Thursday Feb 03, 2022

Miten salata juuritiedostojärjestelmä Linuxissa

Järjestelmän ylläpitäjänä tiedät luultavasti jo, kuinka tärkeää on salata levyt.

Jos kannettavasi varastettaisiin, jopa aloitteleva hakkeri pystyisi poimimaan levyillä olevat tiedot.

Hän tarvitsee vain yksinkertaisen USB-tikun, jossa on LiveCD, ja kaikki olisi varastettu.

Sinun onneksi on olemassa keinoja, joilla voit estää tämän tapahtumasta : salaamalla levyillesi tallennetut tiedot.

Tässä opetusohjelmassa katsomme vaiheet, joita tarvitaan täydellisen järjestelmän salauksen suorittamiseen. Saatat löytää verkosta muita opetusohjelmia, jotka keskittyvät esimerkiksi vain tiedostojen tai kotiosioiden salaamiseen.

Tässä tapauksessa salaamme koko järjestelmän eli koko juuriosion ja käynnistyskansio. Aiomme salata osan käynnistyskanavasta.

Valmiina?

Sisällysluettelo

Edellytykset

Voidaksesi suorittaa kaikki tässä oppaassa yksityiskohtaisesti esitetyt toiminnot sinulla on luonnollisesti oltava järjestelmänvalvojan oikeudet.

Varmistaaksesi, että näin on, varmista, että kuulut ”sudo”-ryhmään (Debian-pohjaisissa jakeluissa) tai ”wheel”-ryhmään (RedHat-pohjaisissa jakeluissa).

Jos näet seuraavan ulostulon, sinun pitäisi olla valmis.

Ennen kuin jatkat, sinun on tärkeää tietää, että levyjen salaaminen ei ole riskitöntä.

Prosessiin kuuluu koko levyn alustaminen, mikä tarkoittaa, että menetät tietoja, jos et varmuuskopioi niitä. Tämän vuoksi saattaa olla hyvä idea varmuuskopioida tiedostosi, valitsitpa sitten ulkoisen aseman tai verkkopilven.

Jos et ole varma koko järjestelmän varmuuskopioimiseen tarvittavista vaiheista, suosittelen, että luet seuraavan ohjeen, joka selittää sen selkeästi.

Nyt kun kaikki on valmista, voimme aloittaa koko järjestelmämme salaamisen.

Tässä hetkessä vallitsevan tilanteen tunnistaminen

Tämä opetusohjelma on jaettu kolmeen osaan : yksi kuhunkin skenaarioon, jonka saatat kohdata.

Nykytilanteen tunnistamisen jälkeen voit siirtyä suoraan siihen lukuun, josta olet kiinnostunut.

Jos haluat salata järjestelmän, joka sisältää jo salaamattomia tietoja, sinulla on kaksi vaihtoehtoa :

  • Voit lisätä tietokoneeseen tai palvelimeen ylimääräisen levykkeen ja määrittää sen käynnistettäväksi levykkeeksi : voit siirtyä ensimmäiseen osaan.
  • Ei tietokoneeseen voi lisätä ylimääräistä levykettä (esimerkiksi kannettava tietokone, jolla on takuuajanjakso) : löydät tarvitsemasi tiedot osasta kaksi.

Jos asennat aivan uuden järjestelmän, eli asennat jakelun tyhjästä, voit salata koko levyn suoraan graafisesta asennusohjelmasta. Tämän seurauksena voit siirtyä osaan kolme.

Kovalevyn asettelun suunnittelu

Kun olet luomassa uusia osioita, salattuja tai salaamattomia, on varsin tärkeää valita kiintolevyn rakenne etukäteen.

Tässä tapauksessa suunnittelemme levyn MBR-asettelua käyttäen : käynnistettävän levyn ensimmäiset 512 tavua varataan GRUBin ensimmäiselle vaiheelle (sekä osioidemme metatiedoille).

Ensimmäinen osio on tyhjä osio, joka on varattu järjestelmille, jotka käyttävät EFI:tä (tai UEFI:tä) käynnistävänä laiteohjelmistona. Jos päätät asentaa Windows 10:n tulevaisuudessa, sinulla on osio jo valmiina sitä varten.

Kiekkomme toinen osio alustetaan LUKS-LVM-osioksi, joka sisältää yhden fyysisen volyymin (itse levyosio) sekä yhden volyymiryhmän, joka sisältää kaksi loogista volyymia : yhden juuritiedostojärjestelmälle ja toisen pienelle swap-osastolle.

Kuten näet, myös GRUBin toinen vaihe on salattu : tämä johtuu siitä, että päätimme tallentaa käynnistyskansio samalle osiolle.

Et tietenkään ole rajoitettu tässä esitettyyn suunnitteluun, voit lisätä ylimääräisiä loogisia volyymeita esimerkiksi lokitiedostoja varten.

Tämä suunnitelma on tiekarttamme tässä opetusohjelmassa : aloitamme aivan uudesta levystä ja toteutamme kaikki osat yhdessä.

Data-at-rest-salaus

Tässä opetusohjelmassa keskitytään datan at-rest-salaukseen. Nimensä mukaisesti data-at-rest-salaus tarkoittaa, että järjestelmäsi on salattu, eli kukaan ei voi lukea siitä, kun se on levossa tai sammutettuna.

Tämä salaus on varsin hyödyllinen, jos tietokoneesi varastetaan, hakkerit eivät pysty lukemaan levyllä olevia tietoja, elleivät he tiedä salasanaa, jonka valitset seuraavissa kappaleissa.

Mutta silti olisi olemassa vaara, että tietosi poistetaan lopullisesti : se, että levylle ei ole lukuoikeutta, ei tarkoita, etteivät he voisi yksinkertaisesti poistaa levyltä osioita.

Sen vuoksi varmista, että pidät tärkeistä tiedostoistasi varmuuskopion jossakin turvallisessa paikassa.

Juuritiedostojärjestelmän salaaminen uudella levyllä

Kuten johdannon aikana kerrottiin tarkemmin, aiomme salata juuritiedostojärjestelmän uudelta levyltä, joka ei sisällä lainkaan tietoja. Tämä on varsin tärkeää, koska salattu levy alustetaan prosessin aikana.

Siirry järjestelmään, jonka haluat salata, ja liitä uusi levy. Tunnista ensin nykyinen levysi, jonka nimi on luultavasti ”/dev/sda”, ja juuri liittämäsi levy (jonka nimi on luultavasti ”/dev/sdb”).

Jos sinulla on epäilyksiä nimien ja levyn sarjanumeroiden vastaavuudesta, voit liittää myyjät ja sarjanumerot toisiinsa lsblk:n ”-o”-vaihtoehdolla.

$ lsblk -do +VENDOR,SERIAL

Tässä tapauksessa dataa sisältävä levy on nimeltään ”/dev/sda” ja uusi levy on nimeltään ”/dev/sdb”.

Ensin on luotava johdannossa määrittelemämme asettelu eli yksi osio, josta tulee EFI-osio, ja yksi LUKS-LVM-osio.

Levyn perusasettelun luominen

Ensimmäinen askel matkallamme kohti täydellistä levyn salausta alkaa kahdella yksinkertaisella osiolla : yksi EFI-osio (vaikka käytämme MBR:ää, jos haluat vaihtaa sitä tulevaisuudessa) ja yksi LVM-osio.

Luoaksesi uusia osioita levyllesi, käytä komentoa ”fdisk” ja määritä alustettava levy.

$ sudo fdisk /dev/sdb

Kuten johdannossa selitettiin, ensimmäinen osio on 512 Mb:n kokoinen ja toinen vie levyn jäljellä olevan tilan.

”fdisk”-apuohjelmassa voit luoda uuden osion ”n”-vaihtoehdolla ja määrittää 512 megatavun kokoiseksi ”+512M”-vaihtoehdolla.

Varmista, että muutat osiotyypin W95 FAT32:ksi käyttämällä ”t”-vaihtoehtoa ja määrittämällä tyypiksi ”b”.

Hienoa, nyt kun sinulla on ensimmäinen osio, luomme sen, josta olemme kiinnostuneita.

Toisen osion luominen on vielä yksinkertaisempaa.

Käytä fdisk-apuohjelmassa ”n” luodaksesi uuden osion ja pitäytyäksesi oletusasetuksissa, eli voit painaa ”Enter”-näppäintä kaikissa vaiheissa.

Kun olet valmis, voit yksinkertaisesti painaa ”w”-näppäintä kirjoittaaksesi muutokset levylle.

Nyt suorittamalla ”fdisk”-komennon uudelleen saat hyvän käsityksen levylle tekemistäsi muutoksista.

$ sudo fdisk -l /dev/sdb

Hienoa!

Kakkonen osiosi on valmis alustettavaksi, joten siirrytään siihen.

LUKS & LVM-osioiden luominen levylle

Levyjen salaamiseen käytämme LUKS:ää, joka on lyhenne Linux Unified Key Setup -projektista.

LUKS on spesifikaatio useille backendeille, jotka on toteutettu joissakin Linux-ytimen versioissa.

Tässä tapauksessa käytämme Linuxin tallennuspinon ”dm-crypt”-alimoduulia.

Kuten nimikin kertoo, ”dm-crypt” on osa device mapper -moduulia, jonka tarkoituksena on luoda abstraktiokerros fyysisten levyjen ja valitsemasi tallennuspinon suunnittelun välille.

Diagrammi osoitteesta thomas-krenn.com

Tämä tieto on varsin tärkeä, koska se tarkoittaa, että voit salata lähes jokaisen laitteen käyttämällä ”dm-crypt”-taustapohjaa.

Tässä tapauksessa aiomme salata levyn, joka sisältää joukon LVM-osioita, mutta voit halutessasi salata myös USB-muistitikun tai levykkeen.

Vuorovaikutuksessa ”dm-crypt”-moduulin kanssa käytämme komentoa ”cryptsetup”.

Voit tietysti joutua asentamaan sen palvelimellesi, jos sinulla ei sitä vielä ole.

$ sudo apt-get instal cryptsetup$ which cryptsetup

Nyt kun cryptsetup on käytettävissäsi tietokoneellasi, voit luoda ensimmäisen LUKS-muotoisen osion.

LUKS-osion luomiseksi käytät komentoa ”cryptsetup”, jota seuraa komento ”luksFormat”, joka alustaa määritetyn osion (tai levyn).

 $ sudo cryptsetup luksFormat --type luks1 /dev/sdb2

Huomautus : miksi siis määrittelemme LUKS1-formatointityypin? Tammikuusta 2021 lähtien GRUB (käynnistyslataajamme) ei tue LUKS2-salausta. Muista jättää kommentti, jos huomaat, että LUKS2 on nyt julkaistu GRUB-käynnistyslataajalle.

Kuten näet, sinulle ilmoitetaan, että tämä toimenpide poistaa kaikki levylle tallennetut tiedot. Tarkista alustettava levy vielä kerran ja kirjoita ”YES”, kun olet valmis.

Heti tämän jälkeen sinua pyydetään antamaan salasana. LUKS käyttää kahta todennusmenetelmää : salasanaan perustuva, joka on lähinnä salasana, jonka syötät purettaessa.

LUKS voi käyttää myös avaimia. Avaimia käyttämällä voit esimerkiksi tallentaa sen johonkin levyn osaan ja järjestelmäsi pystyy huolehtimaan siitä automaattisesti.

Valitse vahva salasana, syötä se uudelleen ja odota, että levyn salaus on valmis.

Kun olet valmis, voit tarkistaa komennolla ”lsblk”, että osiosi on nyt salattu LUKS:lla.

Hienoa! Sinulla on nyt salattu osio.

$ lsblk -f

Tarkistaaksesi, että osiosi on alustettu oikein, voit käyttää komentoa ”cryptsetup”, jota seuraa ”luksDump”-vaihtoehto ja määrittää salatun laitteen nimen.

$ sudo cryptsetup luksDump /dev/sdb2

Versiosi pitäisi olla asetettu ”1” ”LUKS1”-muodolle, ja alla pitäisi näkyä salattu tunnuslause jossakin avainpaikoista.

Salatun LVM:n luominen levylle

Nyt kun LUKS-salattu osiosi on valmis, voit ”avata” sen. Salatun osion ”avaaminen” tarkoittaa yksinkertaisesti sitä, että aiot päästä käsiksi levyllä oleviin tietoihin.

Voidaksesi avata salatun laitteesi käytä komentoa ”cryptsetup”, jota seuraa komento ”luksOpen”, salatun laitteen nimi ja nimi.

$ sudo cryptsetup luksOpen <encrypted_device> <name>

Tässä tapauksessa päätimme nimetä laitteen nimeksi ”cryptlvm”.

Käyttämällä uudelleen komentoa ”lsblk” näet, että uusi laite lisättiin olemassa olevaan laiteluetteloon. Toinen osio sisältää nyt laitteen nimeltä ”cryptlvm”, joka on purettu osiosi.

Nyt kun kaikki on valmista, voimme aloittaa kahden LVM:n luomisen : toinen root-osioillemme ja toinen swap-osioillemme.

Aluksi luomme uudelle levylle fyysisen volyymin komennolla ”pvcreate”.

# Optional, if you don't have LVM commands : sudo apt-get install lvm2$ sudo pvcreate /dev/mapper/cryptlvm

Nyt kun fyysinen volyymisi on valmis, voit luoda sen avulla volyymiryhmän nimeltä ”cryptvg”.

$ sudo vgcreate cryptvg /dev/mapper/cryptlvm

Nyt kun volyymiryhmäsi on valmis, voit luoda kaksi loogista volyymia.

Tässä tapauksessa ensimmäinen osio on 13Gb:n kokoinen ja swap-osio vie loput tilan. Varmista, että muokkaat nämä numerot omaan tapaukseesi sopiviksi.

Luotsaaksemme juuritiedostojärjestelmämme, luomme loogiseen tilavuuteen EXT4-tiedostojärjestelmän.

$ sudo lvcreate -n lvroot -L 13G cryptvg$ sudo mkfs.ext4 /dev/mapper/cryptvg-lvroot

Swap-osion luominen onnistuu samoja vaiheita käyttäen ”lvcreate” ja ”mkswap”.

$ sudo lvcreate -n lvswap -l 100%FREE cryptvg$ sudo mkswap /dev/mapper/cryptvg-lvswap

Hienoa! Nyt kun osiot on luotu, sinun on aika siirtää olemassa oleva juuritiedostojärjestelmäsi juuri luotuun.

Transfer Entire Filesystem to Encrypted Disk

Ennen kuin siirrät koko tiedostojärjestelmäsi, voi olla hyvä idea tarkistaa, että sinulla on tarpeeksi tilaa kohdeasemalla.

$ df -h 

Voidaksesi siirtää koko tiedostojärjestelmäsi juuri luotuun osioon, käytät ”rsync”-käskyä.

Liitä juuri luotu looginen tilavuus ja aloita tiedostojesi ja kansioiden kopiointi rekursiivisesti kohdeasemalle.

$ sudo mount /dev/mapper/cryptvg-lvroot /mnt$ sudo rsync -aAXv / --exclude="mnt" /mnt --progress

Tämä prosessi voi viedä melkoisen pitkän ajan riippuen siirrettävän tiedon määrästä.

Vähän ajan kuluttua koko tiedostojärjestelmäsi pitäisi olla kopioitu salattuun asemaan. Nyt kun ”/boot” on salattu, sinun on asennettava GRUBin vaihe 1 uudelleen vastaavasti.

Asenna ja konfiguroi GRUB-käynnistyslatausohjelma

Miksi sinun pitäisi siis asentaa ja konfiguroida GRUB uudelleen vastaavasti?

Vastaaksesi tähän kysymykseen sinun on saatava perustietoa siitä, miten järjestelmäsi käynnistyy, kun käytät BIOS/MBR-käynnistysprosessia tavanomaisesti.

Kuten johdannossa selitettiin, GRUB on jaettu kahteen (joskus kolmeen) osaan : GRUB stage 1 ja GRUB stage 2. Vaihe 1 etsii vain vaiheen 2 sijainnin, joka sijaitsee usein tiedostojärjestelmän kansiossa ”/boot”.

Vaihe 2 vastaa monista tehtävistä : tarvittavien moduulien lataamisesta, ytimen lataamisesta muistiin ja initramfs-prosessin käynnistämisestä.

Kuten ymmärsit, vaihe 2 on tässä salattu, joten meidän on kerrottava vaiheelle 1 (joka sijaitsee levyn ensimmäisissä 512 tavussa), että se on purettava ensin.

Asenna uudelleen GRUB Stage 1 & 2

Voidaksesi asentaa uudelleen GRUBin ensimmäisen vaiheen, sinun on ensin otettava käyttöön ”cryptomount”, joka mahdollistaa pääsyn salattuihin laitteisiin GRUB-ympäristössä.

Tämä onnistuu muokkaamalla tiedostoa ”/etc/default/grub” ja lisäämällä siihen ”GRUB_ENABLE_CRYPTODISK=y”-vaihtoehdon.

Mutta tällä hetkellä istut järjestelmässä, jota yrität salata.

$ vi /etc/default/grub
GRUB_ENABLE_CRYPTODISK=y

Kuten GRUB-dokumentaatiossa todetaan, tämä vaihtoehto määrittää GRUBin etsimään salattuja laitteita ja lisäämään lisäkomentoja niiden salauksen purkamiseksi.

Nyt kun vaihe 1 on konfiguroitu, voit asentaa sen MBR:ään komennolla grub-install.

$ grub-install --boot-directory=/boot /dev/sdb

Huomautus : ole varovainen, sinun täytyy määrittää ”/dev/sdb” eikä ”/dev/sdb1”.

Kuten varmaan huomasitkin, kun et anna mitään vaihtoehtoja GRUB-asennukselle, sinulla on oletuksena ”i386-pc”-asennus (joka on suunniteltu BIOS-pohjaista firmwarea varten).

Asenna uudelleen GRUB-vaihe 2

Käyttämällä edellä kuvattuja vaiheita, vaihe 1 on päivitetty, mutta meidän on myös kerrottava vaihe 2:lle, että se on tekemisissä salatun levyn kanssa.

Seurataksesi tämän, mene ”/etc/default/grub” -tietokantaan ja lisää toinen rivi GRUB-vaihe 2:lle.

GRUB_CMDLINE_LINUX="cryptdevice=UUID=<encrypted_device_uuid> root=UUID=<root_fs_uuid>"

Tämä on tärkeä rivi, koska se kertoo GRUBin kakkosvaiheelle, missä salattu asema on ja missä root-osio sijaitsee.

Tarvittavien UUID-tunnusten tunnistamiseen voit käyttää komentoa ”lsblk” optiolla ”-f”.

$ lsblk -f 

Käyttämällä näitä UUID-tunnuksia lisäämme GRUB-konfiguraatiotiedostoon seuraavan rivin.

Päivittääksesi nykyisen GRUB-asennuksesi voit käyttää komentoa ”update-grub2” chrooted-ympäristössäsi.

$ sudo update-grub2

Nyt kun olet päivittänyt GRUB-asennuksesi, GRUB-valikkoasi (eli vaihetta 2) pitäisi muuttaa ja sinun pitäisi nähdä seuraava sisältö tarkastellessasi ”/boot/grub/grub.cfg”-tiedostoa.

Kuten näet, GRUB-kokoonpanotiedostoa on muutettu ja järjestelmäsi käyttää nyt ”cryptomount”-toimintoa salatun aseman paikantamiseen.

Jotta järjestelmäsi käynnistyy oikein, sinun on tarkistettava, että :

  • Ladat oikeat moduulit, kuten cryptodisk, luks, lvm ja muut;
  • ”cryptomount”-käsky on asetettu oikein;
  • Ydin ladataan käyttämällä ”cryptdevice”-käskyä, jonka asetimme äsken edellisessä kappaleessa.
  • Määritetyt UUID:t ovat oikein : ”cryptdevice”-osio osoittaa LUKS2-salattuun osioon ja ”root”-osio ext4-juuritiedostojärjestelmään.

Muokkaa crypttab- ja fstab-tiedostot

Yksi ensimmäisistä vaiheista initramfs:ssä on volyymien kytkeminen tiedostojärjestelmään tiedostojen ”/etc/crypttab”- ja ”/etc/fstab-tiedostojen” avulla.

Tämän seurauksena ja koska luot uusia volumeja, sinun on ehkä muutettava näitä tiedostoja, jotta voit laittaa niihin oikean UUID:n.

Siirry ensin tiedostoon ”/etc/crypttab” (voit luoda sen, jos sitä ei ole vielä olemassa) ja lisää seuraava sisältö

$ nano /etc/crypttab# <target name> <source device> <key file> <options> cryptlvm UUID=<luks_uuid> none luks

Jos et ole varma salatun laitteesi UUID:stä, voit käyttää ”blkid”-ohjelmaa saadaksesi tiedon.

$ blkid | grep -i LUKS 

Nyt kun crypttab-tiedosto on muokattu, sinun tarvitsee vain muuttaa fstab-tiedostoa vastaavasti.

$ nano /etc/fstab# <file system> <mount point> <type> <options> <dump> <pass>UUID=<ext4 uuid> / ext4 errors=remount-ro 0 1

Jos et ole varma ext4-tiedostojärjestelmäsi UUID:stä, voit käyttää taas ”blkid”-käskyä.

$ blkid | grep -i ext4

Lopulta valmis!

Nyt kun GRUB- ja konfigurointitiedostot on konfiguroitu oikein, meidän on enää konfiguroitava initramfs-kuva.

Konfiguroi uudelleen initramfs-kuva

Kaikkien käynnistysskriptien joukosta initramfs etsii edellisessä luvussa määrittelemääsi juuritiedostojärjestelmää.

Voidakseen purkaa juuritiedostojärjestelmän, sen on kuitenkin kutsuttava oikeat initramfs-moduulit, nimittäin ”cryptsetup-initramfs”. Chrooted-ympäristössäsi voit suorittaa seuraavan komennon :

$ apt-get install cryptsetup-initramfs 

Voidaksesi sisällyttää cryptsetup-moduulit initramfs-kuvaasi, varmista, että suoritat komennon ”update-initramfs”.

$ update-initramfs -u -k all

Se on siinä!

Olet onnistuneesti koonnut kaikki tarvittavat palaset luodaksesi täysin salatun levyn järjestelmääsi. Voit nyt käynnistää tietokoneesi uudelleen ja katsoa uutta käynnistysprosessiasi.

Boot on Encrypted Device

Käynnistyessäsi ensimmäinen näyttö, jonka näet, on GRUBin ensimmäinen vaihe, joka yrittää purkaa GRUBin toisen vaiheen salauksen.

Jos näet tämän salasanakehotteen, se tarkoittaa, ettei vaiheesi 1 konfiguraatiossa ole virheitä.

Huomautus : Huomaa, että tämä näyttö ei välttämättä noudata tavallista näppäimistöasetteluasi. Tämän seurauksena, jos saat virheellisen salasanakehotuksen, sinun kannattaa yrittää teeskennellä, että sinulla on esimerkiksi amerikkalainen näppäimistö tai AZERTY-näppäimistö.

Kun annat oikean salasanan, sinulle näytetään GRUB-valikko.

Jos näet tämän näytön, se tarkoittaa, että vaihe 1 pystyi avaamaan vaiheen 2. Voit valita ”Ubuntu”-vaihtoehdon ja käynnistää järjestelmäsi.

Seuraavassa näytössä sinua pyydetään antamaan salasana uudelleen.

Tämä on aivan normaalia, koska käynnistysosio on salattu. Tämän seurauksena tarvitset yhden tunnuslauseen avataksesi stage 2:n ja yhden avataksesi koko root-tiedostojärjestelmän.

Onneksi on olemassa keino välttää tämä : avaintiedosto, joka on upotettu initramfs-kuvaan. Sitä varten ArchLinuxin avustajat kirjoittivat erinomaisen tutoriaalin aiheesta.

Tässä tapauksessa annamme vain salasanan ja painamme Enteriä.

Kun init-prosessi on valmis, sinun pitäisi hetken kuluttua nähdä käyttöliittymän lukitusnäyttö!

Onnittelut, olet onnistuneesti salannut kokonaisen järjestelmän Linuxissa!

Juuritiedostojärjestelmän salaaminen olemassa olevalla levyllä

Jossain tapauksissa joudut ehkä salaamaan olemassa olevan levyn ilman, että pystyt poistamaan yhden tietokoneen levyistä. Tällainen tapaus voi sattua esimerkiksi silloin, jos levy on takuun piirissä.

Tällöin prosessi on melko yksinkertainen :

  • Tee käynnistettävä USB-levy (tai irrotettava laite), joka sisältää valitsemasi jakelun ISO-version;
  • Käytä laitetta käynnistämään ja kirjautumaan jakelusi LiveCD:lle;
  • Tunnista LiveCD:ltä se kiintolevy, joka sisältää pääjakelusi, ja tee siitä varmuuskopio;
  • Asenna ensisijainen osio haluamaasi kansioon ja noudata edellisen luvun ohjeita;

Miksi sinun on siis käytettävä LiveCD:tä, jos haluat salata ei-poistettavan levyn?

Jos haluaisit salata ensisijaisen päälevysi, sinun pitäisi irrottaa se. Koska kyseessä on kuitenkin järjestelmän juuriosio, et voisi irrottaa sitä, minkä vuoksi sinun on käytettävä LiveCD:tä.

Juuritiedostojärjestelmän salaaminen asennusvelhosta

Joskus jotkut jakelijat upottavat salausprosessin suoraan asennusvelhoon.

Jos et ole siirtämässä olemassa olevaa tiedostojärjestelmää järjestelmästä toiseen, saatat joutua käyttämään tätä vaihtoehtoa.

Olkoon esimerkkinä Ubuntu 20.04, asennusprosessi ehdottaa levyn salausta ohjatussa levyn konfiguroinnissa.

Mikäli valitset tämän vaihtoehdon, käytössäsi on samankaltaiset asetukset kuin aiemmissa kappaleissa. Useimmat jakelut päättävät kuitenkin olla salaamatta kansiota ”/boot”.

Jos haluat salata kansion ”/boot”, suosittelemme, että luet tämän ohjeen ensimmäisen osan.

Vianmääritys

Koska avoin lähdekoodi muuttuu jatkuvasti, on mahdollista, että et pysty käynnistämään järjestelmääsi, vaikka olisit noudattanut tämän ohjeen vaiheita huolellisesti.

Mutta koska virhelähteitä on luultavasti loputtomasti ja ne ovat jokaiselle käyttäjälle ominaisia, ei olisi mitään järkeä luetella jokaista yksittäistä ongelmaa, jonka voit kohdata.

Useimmiten on kuitenkin melko tärkeää tietää, missä vaiheessa käynnistysprosessia epäonnistut.

Jos näet ruudulla ”grub rescue” -kehotteen, se tarkoittaa luultavasti sitä, että olet juuttunut vaiheeseen 1, jolloin käynnistyslatausohjelma ei pystynyt paikantamaan kakkosvaiheen sisältävää levyä.

Jos näet initramfs-kehotteen, se tarkoittaa todennäköisesti sitä, että jotain väärää tapahtui init-prosessin aikana :

  • Oletko varma, että olet määrittänyt liitettävät tiedostojärjestelmät crypttab- ja fstab-tiedostoissa?
  • Oletko varma, että kaikki moduulit oli tällä hetkellä ladattu initramfs-kuvaasi? Eikö sinulta puutu esimerkiksi cryptsetup- tai lvm-moduulit?

Alhaalla on joitain resursseja, jotka löysimme mielenkiintoisiksi tätä ohjetta kirjoittaessamme, niistä voi löytyä vastauksia ongelmiisi :

  • Kokonaisen järjestelmän salakirjoittaminen : samankaltainen ohje ArchLinuxille;
  • Manuaalinen järjestelmän salakirjoittaminen Ubuntussa : vaiheet, joita käytettiin, kun haluttiin käyttää chrootia juuritiedostojärjestelmässä.

Yhteenveto

Tässä opetusohjelmassa opit, miten voit salata koko juuritiedostojärjestelmän, ”/boot”-kansio mukaan lukien, käyttäen LUKS-spesifikaatiota.

Oppasit myös Linuxin käynnistysprosessista ja eri vaiheista, jotka järjestelmäsi käy läpi käynnistääkseen käyttöjärjestelmäsi.

Vastaa

Sähköpostiosoitettasi ei julkaista.

Back to Top