it-swarm.com.de

Wie installiere ich 18.04 mit voller Festplattenverschlüsselung mit zwei Laufwerken (SSD / HDD)

Ich habe einen Laptop und möchte eine Neuinstallation mit FULL DISK ENCRYPTION durchführen. Ich möchte mein Betriebssystem auf meiner SSD installieren und nach der Installation meine auf meine zweite Festplatte verschieben.

  • Ist es möglich, das Installationsprogramm aufzufordern, BEIDE Laufwerke zum Zeitpunkt der Installation vollständig zu verschlüsseln?
  • Wenn nicht, ist es möglich, die zweite Festplatte nach einer erfolgreichen Installation des Betriebssystems auf der SSD manuell zu verschlüsseln und dann auf die zweite Festplatte umzusteigen? Wenn ja, wie mache ich das?
  • Kann man beim Booten mit EINEM Passwort beide Laufwerke entschlüsseln? Wäre es richtig anzunehmen, dass ich LUKS auf beiden Laufwerken installieren müsste (um die Encyption zu handhaben) und dann stretch (oder eine LVM über die beiden Laufwerke verknüpfen)? Dies ist der Teil, von dem ich am unsichersten bin, was ich tun soll.

Vielen Dank

11
Andor Kiss

So verschlüsseln Sie eine Ubuntu 18.04 LTS-Installation mit zwei Laufwerken: Betriebssystem auf der primären SSD/home auf Ihrer sekundären HDD

Dies ist eine Anleitung zur FULL DISK ENCRYPTION einer Ubuntu 18.04 LTS-Installation. Nicht zu verwechseln mit der Verschlüsselung nur des Verzeichnisses / home, das meiner Meinung nach während der Installation als Option entfernt wurde. Diese Anweisungen gelten für Ubuntu 18.04 LTS, sollten jedoch mit 16.04 LTS funktionieren.

In diesem Handbuch wird davon ausgegangen, dass Sie mit Ubuntu (Linux) vertraut sind und das Betriebssystem von einem USB-Stick installieren können, oder zumindest verstehen, wie diese Prozedur ausgeführt wird. Wenn dies nicht möglich ist, suchen Sie jemanden, der dies kann, und Sie gehen beide durch . In diesem Handbuch wird außerdem davon ausgegangen, dass Sie ALLE Ihre Daten vor Beginn dieses Vorgangs gesichert haben, da Sie während dieses Vorgangs alle DATEN auf ALLEN Laufwerken zerstören werden.

SIE WURDEN GEWARNT!

Dieser Leitfaden ist größtenteils eine Verschmelzung der beiden hier beschriebenen Vorgehensweisen (David Yates 'Blog-Post) ( https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on- ubuntu-14-10-post-install / ) und der Ask Ubuntu-Post ( Move home folder to second drive ).

Das Wichtigste zuerst, warum möchten wir das tun? Denn wenn Sie einen Laptop oder andere vertrauliche Daten auf einem Computer besitzen und diese gestohlen werden oder verloren gehen, müssen Sie die Daten schützen können. Sie sind möglicherweise rechtlich dafür verantwortlich, die Daten geschützt zu haben. Zweitens verfügen viele (die meisten) Systeme jetzt über eine kleine SSD (schnell) für das Betriebssystem und eine größere HDD (langsam) für die Daten. Drittens wird das Verschlüsseln nur des Verzeichnisses / home jetzt als eine schlechte Idee erkannt, da es Sie der Gefahr aussetzt, dass / home gehackt wird (fragen Sie mich nicht, wie ich vorgehen soll) Ich konnte es nicht) UND eine teilweise Verschlüsselung verlangsamt das System in hohem Maße. FDE erfordert weniger Overhead und hat daher nur minimale Auswirkungen auf die Leistung des Systems.

TEIL I: Ubuntu 18.04 LTS auf dem primären Laufwerk installieren (normalerweise die SSD)

Installieren Sie Ubuntu 18.04 LTS auf Ihrer kleineren (normalerweise der SSD) und überprüfen Sie (i) das Löschen der Festplatte, (ii) das Verschlüsseln der Installation und (iii) das LVM-Management.

screenshot of install choices

Dies führt zu einer verschlüsselten SSD, berührt jedoch nicht das zweite (normalerweise Festplatten-) Laufwerk. Ich gehe davon aus, dass Ihr zweites Laufwerk ein neues, unformatiertes Laufwerk ist, aber es spielt keine Rolle, was sich vor diesem Vorgang auf dem Laufwerk befindet. Wir werden alle Daten auf diesem Laufwerk zerstören. Wir werden ein Softwarepaket aus Ubuntu verwenden, um das Laufwerk vorzubereiten (nicht sicher, ob diese Vorbereitung unbedingt erforderlich ist, aber ich habe sie getestet). Um dies für Ihre bald zu verschiebende / home Partition (Ordner) vorzubereiten, sollten Sie sie mit dem GUI-Tool gParted formatieren.

Sudo apt install gparted

Öffnen Sie gParted und navigieren Sie zu Ihrer zweiten Festplatte (überprüfen Sie das / dev/sd? X) und löschen Sie alle & vorhandenen Partitionen. Erstellen Sie dann eine neue PRIMARY PARTITION mit ext4 Dateisystem. Sie können es auch beschriften, aber das ist nicht erforderlich. Wählen Sie "Übernehmen". Ein gParted ist fertig, schließen Sie gParted und jetzt können Sie den LUKS-Container auf dem zweiten Laufwerk installieren und dann formatieren. Ersetzen Sie in den folgenden Befehlen sd? X durch den Namen Ihres SEKUNDÄREN Laufwerks (nicht Ihres primären Laufwerks) Zum Beispiel sda1.

Sudo cryptsetup -y -v luksFormat /dev/sd?X

Dann müssen Sie die neue Partition entschlüsseln, damit Sie sie mit ext4, dem von Ubuntu bevorzugten modernen Linux-Dateisystem, formatieren können.

Sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
Sudo mkfs.ext4 /dev/mapper/sd?X_crypt

Wenn Sie Ihre zweite Festplatte als reguläre Festplatte verwenden möchten, auf die häufig zugegriffen wird (wie beim Verschieben Ihrer / home -Partition, auf die sich Part II bezieht), Es gibt eine Möglichkeit, Ihr zweites Laufwerk beim Start automatisch bereitzustellen und zu entschlüsseln, wenn Ihr Computer Sie zur Eingabe des primären Kennworts für die Festplattenentschlüsselung auffordert. Nebenbei: Ich verwende für BEIDE Laufwerke dieselbe Passphrase, da ich abergläubisch bin und mir mehr Probleme mit zwei verschiedenen vorstellen Passphrasen.

Zuerst müssen Sie eine Schlüsseldatei erstellen, die als Kennwort für Ihr sekundäres Laufwerk fungiert, und damit Sie nicht bei jedem Start das Kennwort eingeben müssen (wie das Kennwort für die primäre Festplattenverschlüsselung).

Sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
Sudo chmod 0400 /root/.keyfile
Sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

Nachdem die Schlüsseldatei erstellt wurde, fügen Sie die folgenden Zeilen mit nano zu/etc/crypttab hinzu

Sudo nano /etc/crypttab

Fügen Sie diese Zeile hinzu, speichern und schließen Sie die Datei (/ etc/crypttab).

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard

Verwenden Sie diesen Befehl, damit die UUID Ihrer Partition in die Datei / etc/crypttab eingegeben wird (Sie müssen Sudo verwenden, damit alle Ihre Partitionen angezeigt werden):

Sudo blkid

Der gewünschte Wert ist die UUID von / dev/sd? X, nicht dev/mapper/sd? X_crypt. Stellen Sie außerdem sicher, dass Sie die UUID und nicht die PARTUUID kopieren.

Okay, zu diesem Zeitpunkt (geschlossene & gespeicherte / etc/crypttab Datei) sollten Sie sich bei Ihrer Ubuntu-Installation anmelden können (Eingabe Ihres primären Passworts für die Laufwerksentschlüsselung) und es sollte sowohl Ihre primäre als auch Ihre sekundäre entschlüsseln fährt. Sie sollten überprüfen, ob dies ansonsten passiert STOP; und lösen Sie das Problem. Wenn dies nicht funktioniert und Sie Ihr / home verschieben, ist das System nicht funktionsfähig.

Starten Sie das System neu und überprüfen Sie, ob dies tatsächlich der Fall ist (Daisy-Chain-Entschlüsselung). Wenn das sekundäre Laufwerk automatisch entschlüsselt wird, sollte bei Auswahl von "Andere Speicherorte" das zweite Laufwerk in der Liste angezeigt und mit einem Schlosssymbol versehen sein, das Symbol sollte jedoch entsperrt ​​lauten.

Wenn das zweite Laufwerk automatisch entschlüsselt wird (wie es sollte), fahren Sie fort mit Teil II, wobei das zweite Laufwerk als Standardverzeichnis für Ihren Ordner / home (mit dem Symbol) festgelegt wird größere Menge an Platz).

Teil II: Verschieben Sie Ihre/home-Partition auf Ihr sekundäres Laufwerk ( d. H. Festplatte)

Wir müssen einen Einhängepunkt für das sekundäre Laufwerk erstellen, die neue Partition (sekundäre Festplatte) vorübergehend einhängen und / home dorthin verschieben:

Sudo mkdir /mnt/tmp
Sudo mount /dev/mapper/sd?X_crypt /mnt/tmp

vorausgesetzt / sd? X ist die neue Partition für / home (wie oben)

Jetzt kopieren wir Ihren Ordner / home an den neuen Speicherort / home vom primären Laufwerk (SSD) auf das sekundäre Laufwerk (HDD).

Sudo rsync -avx /home/ /mnt/tmp

Wir können dann die neue Partition als / home mit mounten

Sudo mount /dev/mapper/sd?X_crypt /home

um sicherzustellen, dass alle Ordner (Daten) vorhanden sind.

ls

Nun möchten wir den neuen Speicherort / home auf dem sekundären Laufwerk permanent machen. Wir müssen den Eintrag fstab bearbeiten, um Ihr verschobenes / home automatisch bereitzustellen = auf der sekundär entschlüsselten Festplatte.

Sudo nano /etc/fstab

und füge die folgende Zeile am Ende hinzu:

/dev/mapper/sd?X_crypt /home ext4 defaults 0 2

Speichern und schließen Sie die Datei.

Starten Sie neu. Nach einem Neustart sollte sich Ihr / home auf dem neuen sekundären Laufwerk befinden und Sie sollten genügend Platz für Ihre DATEN haben.

10
Andor Kiss