Instalace do cryptroot

Zaznamenejte prosím: Je tu pár výstrah při používání tohoto návodou pro zašifrování kořenového diskového oddílu a datových. Jsou to:

Příklady šifrování:

Šifrování se skupinami LVM

Tento příklad využívá crypt uvnitř svazku LVM a umožní vám oddělení vašeho home od / a využití diskového oddílu swap bez nutnosti mít více hesel. Je možné jej použít od verze aptosid-2010-03-apate a novější.

Než spustíte vlastní instalátor, musíte připravit souborové systému, které pak budou pro instalaci použity. Pro běžné způsoby vytváření diskových oddílů LVM se odkaže na Logical Volume Manager - Vytváření diskových oddílů LVM.

Budete potřebovat alespoň nezašifrovaný souborový systém /boot , dále budou vytvořeny šifrované souborové systémy / a také /home a swap.

  1. Jestli nezamýšlíte použít existující skupinu svzaků LVM, pak vytvořte další novou normální skupinu svazků. Tento příklad předpokládá, že máte skupinu svazků nazvanou vg, která bude obsahovat boot a vaše zašifrovaná data.
  2. Budete potřebovat logické svazky pro váš /boot a pak zašifrovaná data, takže použijte lvcreate pro vytvoření logických svazků ve skupině svazků vg s velikostmi, jaké si přejete:
    lvcreate -n boot --size 250m vg
    lvcreate -n crypt --size 300g vg
    
    Budeme vytvářet logické svazky swap, root a home, kterou budou mít 2 GB, 40 GB a 80 GB resp.
  3. Vytvořte souborový systém pro /boot, aby byl k dispozici pro instalátor:
    mkfs.ext4 /dev/mapper/vg-boot
    
  4. Použijte cryptsetup pro zašifrování vg-crypt s použitím rychlejší volby xts s nějvětší sílou délky klíče 512bit, poté jej otevřete. Budete dvakrát požádáni o zadání vašeho heslo a potřetí pro otevření. Otevřete jej výchozím názvem cíle času zavádění cryptopts cryptroot:
    cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/mapper/vg-crypt
    
    cryptsetup luksOpen /dev/mapper/vg-crypt cryptroot
    
  5. Nyní použijte lvm uvnitř zašifrovaného zařízení pro vytvoření druhé skupinty svazků, která bude použita pro zařízení /swap a /home. pvcreate cryptroot, aby se z něj stal fyzický svazek a použijte jej s vgcreate pro vytvoření nové skupiny svazků, kterou nazveme cryptvg:
    pvcreate /dev/mapper/cryptroot
    vgcreate cryptvg /dev/mapper/cryptroot
    
  6. Poté použijte příkazu lvcreate s nově vytvořenou zašifrovanou skupinou svazků cryptvg pro vytvoření logických svazků / , /swap a /home s velikostmi, jaké si přejete:
    lvcreate -n swap --size 2g cryptvg
    lvcreate -n root --size 40g cryptvg
    lvcreate -n home --size 80g cryptvg
    
    Zde jsme logické svazky pojmenovali swap, root a home a jejich velikosti jsme zvolili 2 GB, 50 GB a 250 GB resp.
  7. Vytvořte souborové systémy pro cryptvg-swap, cryptvg-root a cryptvg-home, ať je má k dispozici instalátor:
    mkswap /dev/mapper/cryptvg-swap
    mkfs.ext4 /dev/mapper/cryptvg-root
    mkfs.ext4 /dev/mapper/cryptvg-home
    
  8. Nyní můžete použít instalátor, kde byste měli použít:
    vg-boot pro /boot,
    cryptvg-root pro /,
    cryptvg-home pro /home,
    and cryptvg-swap for swap should be automagically recognised.

Instalovaný systém by měl získat řádku přikazu kernelu, která by měla obsahovat následující volby:

root=/dev/mapper/cryptvg-root cryptopts=source=/dev/mapper/vg-crypt,target=cryptroot,lvm=cryptvg-root

Nyní máte crypt a boot pod skupinou svazků lvm nazvanou vg a root, home a swap máte uvnitř skupiny svazků lvm nazvanou vgcypt, která je umístěna v heslem zašifrovaném zařízení.

Note: If reinstalling to a previously encrypted lvm volume the installer needs to be made aware of the crypt:

cryptsetup luksOpen /dev/mapper/cryptvg-root cryptvg
vgchange -a y

Poznámky pro crypt s tradičními metodami vytváření diskových oddílů

První věc, kterou musíte rozhodnout, je uspořádání vašeho disku. Budete potřebovat alespoň dva diskové oddíly, jeden normálné pro /boot a jeden pro zašifrovaná data.

Jelikož také nejspíš potřebujete swap (který by měl být také zašifrován), budete potřebovat i třetí diskový oddíl a budete pro něj muset zadávat heslo odděleně při zavádění systému (takže budete dotázání na dvě hesla).

Je také možné použít klíč pro swap přímo ze zašifrovaného sytému s tradičním diskovým oddíl, ale v takovém případě byste nemohli uspávat na disk. Vzhledem k těmto překázkám je dlouhodobě lepší volbou použití svazků LVM s kompletně zašifrovanými diskovými oddíly a klíči.

Důležité předpoklady:

Nyní, když máte hotové diskové oddíly, musíte připravit zašifrované diskové oddíly, aby byly rozpoznány instalátorem.

Pokud jste použivali aplikaci s grafickým rozhraním pro vytváření diskových oddílů, tak ji zavřete a otevřete terminál, jelikož příkazy pro šifrování musí být zadávány z příkazové řádky.

Diskový oddíl /boot

Vytvořte z /boot diskový oddíl s ext4, pokud jste tak již neučinili:

/sbin/mkfs.ext4 /dev/sda1
Zašifrovaný diskový oddíl swap

Pro zašifrovaný swap musíte nejdříve naformátovat a otevřít samotné zařízení, /dev/sda2, jako šifrované zařízení, podobně jako zařízení vg-crypt výše, ale otevřené pod jiným názvem, swap.

  1. cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda2
    
  2. cryptsetup luksOpen /dev/sda2 swap
    
  3. echo "swap UUID=$(blkid -o value -s UUID /dev/sda2) none luks" >> /etc/crypttab
    

Format the created /dev/mapper/swap so it will be recognised by the installer:

/sbin/mkswap /dev/mapper/swap
Zašifrovaný diskový oddíl /

Pro zašifrovaný / musíte nejprve naformátovat a otevřít samotné zařízení, /dev/sda3, jako šifrované zařízení, podobně jako zařízení vg-crypt výše.

cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 cryptroot

Naformátuje právě vytvořený /dev/mapper/cryptroot, aby se objevil v instalátoru:

/sbin/mkfs.ext4 /dev/mapper/cryptroot

Otevřete instalátor

Nyní jste připraveni spustit instalátor, kde byste měli použít:
sda1 pro /boot,
cryptroot for / and /home
swap should be automagically recognised.

Instalovaný systém by měl získat řádku přikazu kernelu, která by měla zahrnovat následující volby (použito bude ale vaše UUID):

root=/dev/mapper/cryptroot cryptopts=source=UUID=12345678-1234-1234-1234-1234567890AB,target=cryptroot

Nyní máte /boot v běžném diskovém oddílu a heslem zašifrovaný diskový oddíl swap spolu se zašifrovaným /home a /.

Prameny a zdroje:

Vyžadované čtení:

man cryptsetup

LUKS.

Redhat a Fedora .

Protect Your Stuff With Encrypted Linux Partitions.

KVM how to use encrypted images.

aptosid wiki.

Obsah naposledy revidován 06/09/2011 0920 UTC