Установка на cryptroot

Будь ласка зверніть увагу: деякі застереження даного керівництва є особливими для шифрування розділу root або розділу даних:

Приклади шифрування

Шифрування всередині груп LVM

Цей приклад Використовує склеп всередині динамічний тому, щоб дозволити Вам дозволить вам розділити ваш розділ даних на / і розділ розмітки без необхідності кілька паролів і застосовується з aptosid-2010-03-apate і Вище.

Перед запуском установки необхідно підготувати файлові системи, яка буде Використовуватися для установки. Для основних принципів LVM розмітку, то вам необхідно звернутися до Управління логічними томами - LVM перегородки.

Вам знадобиться принаймні незашифровані /boot файлової системи і зашифрований / файлової системи, а також створити зашифровані /розділ даних та swap filesystems.

  1. Якщо Ви не плануєте використовувати існуючий тому LVM групу, то створити нормальні обсяги LVM групу. У даному прикладі будемо вважати, що група томів називається vg там де є вже пароль і всі зашифровані дані.
  2. Вам потрібно буде логічний том для / завантаження і зашифрованих даних, так що використовуйте lvcreate для створення логічних томів в vg Група томів з розмірами Ви хочете:
    lvcreate -n boot --size 250m vg
    lvcreate -n crypt --size 300g vg
    
    Тут Ви створили відповідно логічних завантажувальних томів і склепів, і зробив їх під розмір 250 Мб та 300 Гб .
  3. Створіть файлову систему для /boot і він буде доступний в програмі установки:
    mkfs.ext4 /dev/mapper/vg-boot
    
  4. Використовуйте cryptsetup для шифрування vg-cryptякий має швидкий XTS варіант з найбільшою силою та довжиною 512bit ключа, а потім відкрийте його. Це буде питати ваш пароль двічі, щоб встановити його, а потім третій раз, щоб відкрити його. Відкрийте його тут, під час завантаження за замовчуванням CRYPTOPTS цільової ім'я cryptroot:
    cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/mapper/vg-crypt
    
    cryptsetup luksOpen /dev/mapper/vg-crypt cryptroot
    
  5. Тепер за допомогою LVM всередині захищеного пристрою для створення другої групи тому, який буде Використовуватися для /swap i /home пристроїв. pvcreate cryptroot, щоб зробити його фізичного обсягу і використовувати його з vgcreate для створення ще однієї групи томів, ми називаємо це cryptvg:
    pvcreate /dev/mapper/cryptroot
    vgcreate cryptvg /dev/mapper/cryptroot
    
  6. Наступна Використаннямlvcreate з новим зашифрованим cryptvg групою томів для створення / , /swap та /home логічних томів з розмірами Ви які хочете:
    lvcreate -n swap --size 2g cryptvg
    lvcreate -n root --size 40g cryptvg
    lvcreate -n home --size 80g cryptvg
    
    Тут ви назвали логічних томів розмітки, кореневі і вдома і зробив їх 2Gb, 40Gb і 80Gb відповідно.
  7. Створіть файлову систему для cryptvg-swap cryptvg-root та crypt-home щоб вони були в програмі установки:
    mkswap /dev/mapper/cryptvg-swap
    mkfs.ext4 /dev/mapper/cryptvg-root
    mkfs.ext4 /dev/mapper/cryptvg-home
    
  8. Тепер Ви готові запустити інсталятор, де Ви повинні використовувати:
    vg-boot for /boot,
    cryptvg-root for /,
    cryptvg-home for /home,
    and cryptvg-swap for swap should be automagically recognised.

Встановлена система повинн мати а в кінцевому підсумку з командного рядка ядра в тому числі такі варіанти:

root=/dev/mapper/cryptvg-root cryptopts=source=/dev/mapper/vg-crypt,target=cryptroot,lvm=cryptvg-root

Тепер у вас є склеп і завантажитися під групу томів LVM В.Г. і корінь, розділ даних і свопа в обсязі vgcrypt LVM групу, яка знаходиться всередині захищений паролем зашифрованого пристрою.

cryptsetup luksOpen /dev/mapper/cryptvg-root cryptvg
vgchange -a y

Примітки для склеп з традиційними методами перегородки

Перше, що потрібно вирішити, як Ви хочете, щоб макет вашого диска. Вам знадобиться як мінімум 2 розділу, один звичайний розділ для вашого /boot і один для зашифрованих даних.

Припускаючи, що Ви вимагаєте заміни (які також повинні бути зашифровані), Вам знадобиться третій розділ і там потрібно буде вводити пароль для розмітки окремо під час завантаження (так у вас буде два пароля підказок).

Можна використовувати клавіші для розмітки зсередини зашифровані системи з традиційною розміткою, однак Ви не зможете призупинити це на диск.Через ці проблеми кращим варіантом у довгостроковій перспективі є використання LVM томів з повністю шифрованими розділами і ключамі.

Основні припущення:

Тепер у вас є перегородки зроблено, вам буде потрібно підготувати зашифрованих розділів так, що вони будуть визнані підчас установки.

Якщо ви вже використовують програми з графічним інтерфейсом розмітки, закрийте його і відрийте термінал,том що шифрування команд повинні бути зроблені в терміналі.

Розділ завантаження

Зробіть/boot ехt4-pозділ якщо ви ще не зробили цього:

/sbin/mkfs.ext4 /dev/sda1
Зашифрований розділ розмітки

Для encrypted swap в першу чергу необхідно форматувати і відкрити сирого пристроїв, /dev/sda2, у вигляді зашифрованого пристрої, як VG-склеп пристрою вище, але відкрити його під іншим ім'ям, swap.

  1. cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda2
    
  2. cryptsetup luksOpen /dev/sda2 swap
    
  3. echo "swap UUID=$(blkid -o value -s UUID /dev/sda2) none luks" >> /etc/crypttab
    

Форматуйте створенне /dev/mapper/swap так що це буде визнано підчас установки:

/sbin/mkswap /dev/mapper/swap
Зашифрованій / розділ

Для encrypted / в першу чергу необхідно форматувати і відкрити сирі пристрої, /dev/sda3, у вигляді зашифрованого пристрої, як VG-склеп пристрою вище.

cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 cryptroot

Форматуйте створенне /dev/mapper/cryptroot так що це буде визнано підчас установки:

/sbin/mkfs.ext4 /dev/mapper/cryptroot

Відкрийте програму установки

Тепер ви готові запустити інсталятор, де ви повинні використовувати:
sda1 for /boot,
cryptroot for / та /home
swap повинні бути автоматично визнані.

Встановлена система повинна мати в кінцевому підсумку з командного рядка ядра в тому числі такі варіанти (якщо ваш UUID буде використовуватися):

root=/dev/mapper/cryptroot cryptopts=source=UUID=12345678-1234-1234-1234-1234567890AB,target=cryptroot

Ви не повинні завантажуватися в простий розділ, тому що зашифрований пароль захищений обміном разом із зашифрованою кореневої системи та / розділ даних.

Джерела і ресурси:

Обов'язкове читання:

man cryptsetup

LUKS.

Redhat and Fedora .

Захист ваших даних з зашифрованими розділами Linux.

KVM як використовувати зашифровані образи.

aptosid вікі.

Остання редакція сторінкі 06/09/2011 0920 UTC