Recientemente instalé Ubuntu 12.10 y requiere una frase de contraseña para arrancar (lo instalé con un sistema de archivos encriptado).
¿Tengo que reinstalar para cambiar a un sistema de archivos estándar sin cifrar?
filesystem
encryption
luks
Zzealdor
fuente
fuente
Respuestas:
Si Ubuntu solicita una frase de contraseña de cifrado durante el arranque (es decir, en la consola de texto antes de que se muestre la pantalla de inicio de sesión), esto indica que se utilizó un método de cifrado de disco completo. (Hay más de una forma de hacerlo, pero mantendré la respuesta general). El cifrado se maneja mediante una capa de software adicional entre el sistema de archivos y el disco duro físico, no el sistema de archivos en sí.
No hay un método o herramienta simple para deshacer esto. Con cierto conocimiento sobre cómo funcionan los sistemas Linux, se puede hacer. Tendría que mover todo el sistema de archivos (o todos los archivos) a otra partición (con suficiente espacio libre) o HDD externo. Luego, elimine el contenedor cifrado y vuelva a crear el sistema de archivos sin cifrado. Finalmente, asegúrese de que el cargador de arranque reconozca correctamente el nuevo sistema de archivos y
mount -a
antes de reiniciar.Si es posible, es mejor evitar este procedimiento lento y propenso a errores. Solo haz una nueva instalación. Para los nuevos usuarios, esta es la opción más rápida y segura.
PD: es probable que pueda cambiar la frase de contraseña de cifrado, posiblemente a una cadena vacía. Luego, descifrar solo requiere presionar Enter. Tal vez pueda ir más allá y suprimir el mensaje de frase de contraseña (ahora inútil). Sin embargo, esto no deshabilita el cifrado. Los datos seguirían cifrados, aunque el cifrado sería inútil ya que la clave se puede adivinar de manera trivial.
fuente
dd
y los controladores subyacentes no escriben hasta que hayan terminado de leer cada bloque (probablemente haya indicadores y configuraciones para garantizar esto) 2. la lectura / escritura los bloques no se superponen a los bordes de los bloques de cifrado (puede verificarse, pueden implicar algunas matemáticas) 3. la información importante del encabezado necesaria para el descifrado no se sobrescribe antes de la finalización (verifique el formato de cifrado subyacente, tal vez el proceso de principio a comienzo). Creo que es posible, pero necesitaría una configuración y análisis más cuidadosos.Debajo está mi solución que funcionó. Tenga en cuenta que no soy un especialista en Linux, por lo que puede que no sea la mejor solución. No pude encontrar uno mejor de todos modos.
Migración de la instalación de FDE a una partición sin cifrar
NOTA : Cada vez que digo, quiero decir
Copiar datos del sistema de archivos raíz encriptado
Arrancar desde un CD en vivo. He usado Ubuntu 13.10 32bit ISO de escritorio.
Monta tu partición:
Copie sus datos de origen en la partición de destino y guarde dd PID en la variable pid:
Esto hará ping a cada segundo proceso dd con señal USR1 y estado de resultados dd:
Alternativa al monitoreo de DD
Si no le gusta el "método while" anterior, puede usar watch. Abra una ventana de terminal diferente y obtenga el PID:
Reemplace con su ID de proceso:
Debería ver la salida en su terminal dd cada 2s.
Configuración del nuevo sistema de archivos raíz y particiones
Cuando termine, puede montar su partición no cifrada para ver si está bien:
Después de eso desmonta tu partición:
Liberar la partición de la cripta:
Corre gparted. Elimine su partición LUKS (tanto extendida como lógica). Cambie el tamaño de su / dev / sda3 y muévase a la izquierda. Crear partición de intercambio.
Nota: Mover su / dev / sda3 hacia la izquierda puede llevar mucho tiempo. Para mí, tardó 30 minutos en una partición de 120 GB y una unidad SSD. Si tiene 500GB + HDD, prepárese para unas pocas horas de espera. Es posible que desee crear un intercambio antes de su partición en lugar de mover su / dev / sda3.
Cree un nuevo sistema de archivos de intercambio en su partición de intercambio:
y almacenar en algún lugar el UUID.
Obtenga su UUID de partición raíz:
Editar fstab:
Eliminar o comentar líneas superpuestas y tmpfs.
Agregar línea reemplazando con el resultado blkid:
Remover archivo:
Actualice sus initramfs para evitar errores como "cryptsetup: evms_activate no está disponible":
Notas finales y solución de problemas
Funcionó para mí, sin embargo, existe la posibilidad de que hacer lo anterior paso a paso no funcione para usted. Antes de que descubriera el método update-initramfs, reinstalé el kernel varias veces y también estaba modificando grub. Sin embargo, no debería ser un caso para usted. Recuerde que las indicaciones de arriba pueden borrar sus datos, así que ten cuidado y hacer BACKUP , antes de proceder eso.
En caso de que tenga problemas de kernel (chroot y / boot montado):
Por supuesto, reemplace linux-image-3.XY-ZZ con la fecha de kernel de uname.
o GRUB (fuera de chroot):
Más detalles: https://help.ubuntu.com/community/Boot-Repair
Buena suerte
fuente
/etc/initramfs-tools/conf.d/resume
manualmente y recomendaría copiar el contenido del sistema de archivos concp -a
orsync -a
ya que eso sería más rápido en general y más seguro para los SSD.dd
copias de toda la partición, incluso los bloques que deberían estar vacíos, lo que provoca escrituras innecesarias en el SSD (y en algunos incluso perjudica el rendimiento de escritura en casi todas las celdas). Hace unos años, yo y algunos otros también descubrimos que copiardd
y activar TRIM (opción de descarte EXT4) hará que TRIM elimine los bloques que cree que están vacíos y lo dejará con una instalación rota después de unas horas.En caso de que esté bien mantener el cifrado, pero para desactivar el mensaje de frase de contraseña, un enfoque mucho más simple es establecer una contraseña trivial como "contraseña" y luego guardar esa contraseña trivial en initramfs en texto sin formato. Deshabilite la contraseña de cifrado LUKS .
Esencialmente, agregue un script de enlace que a su vez agrega un "script clave" a initramfs. Por lo general, estos scripts se utilizan para obtener la contraseña a través de Bletooth, desde una memoria USB, etc., pero en este caso, simplemente imprima la contraseña trivial.
fuente