Установка на cryptroot
Будь ласка зверніть увагу: деякі застереження даного керівництва є особливими для шифрування розділу root або розділу даних:
- Це застосовується релізу aptosid-2010-03-apate.
- Це базове керівництво є для Вашої роботи з ним. До Вашої відповідальністі додано щоб дізнатися більше про LUKS, cryptsetup та шифрування. Джерела і ресурси пов'язані в нижній частині цієї сторінки, яка не є вичерпним.
- cryptsetup не може зашифрувати існуючі розділи даних, тому Ви повинні створити новий розділ, встановіть його з cryptsetup, а потім перейти в нього свої дані.
- Ви можете також використовувати ключові файли і кілька ключів для даних (до 8, у тому числі видалення ключів), який виходить за рамки даного посібника.
- Не забудте записати перед зашифруванням розділів даних всі свої паролі іначе потім Ви не зможете востановити пароль!
- На початку процесу завантаження вам буде запропоновано для вашого пароля для склепу пристрій і система буде завантажуватися, як очікувалося.
Приклади шифрування
Шифрування всередині груп LVM
Цей приклад Використовує склеп всередині динамічний тому, щоб дозволити Вам дозволить вам розділити ваш розділ даних на / і розділ розмітки без необхідності кілька паролів і застосовується з aptosid-2010-03-apate і Вище.
Перед запуском установки необхідно підготувати файлові системи, яка буде Використовуватися для установки. Для основних принципів LVM розмітку, то вам необхідно звернутися до Управління логічними томами - LVM перегородки.
Вам знадобиться принаймні незашифровані /boot файлової системи і зашифрований / файлової системи, а також створити зашифровані /розділ даних та swap filesystems.
- Якщо Ви не плануєте використовувати існуючий тому LVM групу, то створити нормальні обсяги LVM групу. У даному прикладі будемо вважати, що група томів називається vg там де є вже пароль і всі зашифровані дані.
- Вам потрібно буде логічний том для / завантаження і зашифрованих даних, так що використовуйте lvcreate для створення логічних томів в vg Група томів з розмірами Ви хочете:
lvcreate -n boot --size 250m vg lvcreate -n crypt --size 300g vg
Тут Ви створили відповідно логічних завантажувальних томів і склепів, і зробив їх під розмір 250 Мб та 300 Гб . - Створіть файлову систему для /boot і він буде доступний в програмі установки:
mkfs.ext4 /dev/mapper/vg-boot
- Використовуйте cryptsetup для шифрування vg-cryptякий має швидкий XTS варіант з найбільшою силою та довжиною 512bit ключа, а потім відкрийте його. Це буде питати ваш пароль двічі, щоб встановити його, а потім третій раз, щоб відкрити його. Відкрийте його тут, під час завантаження за замовчуванням CRYPTOPTS цільової ім'я cryptroot:
cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/mapper/vg-crypt
cryptsetup luksOpen /dev/mapper/vg-crypt cryptroot
- Тепер за допомогою LVM всередині захищеного пристрою для створення другої групи тому, який буде Використовуватися для /swap i /home пристроїв. pvcreate cryptroot, щоб зробити його фізичного обсягу і використовувати його з vgcreate для створення ще однієї групи томів, ми називаємо це cryptvg:
pvcreate /dev/mapper/cryptroot vgcreate cryptvg /dev/mapper/cryptroot
- Наступна Використаннямlvcreate з новим зашифрованим cryptvg групою томів для створення / , /swap та /home логічних томів з розмірами Ви які хочете:
lvcreate -n swap --size 2g cryptvg lvcreate -n root --size 40g cryptvg lvcreate -n home --size 80g cryptvg
Тут ви назвали логічних томів розмітки, кореневі і вдома і зробив їх 2Gb, 40Gb і 80Gb відповідно. - Створіть файлову систему для cryptvg-swap cryptvg-root та crypt-home щоб вони були в програмі установки:
mkswap /dev/mapper/cryptvg-swap mkfs.ext4 /dev/mapper/cryptvg-root mkfs.ext4 /dev/mapper/cryptvg-home
- Тепер Ви готові запустити інсталятор, де Ви повинні використовувати:
vg-boot for /boot,
cryptvg-root for /,
cryptvg-home for /home,
and cryptvg-swap for swap should be automagically recognised.
Встановлена система повинн мати а в кінцевому підсумку з командного рядка ядра в тому числі такі варіанти:
root=/dev/mapper/cryptvg-root cryptopts=source=/dev/mapper/vg-crypt,target=cryptroot,lvm=cryptvg-root
Тепер у вас є склеп і завантажитися під групу томів LVM В.Г. і корінь, розділ даних і свопа в обсязі vgcrypt LVM групу, яка знаходиться всередині захищений паролем зашифрованого пристрою.
cryptsetup luksOpen /dev/mapper/cryptvg-root cryptvg vgchange -a y
Примітки для склеп з традиційними методами перегородки
Перше, що потрібно вирішити, як Ви хочете, щоб макет вашого диска. Вам знадобиться як мінімум 2 розділу, один звичайний розділ для вашого /boot і один для зашифрованих даних.
Припускаючи, що Ви вимагаєте заміни (які також повинні бути зашифровані), Вам знадобиться третій розділ і там потрібно буде вводити пароль для розмітки окремо під час завантаження (так у вас буде два пароля підказок).
Можна використовувати клавіші для розмітки зсередини зашифровані системи з традиційною розміткою, однак Ви не зможете призупинити це на диск.Через ці проблеми кращим варіантом у довгостроковій перспективі є використання LVM томів з повністю шифрованими розділами і ключамі.
Основні припущення:
- Є тільки три рівнини розділів на цьому диску:
/boot, of 250mb
swap, of 2 gig
/ and /home комбіновані (наприклад, баланс). - 2 пароля потрібно, 1 для розмітки swap / and /homeкомбінований.
Тепер у вас є перегородки зроблено, вам буде потрібно підготувати зашифрованих розділів так, що вони будуть визнані підчас установки.
Якщо ви вже використовують програми з графічним інтерфейсом розмітки, закрийте його і відрийте термінал,том що шифрування команд повинні бути зроблені в терміналі.
Розділ завантаження
Зробіть/boot ехt4-pозділ якщо ви ще не зробили цього:
/sbin/mkfs.ext4 /dev/sda1
Зашифрований розділ розмітки
Для encrypted swap в першу чергу необхідно форматувати і відкрити сирого пристроїв, /dev/sda2, у вигляді зашифрованого пристрої, як VG-склеп пристрою вище, але відкрити його під іншим ім'ям, swap.
cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda2
cryptsetup luksOpen /dev/sda2 swap
echo "swap UUID=$(blkid -o value -s UUID /dev/sda2) none luks" >> /etc/crypttab
Форматуйте створенне /dev/mapper/swap так що це буде визнано підчас установки:
/sbin/mkswap /dev/mapper/swap
Зашифрованій / розділ
Для encrypted / в першу чергу необхідно форматувати і відкрити сирі пристрої, /dev/sda3, у вигляді зашифрованого пристрої, як VG-склеп пристрою вище.
cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 cryptroot
Форматуйте створенне /dev/mapper/cryptroot так що це буде визнано підчас установки:
/sbin/mkfs.ext4 /dev/mapper/cryptroot
Відкрийте програму установки
Тепер ви готові запустити інсталятор, де ви повинні використовувати:
sda1 for /boot,
cryptroot for / та /home
swap повинні бути автоматично визнані.
Встановлена система повинна мати в кінцевому підсумку з командного рядка ядра в тому числі такі варіанти (якщо ваш UUID буде використовуватися):
root=/dev/mapper/cryptroot cryptopts=source=UUID=12345678-1234-1234-1234-1234567890AB,target=cryptroot
Ви не повинні завантажуватися в простий розділ, тому що зашифрований пароль захищений обміном разом із зашифрованою кореневої системи та / розділ даних.
Джерела і ресурси:
Обов'язкове читання:
man cryptsetup
LUKS.
Захист ваших даних з зашифрованими розділами Linux.
KVM як використовувати зашифровані образи.