Installeren naar een cryptroot

Neem akte van: Dit zijn enkele aandachtspunten in verband met het gebruik van deze gids voor het encrypten van de root of data partities. Deze zijn:

Encryptie voorbeelden:

Encryptie binnen LVM groepen

Dit voorbeeld gebruikt crypt binnenin het LVM volume om u toe te laten om uw home-partitie (/home) / en swap-partitie (/swap) te scheiden. Tevens ook het niet nodig van meerdere paswoorden en is van toepassing voor aptosid-2010-03-apate en verder.

Voor het opstarten van de installer moet je uw bestandssysteem voorbereiden, deze zullen vervolgens gebruikt worden voor de installatie. Voor een basis LVM-partitie-gids verwijzen we u graag door naar Logical Volume Manager - LVM partitioneren.

Je zal op zijn minst een niet gecrypte /boot bestandssysteem, een encrypte / bestandssyteem en ook een encrypte /home en swap -bestandssystemen moeten creëren.

  1. Als u niet van plan bent om een bestaande lvm-volumegroep te gebruiken, maak dan een normale lvm-volumegroep. Dit voorbeeld neem aan dat de volume groep als volgt genaamd is: vg. Dit om u boot (opstart) stil te zetten en vanwege ecrypte data
  2. U zal een logische volume (logical volume) nodig hebben voor /boot en encrypte data om lvcreate te gebruiken.Om u logische volume, vg , te maken en met een bepaalde grootte, die je uiteraard zelf wil:
    lvcreate -n boot --size 250m vg
    lvcreate -n crypt --size 300g vg
    
    Hier heb je respectievelijk voor de namen 'boot' en 'crypt' gekozen als logische volumes, met een grootte van 250Mb en 300Gb.
  3. Maak het bestandssysteem voor /boot zodat het beschikbaar is in de installer:
    mkfs.ext4 /dev/mapper/vg-boot
    
  4. Gebruik cryptsetup voor het encrypten van vg-crypt gebruikmakend van de snellere xts-optie met de hoogste sleutelsterkte van 512bit en open het vervolgens. Deze zal tweemaal uw paswoord vragen om deze in te stellen en dan een derde keer om het te openen. Open het hier onder de standaard opstarttijd (default boot time) cryptopts doelwitnaam van cryptroot:
    cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/mapper/vg-crypt
    
    cryptsetup luksOpen /dev/mapper/vg-crypt cryptroot
    
  5. Gebruik nu de lvm binnen het encrypte apparaat om een twee volumegroep te maken dat gebruikt zal worden voor de /swap en /home apparaten. Gebruik pvcreate van cryptroot om een fysiek volume te maken en het te gebruiken met vgcreate , dit om een andere vorlumegroep te maken, we noemen deze cryptvg:
    pvcreate /dev/mapper/cryptroot
    vgcreate cryptvg /dev/mapper/cryptroot
    
  6. Gebruik vervolgens lvcreate met de nieuwe encrypte cryptvg volume groep om een / , /swap en /home te maken, logische volumes met de grootte die jij wil:
    lvcreate -n swap --size 2g cryptvg
    lvcreate -n root --size 40g cryptvg
    lvcreate -n home --size 80g cryptvg
    
    Hier heb je de logische volumes respectievelijk als volgt benoemd : swap, root en home, met een grootte van 2Gb, 40Gb en 80Gb.
  7. Maak de bestandssytemen voor cryptvg-swap, cryptvg-root en cryptvg-home zodat ze beschikbaar zijn in de installer:
    mkswap /dev/mapper/cryptvg-swap
    mkfs.ext4 /dev/mapper/cryptvg-root
    mkfs.ext4 /dev/mapper/cryptvg-home
    
  8. Nu bent u klaar om de installer op te starten, waar je het volgende moet gebruiken:
    vg-boot voor /boot,
    cryptvg-root voor /,
    cryptvg-home voor /home,
    and cryptvg-swap voor swap zou automatisch moeten worden herkend.

Het geïnstalleerd systeem zou moeten eindigen met een kernelcommando-lijn die volgende opties bevat:

root=/dev/mapper/cryptvg-root cryptopts=source=/dev/mapper/vg-crypt,target=cryptroot,lvm=cryptvg-root

Je hebt nu de crypt en je boot onder de vg lvm volume groep en de root, home en swap zijn binnen vgcrypt lvm volume groep die zich binnen uw paswoord beschermde encrypte apparaat bevindt.

cryptsetup luksOpen /dev/mapper/cryptvg-root cryptvg
vgchange -a y

Opmerkingen voor crypt met traditionele partitie-methodes

Het eerste wat je moet beslissen is uw layout van uw schijf. U zal een minimum moeten hebben van 2 partities, een normale partitie voor uw /boot en een voor uw encrypte data.

Laat ons aannemen dat u uw swap nodig hebt (wat ook encrypted zou moeten zijn) , je zal dus een derde partitie nodig hebben en je zal u paswoord apart moeten invoeren tijdens het opstarten (zo zal je dus twee paswoord-prompts hebben).

Het is mogelijk om toetsen te gebruiken voor de swap binnenin het encrypted systeem met traditionele partitioneringen, evenwel zal je je schijf niet kunnen opschorten. Als gevolg van deze kwesties is het beter, zeker op lange termijn, om LVM volumes te gebruiken met volle encrypte partities en sleutels.

Essentiële veronderstellingen:

Nu je het partitioneren gedaan heb, moet je de encrypte partities voorbereiden zodat deze herkend zullen worden door de installer.

Als je een GUI partitie-applicatie (grafisch) gebruikt hebt, dan sluit je deze nu best en open je de terminal, net als de encryptie-commando's moet de encryptie ook via commandolijnen gedaan worden.

De /boot partitie

Maak de /boot partitie een ext4 partitie, als je dit nog niet gedaan hebt:

/sbin/mkfs.ext4 /dev/sda1
Encrypte swap-partitie

Voor de encrypte swap moet je eerst het raw-apparaat formatteren en openen, /dev/sda2, als een encrypted-apparaat, zoals het vg-crypt apparaat erboven, maar openen onder een andere naam, swap.

  1. cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda2
    
  2. cryptsetup luksOpen /dev/sda2 swap
    
  3. echo "swap UUID=$(blkid -o value -s UUID /dev/sda2) none luks" >> /etc/crypttab
    

Formatteer het gemaakte /dev/mapper/swap zodanig dat het zal worden herkend door de installer:

/sbin/mkswap /dev/mapper/swap
Encrypte / partitie

Voor de encrypte / zal je eerst het raw-apparaat moeten formatteren en dan openen, /dev/sda3, als een encrypted apparaat, zoals het vg-crypt apparaat erboven.

cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 cryptroot

Formateer het gemaakte /dev/mapper/cryptroot zodat het zal verschijnen in de installer:

/sbin/mkfs.ext4 /dev/mapper/cryptroot

Open de installer

Nu ben je klaar om de installer op te starten waar je het als volgt zal gebruiken:
sda1 voor /boot,
cryptroot voor / en /home
swap zou automatisch moeten worden herkend.

Het geïnstalleerde systeem zou moeten eindigen met volgend kernel-commandolijn met volgende opties (Het is echter zo dat uw UUID gebruikt zal worden):

root=/dev/mapper/cryptroot cryptopts=source=UUID=12345678-1234-1234-1234-1234567890AB,target=cryptroot

Nu heb je een /boot in een vlakke partitie, een door encrypted paswoord beschermde swap samen met een encrypte root en /home.

Bronnen en middelen:

Nodig om te lezen:

man cryptsetup

LUKS.

Redhat and Fedora .

Bescherm uw spullen met encrypte linux Partities.

KVM, hoe encrypte afbeeldingen gebruiken.

aptosid wiki.

Inhoud het laatst bijgewerkt op 06/09/2011 0920 UTC