Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Unix-подобные системы

Как создать два зашифрованных раздела из SSD-диска объемом 1 ТБ?

На чтение 7 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теория
  4. Преимущества использования зашифрованных разделов:
  5. Пример
  6. Применение

Вопрос или проблема

Я недавно купил новый ноутбук HP Essentials Business Laptop, как видно на Amazon: HP Essential Business Laptop, 17.3″ FHD Display, Intel Core i5-1334U, 32GB RAM, 1TB PCIe M.2 SSD, Wi-Fi 6, Webcam, Backlit Keyboard, Windows 11 Pro, Silver

Я скачал linuxmint-22.1-cinnamon-64bit и записал его на USB, чтобы установить его на ноутбук

Теперь на моем новом ноутбуке у меня есть SSD диск на 1 ТБ, и я бы хотел разделить его на два зашифрованных диска по 500 ГБ, один для моей системы, другой для файлов

почему? несколько причин

1: я хотел бы иметь возможность форматировать мою систему в целях безопасности и не терять все свои файлы

2: я бы хотел не потерять все свои файлы, если с системой возникнут проблемы, и она будет повреждена, и мне придется форматировать по этой причине

3: я бы хотел иметь возможность форматировать и менять дистрибутив, когда захочу, и не терять мои файлы

сказав это, как мне это сделать? я могу загрузиться в Linux mint с моим новым ноутбуком, я выбираю что-то другое, но потом у меня появляется эта странная таблица разделов, о которой я ничего не знаю, и я теряюсь

любая помощь будет признательна, спасибо

Я предлагаю вам сделать следующее (предполагая, что /root будет зашифрован):

  1. Установите ОС на часть диска.
  2. Создайте ключевой файл
    head -c 32 /dev/random >/root/keyfile ; chmod 400 /root/keyfile
  3. Добавьте ключ в заголовок LUKS (предполагаем /dev/sda3):
    cryptsetup luksAddKey --iter-time 1 /dev/sda3 /root/keyfile
  4. Если еще не сделано, создайте отдельный раздел для данных (предполагаем /dev/sda4)
  5. Скопируйте заголовок LUKS с /dev/sda3 на /dev/sda4 (таким образом у вас будет “резервная копия”, если вы повредите один из них):
    cryptsetup luksHeaderBackup --header-backup-file /root/luks-header /dev/sda3
    cryptsetup luksHeaderRestore --header-backup-file /root/luks-header /dev/sda4
  6. Добавьте новый раздел в /etc/crypttab, чтобы он расшифровывался автоматически:
    cr_data /dev/sda4 /root/keyfile
  7. Измените UUID LUKS:
    cryptsetup luksUUID --uuid /dev/sda4
  8. После форматирования и монтирования тома с данными скопируйте туда ключевой файл.

Если вы когда-нибудь повторите установку Linux, может оказаться невозможным (в зависимости от установщика) сохранить заголовок LUKS. В любом случае вам придется скопировать ключевой файл на первый раздел и снова добавить запись в /etc/crypttab.

предполагая, что mint предлагает тот же интерфейс установки, что и Redhat и Centos/Rocky, во время установки вы должны перейти в пользовательскую настройку разделов. Как упоминалось, в интерфейсе настройки разделов во время установки будет флажок encrypt, который будет использовать LUKS2.

Хотя вы сказали, что хотите равномерно разделить 500 ГБ для операционной системы и данных, моя рекомендация заключается в том, чтобы разделить их примерно на 200 ГБ для / и ~700 ГБ для /data, если вы специально не знаете, что именно будете устанавливать в Linux под /, чтобы нужно было около 500 ГБ пространства. Диск на 1 ТБ после форматирования обеспечит около 900 ГБ полезного пространства.

С новым ноутбуком, использующим UEFI, и при выборе схемы разделов GPT вместо MSDOS выполните настройку диска следующим образом:

  • /boot размером 1 ГБ, отформатированный как XFS, и это не будет зашифровано
  • /boot/efi размером 100 МБ отформатирован как fat or vfat, и это не будет зашифровано.
  • / размером 200 ГБ отформатирован как XFS, выбрав encrypt
  • /data размером 700 ГБ отформатирован как XFS, выбрав encrypt
    • этот пункт вы установите вручную в выпадающем меню — он не будет присутствовать как остальные; назовите и расположите его как вам угодно, это не обязательно должно быть “/data”.

Если BIOS ноутбука позволяет использовать режим загрузки наследия, то вы можете использовать схему разделов MSDOS и обойтись без дополнительного раздела /boot/efi.

Во время установки при выборе encrypt для любого из разделов, вас попросят ввести один пароль шифрования для всех, чтобы продолжить загрузку, после чего Linux автоматически разблокирует все те зашифрованные разделы, которые были созданы во время установки. Это бонус. Если вы решили вручную создать и/или зашифровать раздел после установки, то вам придется либо вручную разблокировать и монтировать его после загрузки, либо реализовать схему автоматической разблокировки во время загрузки.

Использование XFS в качестве формата раздела позволит использовать xfsdump и xfsrestore, если вам когда-нибудь это потребуется для раздела данных.

Примечание: я не уверен, можно ли при использовании UEFI или MSDOS включить /boot в зашифрованный / root. Можно попробовать, и если это сработает, то будет на один раздел меньше… вы сказали, что хотите два… будет ли действительно возможно иметь всего 2 зашифрованных раздела, такие как /data и /, предполагаю, что это нужно делать на MSDOS, а не на GPT, потому что GPT требует /boot/efi, я не знаю.

Также: во время установки настройте ЛЕЙБЛ для каждого раздела, особенно для раздела данных. Все это не защищает от повреждения файловой системы, поэтому, как упомянуто в комментарии, делайте регулярные резервные копии… для этого xfsdump идеально подходит. И я бы провел тренировочный запуск с xfsrestore, чтобы знать на практике, если/когда это время придет.

Ответ или решение

Создание зашифрованных разделов на SSD — задача, которая требует внимательного подхода к безопасности и понимания структуры разделов. Поскольку у вас есть ноутбук HP с предустановленной Windows 11 Pro и 1TB M.2 SSD, вы решили установить Linux Mint и разделить диск на два зашифрованных раздела. Это позволит не только повысить безопасность, но и обеспечит гибкость при необходимости переустановки системы или переходе на другую дистрибуцию.

Теория

Одной из ключевых задач является защита данных на жестком диске при помощи шифрования. Для этого в Linux обычно используется LUKS (Linux Unified Key Setup), который предоставляет удобный и безопасный способ шифрования разделов. LUKS защищает данные, требуя ввода пароля при каждом запуске системы, и делает ваши данные недоступными в случае кражи устройства.

Преимущества использования зашифрованных разделов:

  1. Гибкость: отдельные разделы позволяют легко переустанавливать операционную систему, не затрагивая пользовательские данные.
  2. Безопасность: шифрование защищает данные от несанкционированного доступа.
  3. Удобство: возможность дистро-хоппинга (смены дистрибутивов) без потери данных.

Пример

Пример создания двух зашифрованных разделов может включать следующие шаги:

  1. Подготовка установочного носителя. Убедитесь, что у вас есть USB-накопитель с дистрибутивом Linux Mint. Вы уже упомянули, что загрузили Linux Mint 22.1 Cinnamon.

  2. Разделение SSD. Планируется разбить диск на / и /data с соответствующими размерами.

  3. Шифрование LUKS. Каждый из разделов будет зашифрован с использованием LUKS. Это можно сделать как в процессе установки, так и после установки системы. Подробнее об этом ниже.

Применение

Теперь рассмотрим шаги, которые вам нужно выполнить, чтобы создать два зашифрованных раздела на вашем SSD.

  1. Запуск установщика Linux Mint.

    • Загрузитесь с USB-носителя, на котором находится образ Linux Mint.

  2. Выбор типа установки.

    • Когда установщик попросит выбрать тип установки, выберите «Что-то другое» (Something Else), чтобы вручную настроить разделы.

  3. Создание таблицы разделов GPT.

    • Поскольку ваш ноутбук использует UEFI, рекомендуется использовать GPT. Создайте новый GPT, если система предлагает это сделать.

  4. Создание необходимых разделов:

    • /boot/efi: 100MB, файловая система FAT32. Не зашифрован.
    • /boot: 1GB, например, файловая система ext4 или xfs. Не зашифрован.
    • /: примерно 200GB, файловая система ext4 или xfs, с шифрованием.
    • /data: оставшееся пространство, будет зашифровано. Файловая система ext4 или xfs.

  5. Шифрование разделов:

    • При создании корневого и пользовательского разделов выберите опцию шифрования. В большинстве дистрибутивов это возможно из интерфейса установщика.
    • Введите сложный пароль, который будет использоваться для шифрования.

  6. Форматирование и установка.

    • Завершите создание разделов и продолжите установку системы.

  7. Настройка автоматического монтирования:

    • После завершения установки и перезагрузки системы, вам потребуется настроить /etc/crypttab и /etc/fstab для автоматического монтирования зашифрованных разделов.

  8. Создание ключевого файла (опционально):

    • Вы можете создать ключевой файл, который будет использоваться для открытия зашифрованных разделов, что упростит процесс монтирования.

Пример создания ключевого файла и его добавления к LUKS:

# Генерация ключевого файла
head -c 32 /dev/random > /root/keyfile
chmod 400 /root/keyfile

# Добавление ключа
cryptsetup luksAddKey /dev/sdXn /root/keyfile

Эти шаги помогут вам создать безопасную систему с зашифрованными разделами, которые обеспечат сохранность ваших данных и сделают переустановку системы безболезненной процедурой. Не забудьте про резервное копирование важных данных и ключевых файлов на внешние носители. Это обеспечит дополнительную защиту в случае аппаратных сбоев или утери доступа к зашифрованным данным.

disk-encryption linux-mint partition
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности