Estoy corriendo 13.10 Saucy. Si no habilité el cifrado de disco durante la instalación, ¿hay alguna forma de habilitarlo post facto?
Encontré esto , que dice que el cifrado tiene que suceder en el momento de la instalación, pero también se refiere a Fedora. Puedo iniciar fácilmente en un disco en vivo si hay alguna forma de hacerlo desde allí.
encryption
Isaac Dontje Lindell
fuente
fuente
Respuestas:
Si desea habilitar el cifrado de su carpeta de inicio, deberá instalar y usar estos paquetes:
ecryptfs-utils
ycryptsetup
. También necesitará otra cuenta de usuario con privilegios de administrador (sudo). La documentación completa está aquí:Si desea habilitar el cifrado de disco completo después de la instalación, la respuesta breve por ahora es probablemente: no, no puede . De todos modos, si está interesado en esto, su pregunta es un duplicado de:
fuente
El cifrado en / home se realiza utilizando un sistema de archivos de espacio de usuario llamado ecryptfs. Está muy bien hecho y muy integrado en el sistema de autenticación predeterminado para que no tenga inconvenientes de usabilidad: cuando ingresa a su cuenta (ya sea desde un shell remoto o desde la pantalla de inicio de sesión predeterminada) su contraseña se utiliza para desenvolver una clave segura , que luego se usa para cifrar / descifrar sus archivos en su directorio de inicio sobre la marcha (el sistema de archivos montado residirá directamente en / home / username). Cuando cierra sesión / home / username se desmonta y solo los archivos cifrados permanecen visibles en el sistema (generalmente en /home/.ecryptfs/username/.Private/). Parecen un montón de archivos scrabbled / random ya que los nombres de los archivos también están encriptados. La única fuga de información es: tamaño de archivo, marcas de tiempo y número de archivos (con cifrado de disco completo también están ocultos).
Si su sistema se va a compartir entre varios usuarios, esta es una característica muy agradable incluso si decide agregar cifrado de disco completo junto con esto: la seguridad del cifrado de disco completo está desactivada cuando la máquina está en funcionamiento mientras está en casa ( el cifrado ecryptfs) está activado siempre que haya cerrado la sesión.
Por lo tanto, el cifrado de disco completo y el cifrado doméstico no son necesariamente mutuamente excluyentes.
Aquí hay una lista de posibles configuraciones, dependiendo de las diferentes necesidades de seguridad:
Sí, y será más fácil si actualmente está utilizando LVM y tiene suficiente espacio en su sistema para copiar todos los archivos del sistema sin cifrar en una partición LUKS cifrada. No voy a entrar en detalles en este momento porque no sé si está usando LVM y si prefiere no usar ecrypfs por ahora y omitir la molestia del cifrado de disco completo hasta la próxima instalación nueva.
fuente
Bueno, podría hacer una copia de seguridad de todos los directorios importantes y el software instalado. Asegúrese de que su 13.10 esté completamente actualizado para evitar conflictos de versión. Por lo general, las cosas que respaldan serían:
/boot
/etc
home
var
/usr/local
/bin
. Ej ./lib
,lib64
).Después de eso, reinstala el sistema solo ahora encriptado. Actualízalo al máximo. Luego mueva la copia de seguridad al sistema encriptado e instale todo el software de la versión anterior.
Sólo asegúrese de no sobrescribir los archivos importantes para el cifrado, al poner de vuelta la copia de seguridad (por ejemplo
/etc/fstab
,/etc/cryptab
algunas cosas relacionadas con comida y algunas cosas en/boot
no deberían ser reemplazados por los archivos de copia de seguridad).fuente
Desde un Ubuntu 16.04 que funcionaba, logré encriptar la partición raíz después de la instalación, con la partición raíz que contenía todo excepto / boot. Puse / boot en un usb extraíble por separado. En particular, hice esto antes de actualizar a Ubuntu 18, y la actualización funcionó bien en la versión de disco cifrado.
El cifrado no se realizó "en su lugar", lo cual estuvo bien para mí porque no quería sobrescribir la versión funcional hasta que la nueva configuración funcionara, de todos modos.
Realizar el procedimiento correcto es extremadamente simple y rápido. (Aunque descubrir el procedimiento correcto fue extremadamente lento porque seguí algunas pistas falsas).
CONTORNO
DETALLES
1 - Arranque con un disco USB de Linux en vivo: es conveniente tener habilitada la persistencia.
Instalé Ubuntu 16 en un usb con unetbootin. La GUI permite que se especifique "persistencia", pero también se requiere otro paso para que la persistencia funcione: modifíquela
/boot/grub/grub.cfg
para agregarla de la--- persistent
siguiente manera:Arrancar con el USB en vivo
2- Cree un grupo de volúmenes encriptados luks en una partición vacía. Cree / (raíz) e intercambie volúmenes lógicos en esa partición cifrada.
Suponga que la partición no utilizada que se cifrará es
/dev/nvme0n1p4
.Opcionalmente , si tiene datos antiguos en la partición que desea ocultar antes del cifrado y el formateo, puede borrar la partición al azar. Ver discusión aquí .
Configura el cifrado.
Se le pedirá que establezca una contraseña.
Se le pedirá que ingrese la contraseña. Tenga en cuenta que
crypt1
es un nombre arbitrario decidido por el usuario. Ahora cree los volúmenes y el formato.Use estas utilidades para ver los volúmenes y comprender la jerarquía.
3- Copie archivos de la raíz antigua a la nueva raíz
cp -a ...
copias en modo de archivo, conservando todos los modos de archivo y banderas.4- Configure y particione otro USB para que actúe como el disco de arranque extraíble.
Solía dividirme para esto. Establecer dos particiones. La primera partición es
vfat
, la segundaext2
. Cada uno tenía 512 MB, podría salirse con la suya con menos. Asumir dispositivo/dev/sdf
.5- Configure algunos archivos en la nueva raíz, haga un poco de magia y haga un chroot en la nueva raíz y luego instale grub en el disco de arranque desde el nuevo entorno raíz chroot'd.
Encuentre algunos UUID para su uso posterior. Tenga en cuenta los resultados de los siguientes comandos:
Montar la partición raíz y las particiones de arranque
Configura el archivo
/mnt/etc/fstab
donde "[uuid of ...]" es solo una combinación de letra, número y guión.
Crea el archivo
/mnt/etc/cryptab
Se requiere algo de magia para ingresar al entorno del directorio raíz:
Ahora configure el disco USB de arranque con
grub
:Ahora debería poder reiniciar y arrancar usando el disco de arranque USB recién creado.
Solución de problemas
(a) La red debe estar conectada para el
apt install --reinstall grub-efi-amd64
comando. Si la red está conectada pero DNS está fallando, intente(b) Antes de llamar
initramfs
, elvmlinuz...
archivo actual utilizado en el linux original debe estar presente en el nuevo directorio raíz. Si no es así, encuéntralo y colócalo allí.(c) El
grub-install
comando buscará de manera predeterminada todos los demás discos de Linux que pueda encontrar, incluso si no estánmount
editados, y los colocará en el menú de inicio en el nuevo USB de inicio. Por lo general, esto no es deseable, por lo que puede evitarse agregando esta línea a/boot/default/grub.cfg
:NOTA: Se puede agregar un archivo de texto con la clave de cifrado al USB de arranque extraíble.
fuente
Respuesta simple: no.
Respuesta complicada:
Cifrar un disco o partición borrará todo lo que esté actualmente en ese disco o partición, por lo que para cifrar un disco también debe eliminar el contenido del disco. Debe realizar copias de seguridad de datos adecuadas antes de comenzar. Obviamente, esto significa que debe reinstalar el sistema para utilizar el cifrado de disco completo, no al revés. Esto se debe a que los datos aleatorios se escribirán en todo el disco para dificultar la recuperación de los datos.
Pero, hoy en día no necesita cifrar su partición raíz. Recuerde que si algo falla, está fuera de su sistema sin posibilidades de recuperar los datos. En su lugar, debe considerar solo cifrar su información personal.
Consulte la pregunta relacionada ¿ Cómo cifrar el disco completo después de la instalación?
fuente