Зашифрованная выборочная установка

Мой компьютер работает под управлением Ubuntu. Я хочу установить Ubuntu на другой носитель. Я хочу включить шифрование, но поскольку выбор по умолчанию установщика Ubuntu (стирание / рядом с / и т. Д.) Касается только диска по умолчанию, я должен выбрать «что-то другое» и создать разделы на другом диске вручную, я создаю ~ 128-мегабайтная часть для загрузки, тогда я теряюсь, если я делаю зашифрованный раздел с оставшимся пространством, я не могу его разбить, поэтому у меня нет свопа; если вместо этого я создаю два зашифрованных раздела, это кажется неправильным, потому что он хочет установить два разных пароля ...

Как я могу настроить своп тогда? (Во время или после установки).

Как сделать это с помощью LVM и одного зашифрованного раздела

Предупреждение

Прежде всего, 128M слишком мал для загрузки! Я использую 1G. В противном случае обязательно произойдет то, что вы можете забыть удалить старые ядра, и / boot заполнится, и вам придется столкнуться с болью при попытке удалить старые ядра из системы, чтобы вы могли получить aptили apt-getработать опять таки. Даже с 1G, время от времени убирайте старые ядра.

Следующие шаги не предназначены для начинающих пользователей.
ОБНОВЛЕНИЕ: Я создал скрипт, который будет выполнять следующие операции для вас и многое другое! Все, что вам нужно сделать, это запустить его из Live OS перед установкой. Вы можете найти описание в моем блоге .

Предварительная установка из живой ОС

Вы хотите настроить LUKS и LVM при разделении вручную! Я проверял это на Ubuntu 16.04.2

Загрузите Ubuntu из Live OS и выберите опцию, чтобы попробовать Ubuntu без установки. Следуйте инструкциям, которые я изложил ниже. Давайте предположим, что вы устанавливаете в / dev / sdb.

1. Разбейте диск на ваш любимый инструмент: я использовал fdisk для установки моей таблицы разделов msdos следующим образом:
   • другие разделы: существующие ОС - нас это не волнует
   • sdb1: / boot (1G)
   • sdb2: раздел LUKS (остальная часть диска)
2. Настройка LUKS
   • sudo cryptsetup luksFormat --hash=sha512 --key-size=512 --cipher=aes-xts-plain64 --verify-passphrase /dev/sdb2
   • sudo cryptsetup luksOpen /dev/sdb2 CryptDisk
   • Хотя в этом нет необходимости, рекомендуется заполнить раздел LUKS нулями, чтобы раздел в зашифрованном состоянии был заполнен случайными данными. sudo dd if=/dev/zero of=/dev/mapper/CryptDisk bs=4M ВНИМАНИЕ, это может занять очень много времени!
3. Настройте LVM на / dev / mapper / CryptDisk
   • sudo pvcreate /dev/mapper/CryptDisk
   • sudo vgcreate vg0 /dev/mapper/CryptDisk
   • sudo lvcreate -n swap -L 2G vg0
   • sudo lvcreate -n root -L 10G vg0
   • sudo lvcreate -n home -l +100%FREE vg0

Установка из живой ОС

4. Теперь вы готовы к установке. Когда вы перейдете к части «Тип установки» установки, выберите опцию «Что-то еще». Затем вручную назначьте разделы / dev / mapper / vg0- * так, как вы хотите настроить. Не забудьте установить / dev / sdb1 как / boot. раздел / boot не должен быть зашифрован. Если это так, мы не сможем загрузиться. Измените «Устройство для установки загрузчика» на / dev / sdb и продолжите установку.
5. После завершения установки не перезагружайтесь ! Выберите опцию «Продолжить тестирование».

Конфигурация после установки из действующей ОС

Этот бит очень важен, если вы хотите, чтобы ваша система загружалась! Я потратил довольно много времени на изучение этого, чтобы выяснить эти шаги после установки. В моем случае я действительно делал это, потому что хотел настроить размер / boot для / dev / sda, но вся эта работа должна перенести и на вашу ситуацию.

6. В терминале введите следующее и найдите UUID / dev / sdb2. Запишите этот UUID на потом.
   • sudo blkid | grep LUKS
   • Важная строка на моей машине гласит /dev/sdb2: UUID="bd3b598d-88fc-476e-92bb-e4363c98f81d" TYPE="crypto_LUKS" PARTUUID="50d86889-02"

7. Затем давайте снова подключим только что установленную систему, чтобы мы могли внести еще некоторые изменения.

   • sudo mount /dev/vg0/root /mnt
   • sudo mount /dev/vg0/home /mnt/home # это, вероятно, не нужно
   • sudo mount /dev/sdb1 /mnt/boot
   • sudo mount --bind /dev /mnt/dev # Я не совсем уверен, что это необходимо
   • sudo mount --bind /run/lvm /mnt/run/lvm
   • (Только если вы используете EFI): sudo mount /dev/sd*/your/efi/partition /mnt/boot/efi

8. Теперь запустите, sudo chroot /mntчтобы получить доступ к установленной системе

9. Из chroot смонтировать еще пару вещей
   • mount -t proc proc /proc
   • mount -t sysfs sys /sys
   • mount -t devpts devpts /dev/pts
10. Настройка crypttab. Используя ваш любимый текстовый редактор, создайте файл / etc / crypttab и добавьте следующую строку, заменяя UUID UUID вашего диска.
    • CryptDisk UUID=bd3b598d-88fc-476e-92bb-e4363c98f81d none luks,discard
11. Наконец, перестройте некоторые загрузочные файлы.
    • update-initramfs -k all -c
    • update-grub
12. Перезагрузитесь, и система должна запросить пароль для расшифровки при загрузке!

Особая благодарность Мартину Еве , EGIDIO DOCILE , и ребятам из blog.botux.fr за опубликованные учебники. Вытащив кусочки из их постов и выполнив несколько дополнительных проблем, я наконец-то смог понять это.

Я пробовал это несколько раз и терпел неудачу снова и снова. Бит, который я должен был решить для себя на основе сообщений об ошибках, былsudo mount --bind /run/lvm /mnt/run/lvm

Как сделать это несколько зашифрованных разделов и без LVM

Поскольку мой предыдущий ответ был очень длинным, я публикую второй ответ, который использует другой подход, если вы не хотите использовать LVM.

Вы можете создать несколько зашифрованных разделов и использовать сценарий decrypt_derived, так что вам нужно будет ввести пароль только один раз. Проверьте это сообщение в блоге для пошаговых инструкций. Автор использует ключевой файл, но сценария decrypt_derived LUKS также будет достаточно.

Один из способов выполнить задачу - использовать сетевой установщик Ubuntu https://www.ubuntu.com/download/alternative-downloads.

Это не графический установщик. Но он предлагает вам явный выбор диска после выбора полной установки диска с шифрованием.

Это ответ для тех, кто постоянно сталкивается с этим вопросом, желая немного изменить стандартное разбиение Ubuntu. Например, удалите swapраздел и увеличьте /bootразмер. Я думаю, что многие люди не будут следовать инструкциям b_laoshi из-за количества необходимых шагов.

Поэтому для простого пользовательского разбиения с шифрованием я предлагаю использовать «Стереть диск и установить Ubuntu» с опцией «Зашифровать новую установку Ubuntu для безопасности». Что мы изменим, так это конфиг для этого разделения по умолчанию.

Эти конфиги содержатся в /lib/partman/recipes[-arch]/. Для себя я меняюсь /lib/partman/recipes-amd64-efi/30atomic. Чтобы получить 538M для efi, 1024M для /boot, а остальные для /с ext4, я отредактировал файл для

538 538 538 fat32
    $iflabel{ gpt }
    $reusemethod{ }
    method{ efi }
    format{ } .

1024 1024 1024 ext4
    $defaultignore{ }
    $lvmignore{ }
    method{ format }
    format{ }
    use_filesystem{ }
    filesystem{ ext4 }
    mountpoint{ /boot } .    

900 10000 -1 ext4
    $lvmok{ }
    method{ format }
    format{ }
    use_filesystem{ }
    filesystem{ ext4 }
    mountpoint{ / } .

Обратите внимание, что как только вы выберете диск для удаления в программе установки, он предложит вам краткую информацию о разделении, чтобы вы могли проверить, сработал ли трюк, и получите ли вы желаемое разделение. Смотрите также /ubuntu//a/678074/47073 .