.04 LTS.

Esta guía asume que está familiarizado con Ubuntu (Linux) y puede instalar el sistema operativo desde una llave USB, o al menos entender cómo hacer este procedimiento; si no puede, encuentre a alguien que pueda y ambos lo revisen. . Esta guía también supone que ha realizado una copia de seguridad de TODOS sus datos antes de comenzar este procedimiento, ya que destruirá todos los DATOS en TODAS las unidades durante este procedimiento.

¡USTED HA SIDO ADVERTIDO!

Esta guía es en gran parte una combinación de los dos procedimientos de aquí (publicación de blog de David Yates) ( https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14- 10-post-install / ) y la publicación Ask Ubuntu ( Mover la carpeta de inicio a la segunda unidad ).

Primero lo primero, ¿por qué deseamos hacer esto? Porque si posee una computadora portátil u otros datos confidenciales en una computadora y se la roban o se pierde, es necesario poder proteger los datos. Puede ser legalmente responsable de haber protegido los datos. En segundo lugar, muchos (la mayoría) de los sistemas ahora vienen con un SSD pequeño (rápido) para el sistema operativo y un HDD más grande (lento) para los datos. En tercer lugar, cifrar solo el directorio / home ahora se reconoce como una mala idea, ya que lo expone al potencial de / home hackeado (no me pregunte cómo hacerlo, no podría), y el cifrado parcial ralentiza sistema en gran medida. FDE requiere menos gastos generales y, por lo tanto, tiene un impacto mínimo en el rendimiento del sistema.

PARTE I: Instale Ubuntu 18.04 LTS en la unidad primaria (generalmente la SSD)

Instale Ubuntu 18.04 LTS en su más pequeño (generalmente el SSD) y marque (i) borrar el disco, (ii) cifrar la instalación y (iii) la administración de LVM.

captura de pantalla de las opciones de instalación

Esto dará como resultado una SSD encriptada, pero no tocará la segunda unidad (generalmente HDD). Supongo que su segundo disco es un disco nuevo y sin formato, pero en realidad no importa qué hay en el disco antes de este procedimiento. Vamos a destruir todos los datos en esta unidad. Vamos a utilizar un paquete de software desde Ubuntu para preparar la unidad (no estoy seguro de si esta preparación es estrictamente necesaria o no, pero es lo que he probado). Para preparar esto para su pronto-a-ser movido / home partición (carpeta), se debe formatear utilizando la herramienta de interfaz gráfica de usuario llamada GParted .

sudo apt install gparted

Abra gParted y navegue a su segundo HDD (revise cuidadosamente / dev / sd? X ) y elimine todas y cada una de las particiones existentes, luego cree una nueva PARTICIÓN PRIMARIA usando el sistema de archivos ext4 . También podría etiquetarlo, pero eso no es necesario. Elija "Aplicar". Una gParted está terminada, cierre gParted y ahora está listo para instalar el contenedor LUKS en la segunda unidad y luego formatearlo. En los siguientes comandos, reemplace sd? X con el nombre de su unidad SECUNDARIA (no su unidad principal), por ejemplo sda1 .

sudo cryptsetup -y -v luksFormat /dev/sd?X

Luego, tendrá que descifrar la nueva partición para poder formatearla con ext4 , el moderno sistema de archivos de Linux preferido por Ubuntu.

sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt

Si desea usar su segundo HDD como un disco duro regular y de acceso frecuente (como al mover su partición / home , que es el punto de la Parte II ), hay una manera de montar y descifrar automáticamente su segundo disco al inicio, cuando su computadora le solicita la contraseña de descifrado del disco duro principal. Aparte: uso la misma frase de contraseña para AMBOS mis discos, ya que soy supersticioso y visualizo más problemas con dos frases de contraseña diferentes.

Primero, deberá crear un archivo de claves, que actúe como una contraseña para su unidad secundaria, y para que no tenga que escribir cada vez que inicie (como su contraseña de cifrado del disco duro principal).

sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

Una vez creado el archivo de claves, agregue las siguientes líneas a / etc / crypttab usando nano

sudo nano /etc/crypttab

Agregue esta línea, guarde y cierre el archivo ( / etc / crypttab ).

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard

Para que el UUID de su partición ingrese en el archivo / etc / crypttab , use este comando (debe usar sudo para que aparezcan todas sus particiones):

sudo blkid

El valor que desea es el UUID de / dev / sd? X , no dev / mapper / sd? X_crypt . También asegúrese de copiar el UUID, no el PARTUUID.

De acuerdo, en este punto ( archivo cerrado / guardado / etc / crypttab ), debería poder iniciar sesión en su instalación de Ubuntu (ingresando su contraseña de descifrado de unidad principal) y debería descifrar AMBAS unidades de disco principal y secundaria. Debe verificar para ver si esto sucede, de lo contrario DETÉNGASE ; y resolver el problema (s). Si no tiene esto funcionando y se ha mudado de su hogar , tendrá un sistema que no funciona.

Reinicie y verifique si este es el caso (descifrado en cadena). Si la unidad secundaria se descifra automáticamente, cuando selecciona "Otras ubicaciones", la segunda unidad debería aparecer en la lista y tener un ícono de bloqueo, pero el ícono debería estar desbloqueado .

Si la segunda unidad se desencripta automáticamente (como debería), pase a la Parte II , designando la segunda unidad como la ubicación predeterminada de su carpeta / home (con la mayor cantidad de espacio).

Parte II: Mueva su partición / home a su unidad secundaria ( es decir, HDD)

Necesitamos establecer un punto de montaje para la unidad secundaria, montar temporalmente la nueva partición (HDD secundario) y moverla / inicio a ella:

sudo mkdir /mnt/tmp
sudo mount /dev/mapper/sd?X_crypt /mnt/tmp

suponiendo / sd? X es la nueva partición para / home (como se indica arriba)

Ahora copiamos su carpeta / home a la nueva ubicación / home desde la unidad primaria (SSD) a la unidad secundaria (HDD).

sudo rsync -avx /home/ /mnt/tmp

Luego podemos montar la nueva partición como / home con

sudo mount /dev/mapper/sd?X_crypt /home

para asegurarse de que todas las carpetas (datos) estén presentes.

ls

Ahora, queremos que la nueva ubicación / inicio en la unidad secundaria sea permanente, necesitamos editar la entrada fstab para montar automáticamente su ubicación movida / inicio en el HDD descifrado secundario.

sudo nano /etc/fstab

y agregue la siguiente línea al final:

/dev/mapper/sd?X_crypt /home ext4 defaults 0 2

Guarda y cierra el archivo.

Reiniciar. Después de reiniciar, su / home debe residir en la nueva unidad secundaria y debe tener mucho espacio para sus DATOS.

Andor Kiss
fuente
¿Qué sucede si realiza el arranque manual durante la instalación en ambas unidades y elige FDE?
jarno
No estoy seguro, nunca lo intenté. Lo probaría en un sistema de prueba antes de probar una unidad de misión crítica.
Andor Kiss
1
Puede realizar particiones manuales durante la instalación, pero se encontrará con algunos inconvenientes. En primer lugar, deberá configurar el cifrado LUKS manualmente en ambas unidades. Deberá asegurarse de crear también las particiones de arranque sin cifrar necesarias. Luego, debe ingresar después de la instalación posterior, pero antes de reiniciar, volver a montar, hacer chroot y actualizar el /etc/cryptabarchivo. También necesitará actualizar initramfs. Nunca he documentado el proceso exacto en cuestión, pero lo instalo con particionamiento manual y 3 unidades. Confía en mí, la migración posterior a la instalación no es más difícil.
b_laoshi
Tengo un problema en la Parte I: cuando sigo todas las instrucciones y reinicio, puedo ver la segunda unidad con un ícono de candado desbloqueado, pero cuando hago clic en ella, dice "No se pudo mostrar la ubicación. No tiene los permisos necesarios para ver el contenido de "8b ... b3". " En LXDE, la unidad se abre, pero dice "Error al crear el directorio: Permiso denegado" cuando intento crear un directorio. ¿Qué puedo hacer para arreglar la situación?
Nickolai Leschov
¿Verificó el UUID en el archivo fstab y se aseguró de que sea correcto? También debe asegurarse de cambiar los permisos del archivo de claves.
Andor Kiss