Installeren naar een cryptroot
Neem akte van: Dit zijn enkele aandachtspunten in verband met het gebruik van deze gids voor het encrypten van de root of data partities. Deze zijn:
- Van toepassing voor aptosid-2010-03-apate en verder.
- Dit is een basisgids om u goed te laten starten. Het is uw verantwoordelijkheid om meer te leren over LUKS, cryptsetup en encryptie. Bronnen en middelen zijn onderaan deze pagina beschikbaar via een link.Deze zullen u zeker kunnen helpen, maar dekt uiteraard niet de gehele lading.
- cryptsetup is niet in staat om een bestaande data partitie te encrypten, vandaar dat je een nieuwe partitie moet maken, stel deze in met cryptsetup en verplaats uw data hierin
- Je kan ook sleutelbestanden gebruiken en je hebt meerdere toetsen voor uw data (tot 8, inclusief het verwijderen van toetsen), wat buiten het bereik van deze gids is
- Vergeet niet de wachtzinnen (passphrases), anders zal u uw toegang tot alles verliezen! Zelfs een chroot zonder het kennen van uw wachtzinnen zal u niet kunnen helpen, met uitzondering van /boot.
- Al bij het opstarten zal er al naar uw wachtzinnen gevraagd worden voor het crypt-apparaat en het systeem zal opstarten zoals verwacht.
Encryptie voorbeelden:
Encryptie binnen LVM groepen
Dit voorbeeld gebruikt crypt binnenin het LVM volume om u toe te laten om uw home-partitie (/home) / en swap-partitie (/swap) te scheiden. Tevens ook het niet nodig van meerdere paswoorden en is van toepassing voor aptosid-2010-03-apate en verder.
Voor het opstarten van de installer moet je uw bestandssysteem voorbereiden, deze zullen vervolgens gebruikt worden voor de installatie. Voor een basis LVM-partitie-gids verwijzen we u graag door naar Logical Volume Manager - LVM partitioneren.
Je zal op zijn minst een niet gecrypte /boot bestandssysteem, een encrypte / bestandssyteem en ook een encrypte /home en swap -bestandssystemen moeten creëren.
- Als u niet van plan bent om een bestaande lvm-volumegroep te gebruiken, maak dan een normale lvm-volumegroep. Dit voorbeeld neem aan dat de volume groep als volgt genaamd is: vg. Dit om u boot (opstart) stil te zetten en vanwege ecrypte data
- U zal een logische volume (logical volume) nodig hebben voor /boot en encrypte data om lvcreate te gebruiken.Om u logische volume, vg , te maken en met een bepaalde grootte, die je uiteraard zelf wil:
lvcreate -n boot --size 250m vg lvcreate -n crypt --size 300g vg
Hier heb je respectievelijk voor de namen 'boot' en 'crypt' gekozen als logische volumes, met een grootte van 250Mb en 300Gb. - Maak het bestandssysteem voor /boot zodat het beschikbaar is in de installer:
mkfs.ext4 /dev/mapper/vg-boot
- Gebruik cryptsetup voor het encrypten van vg-crypt gebruikmakend van de snellere xts-optie met de hoogste sleutelsterkte van 512bit en open het vervolgens. Deze zal tweemaal uw paswoord vragen om deze in te stellen en dan een derde keer om het te openen. Open het hier onder de standaard opstarttijd (default boot time) cryptopts doelwitnaam van cryptroot:
cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/mapper/vg-crypt
cryptsetup luksOpen /dev/mapper/vg-crypt cryptroot
- Gebruik nu de lvm binnen het encrypte apparaat om een twee volumegroep te maken dat gebruikt zal worden voor de /swap en /home apparaten. Gebruik pvcreate van cryptroot om een fysiek volume te maken en het te gebruiken met vgcreate , dit om een andere vorlumegroep te maken, we noemen deze cryptvg:
pvcreate /dev/mapper/cryptroot vgcreate cryptvg /dev/mapper/cryptroot
- Gebruik vervolgens lvcreate met de nieuwe encrypte cryptvg volume groep om een / , /swap en /home te maken, logische volumes met de grootte die jij wil:
lvcreate -n swap --size 2g cryptvg lvcreate -n root --size 40g cryptvg lvcreate -n home --size 80g cryptvg
Hier heb je de logische volumes respectievelijk als volgt benoemd : swap, root en home, met een grootte van 2Gb, 40Gb en 80Gb. - Maak de bestandssytemen voor cryptvg-swap, cryptvg-root en cryptvg-home zodat ze beschikbaar zijn in de installer:
mkswap /dev/mapper/cryptvg-swap mkfs.ext4 /dev/mapper/cryptvg-root mkfs.ext4 /dev/mapper/cryptvg-home
- Nu bent u klaar om de installer op te starten, waar je het volgende moet gebruiken:
vg-boot voor /boot,
cryptvg-root voor /,
cryptvg-home voor /home,
and cryptvg-swap voor swap zou automatisch moeten worden herkend.
Het geïnstalleerd systeem zou moeten eindigen met een kernelcommando-lijn die volgende opties bevat:
root=/dev/mapper/cryptvg-root cryptopts=source=/dev/mapper/vg-crypt,target=cryptroot,lvm=cryptvg-root
Je hebt nu de crypt en je boot onder de vg lvm volume groep en de root, home en swap zijn binnen vgcrypt lvm volume groep die zich binnen uw paswoord beschermde encrypte apparaat bevindt.
cryptsetup luksOpen /dev/mapper/cryptvg-root cryptvg vgchange -a y
Opmerkingen voor crypt met traditionele partitie-methodes
Het eerste wat je moet beslissen is uw layout van uw schijf. U zal een minimum moeten hebben van 2 partities, een normale partitie voor uw /boot en een voor uw encrypte data.
Laat ons aannemen dat u uw swap nodig hebt (wat ook encrypted zou moeten zijn) , je zal dus een derde partitie nodig hebben en je zal u paswoord apart moeten invoeren tijdens het opstarten (zo zal je dus twee paswoord-prompts hebben).
Het is mogelijk om toetsen te gebruiken voor de swap binnenin het encrypted systeem met traditionele partitioneringen, evenwel zal je je schijf niet kunnen opschorten. Als gevolg van deze kwesties is het beter, zeker op lange termijn, om LVM volumes te gebruiken met volle encrypte partities en sleutels.
Essentiële veronderstellingen:
- Er zijn juist 3 vlakke partities op deze schijf:
/boot, van 250mb
swap, van 2 gig
/ en /home gecombineerd (als voorbeeld, het evenwicht). - 2 wachtzinnen zullen nodig zijn voor, 1 voor de swap ,de andere voor / en /home gecombineerd.
Nu je het partitioneren gedaan heb, moet je de encrypte partities voorbereiden zodat deze herkend zullen worden door de installer.
Als je een GUI partitie-applicatie (grafisch) gebruikt hebt, dan sluit je deze nu best en open je de terminal, net als de encryptie-commando's moet de encryptie ook via commandolijnen gedaan worden.
De /boot partitie
Maak de /boot partitie een ext4 partitie, als je dit nog niet gedaan hebt:
/sbin/mkfs.ext4 /dev/sda1
Encrypte swap-partitie
Voor de encrypte swap moet je eerst het raw-apparaat formatteren en openen, /dev/sda2, als een encrypted-apparaat, zoals het vg-crypt apparaat erboven, maar openen onder een andere naam, swap.
cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda2
cryptsetup luksOpen /dev/sda2 swap
echo "swap UUID=$(blkid -o value -s UUID /dev/sda2) none luks" >> /etc/crypttab
Formatteer het gemaakte /dev/mapper/swap zodanig dat het zal worden herkend door de installer:
/sbin/mkswap /dev/mapper/swap
Encrypte / partitie
Voor de encrypte / zal je eerst het raw-apparaat moeten formatteren en dan openen, /dev/sda3, als een encrypted apparaat, zoals het vg-crypt apparaat erboven.
cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 cryptroot
Formateer het gemaakte /dev/mapper/cryptroot zodat het zal verschijnen in de installer:
/sbin/mkfs.ext4 /dev/mapper/cryptroot
Open de installer
Nu ben je klaar om de installer op te starten waar je het als volgt zal gebruiken:
sda1 voor /boot,
cryptroot voor / en /home
swap zou automatisch moeten worden herkend.
Het geïnstalleerde systeem zou moeten eindigen met volgend kernel-commandolijn met volgende opties (Het is echter zo dat uw UUID gebruikt zal worden):
root=/dev/mapper/cryptroot cryptopts=source=UUID=12345678-1234-1234-1234-1234567890AB,target=cryptroot
Nu heb je een /boot in een vlakke partitie, een door encrypted paswoord beschermde swap samen met een encrypte root en /home.
Bronnen en middelen:
Nodig om te lezen:
man cryptsetup
LUKS.
Bescherm uw spullen met encrypte linux Partities.
KVM, hoe encrypte afbeeldingen gebruiken.