Вопрос или проблема
Как создать отдельный раздел /home в графическом установщике Ubuntu 12.10 после выбора опции полного шифрования диска? Я хотел бы убедиться, что содержимое всего диска, включая все разделы, также зашифровано.
Это также работает на Mint 17.2. Трудно поверить, что это все еще не исправлено.
Разбиение на разделы
Загрузите установочный диск и откройте терминал. Предположим, вы хотите использовать GPT без UEFI, разделите диск с помощью gdisk.
gdisk /dev/sda
В gdisk:
- Создайте новую GUID таблицу разделов
- Создайте загрузочный BIOS раздел емкостью 1М (тип раздела ef02). Начало=0, Конец=+1М.
- Создайте раздел grub (тип раздела 8300). Не менее 256 МБ.
- Создайте раздел LUKS crypt (тип раздела 8E00). Оставьте предложенные Начало/Конец для использования остального диска.
- Нажмите ‘w’ для записи на диск.
Теперь создайте контейнер LUKS на только что созданном разделе и назовите его “lvm” (или как хотите):
cryptsetup luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 lvm
Создайте физический том для LVM в контейнере LUKS, а затем группу томов:
pvcreate /dev/mapper/lvm
vgcreate lvmgrp /dev/mapper/lvm
Создайте ваши логические тома (размеры могут варьироваться):
lvcreate -L 4G lvmgrp -n swapvol
lvcreate -L 20G lvmgrp -n rootvol
lvcreate -l +100%FREE lvmgrp -n homevol
Установка Ubuntu/Mint
Теперь запустите установщик, оставляя терминал открытым. На этапе разбиения выберите “Другое”. Установите точки монтирования для следующих, отметив галочкой “форматировать”, где это необходимо:
- монтировать /dev/sda2 на /boot
- монтировать homevol на /home
- монтировать rootvol на /
- Установить swapvol как место подкачки.
Теперь продолжайте установку, но в конце установки нажмите “Продолжить попытку”.
Перед перезагрузкой
Вернитесь в терминал и смонтируйте вашу новую систему в chroot:
mount /dev/mapper/lvmgrp-rootvol /mnt
mount /dev/sda2 /mnt/boot
cd /mnt
mount /dev --bind dev
chroot .
mount proc
mount sysfs
mount devpts
mount tmpfs
Запустите blkid, чтобы получить UUID контейнера LUKS (/dev/sda3).
Отредактируйте или создайте /etc/crypttab со следующей строкой:
lvm UUID=8f379863-d591-4101-9251-70ae8a34ad02 none luks
ваш UUID будет другим, конечно. Это заставит систему пытаться открыть контейнер LUKS при загрузке с именем “lvm”.
Это делает начальное загрузочное изображение RAM, поэтому нам нужно его обновить:
update-initramfs -u
Это прочитает из файла crypttab и внесет необходимые изменения в изображение initram. Теперь при загрузке вы получите приглашение ввести свой пароль.
Отмонтируйте все, просто чтобы быть в безопасности:
umount tmpfs
umount devpts
umount sysfs
umount proc
exit
umount dev
umount boot
cd
umount /mnt
Теперь перезагрузитесь и извлеките установочный диск.
Объяснение
Итак, вот что происходит при загрузке:
- BIOS передает управление GRUB, который загружает ядро и выполняет начальное загрузочное изображение, расположенное в вашем разделе /boot.
- Загрузочное изображение настроено на разблокировку контейнера LUKS, поэтому она сделает это следующим шагом.
- Теперь корневая файловая система (в rootvol) доступна, поэтому ядро может завершить загрузку системы.
Вот хорошая справка.
Предупреждение: Помните, что то, что вы делаете, должно быть сделано правильно, иначе вы можете потенциально уничтожить другие системы на вашем жестком диске или данные на других разделах. Если вы устанавливаете на весь жесткий диск и хотите перезаписать весь диск, никаких проблем.
Когда вы устанавливаете, когда вы увидите этот экран:
Выберите что-то другое.
Вам нужно будет создать минимум два раздела (три, если вам нужен swap).
Создайте один раздел для вашей системы и укажите точку монтирования “https://askubuntu.com/”
Создайте другой раздел для вашего домашнего каталога и укажите точку монтирования ‘/home’
Также создайте раздел подкачки, если он вам нужен.
Когда вам предложат зашифровать каталог /home, выберите этот вариант.
Смотрите этот учебник перед началом этого процесса. Если у вас уже установлена другая система и вы хотите установить ее рядом, убедитесь, что вы сделали резервную копию с помощью remastersys или просто сделайте резервную копию ваших файлов.
.
Ответ или решение
Полное шифрование диска с использованием отдельного раздела для /home на Ubuntu 12.10 требует продуманного подхода к настройке системы, чтобы все данные оставались защищенными. В данном руководстве мы рассмотрим шаги, необходимые для создания отдельного раздела /home в процессе установки с опцией полного шифрования диска, применимого также к Linux Mint 17.2. Важно подчеркнуть, что любые действия с дисковыми разделами могут привести к потере данных, поэтому перед началом работы рекомендуется сделать резервную копию.
Теория
Полное шифрование диска (FDE) обеспечивает высокий уровень безопасности за счёт шифрования всех данных на жестком диске, что предотвращает несанкционированный доступ к информации. Ubuntu и другие дистрибутивы Linux предоставляют инструменты для шифрования данных с использованием LUKS (Linux Unified Key Setup), который в сочетании с LVM (Logical Volume Manager) позволяет гибко управлять логическими разделами.
Создание отдельного раздела для /home полезно по нескольким причинам:
- Безопасность: /home может содержать конфиденциальные данные пользователя, поэтому шифрование этого раздела имеет смысл.
- Модульность: Разделение системы на несколько логических дисков позволяет легко обновлять систему или даже полностью переустанавливать её без потери личных данных.
- Производительность: Разделение на несколько разделов может оптимизировать работу диска и улучшить управление ресурсами.
Пример
Процесс включает несколько шагов, начиная с подготовки разделов и заканчивая различными операциями, которые приводят к успешной установке ОС. Пример кода и команд, предоставленных в описании, иллюстрирует основные шаги:
- Создание таблицы разделов: Используя
gdisk, создайте новую таблицу GUID и выделите пространство под загрузочные и шифрованные разделы.
gdisk /dev/sda
# Внутри gdisk:
# 1. Создайте новый GUID partition table
# 2. Создайте 1M bios boot partition (тип ef02)
# 3. Создайте grub partition (тип 8300, минимум 256 MB)
# 4. Создайте LUKS crypt partition (тип 8E00)
# Нажмите 'w' для записи на диск.- Настройка LUKS: Создайте контейнер LUKS на только что созданном разделе.
cryptsetup luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 lvm- Конфигурирование LVM: После открытия LUKS контейнера создайте физический том и группу томов.
pvcreate /dev/mapper/lvm
vgcreate lvmgrp /dev/mapper/lvm- Создание логических томов: Выделите место для обмена, корневой системы и /home.
lvcreate -L 4G lvmgrp -n swapvol
lvcreate -L 20G lvmgrp -n rootvol
lvcreate -l +100%FREE lvmgrp -n homevolПрименение
Во время установки Ubuntu выполните следующее:
- Выберите "Something Else" при установке, чтобы вручную настроить разделы.
- Присвойте точки монтирования следующим образом:
/bootдля /dev/sda2/для rootvol/homeдля homevol- swap по назначению для swapvol.
После установки, до перезагрузки, убедитесь в синхронизации с новой системой:
- Монтаж и chroot: Перейдите в новую систему, чтобы обновления initramfs приняли изменения.
mount /dev/mapper/lvmgrp-rootvol /mnt
mount /dev/sda2 /mnt/boot
# ... остальное по аналогии
chroot .
update-initramfs -u- Обновление системы: Убедитесь, что система способна расшифровывать /home при загрузке, редактируя
/etc/crypttab.
На этом процесс настройки вашей системы с полным шифрованием и отдельным разделом /home завершен. При перезапуске система запросит пароль для расшифровки дисков, Secure Boot и прочие функции продолжат работу без изменений. Данное руководство применимо и к другим дистрибутивам с аналогичной структурой установки и поддержкой LUKS и LVM, таким как Linux Mint.