Thursday Feb 03, 2022

Hogyan titkosíthatjuk a gyökér fájlrendszert Linuxon

Rendszergazdaként valószínűleg már tudja, milyen fontos a lemezek titkosítása.

Ha ellopnák a laptopját, még egy kezdő hacker is képes lenne kinyerni a lemezeken található információkat.

Elég egy egyszerű USB stick, rajta egy LiveCD-vel, és máris mindent ellopnának.

Az Ön szerencséjére van mód arra, hogy ezt megakadályozza : a lemezeken tárolt adatok titkosításával.

Ebben a bemutatóban a teljes rendszer titkosításához szükséges lépéseket fogjuk megnézni. Az interneten találhat más útmutatókat, amelyek például csak egy fájl vagy otthoni partíció titkosítására összpontosítanak.

Ez esetben a teljes rendszert titkosítjuk, ami a teljes gyökérpartíciót és a rendszerindító mappát jelenti. A bootloader egy részét fogjuk titkosítani.

Kész?

Tartalomjegyzék

Előfeltételek

Az útmutatóban részletezett műveletek elvégzéséhez nyilvánvalóan rendszergazdai jogokkal kell rendelkeznie.

Az ennek ellenőrzéséhez győződjön meg róla, hogy a “sudo” csoporthoz (Debian alapú disztribúciók esetén) vagy a “wheel” csoporthoz (RedHat alapú disztribúciók esetén) tartozik.

Ha a következő kimenetet látja, akkor készen áll.

A folytatás előtt fontos tudnia, hogy a lemezek titkosítása nem jár kockázatok nélkül.

A folyamat a teljes lemez formázásával jár, ami azt jelenti, hogy elveszíti az adatokat, ha nem készít biztonsági másolatot. Ennek következtében jó ötlet lehet, ha biztonsági mentést készít a fájljairól, akár egy külső meghajtón, akár egy online felhőben.

Ha nem biztos a teljes rendszer mentéséhez szükséges lépésekben, javaslom, hogy olvassa el az alábbi bemutatót, amely érthetően elmagyarázza.

Most, hogy minden készen áll, elkezdhetjük a teljes rendszerünk titkosítását.

Identifikáljuk a jelenlegi helyzetet

Ez a bemutató három részre oszlik : egy minden egyes forgatókönyvhöz, amellyel szembesülhet.

A jelenlegi helyzetének azonosítása után közvetlenül az Önt érdeklő fejezethez navigálhat.

Ha olyan rendszert szeretne titkosítani, amely már titkosítatlan adatokat tartalmaz, két lehetősége van :

  • Egy további lemezt adhat a számítógépéhez vagy szerveréhez, és beállíthatja, hogy az legyen a bootolható lemez : az első részhez léphet.
  • Ha nem tud egy további lemezt hozzáadni a számítógépéhez (például egy garanciális laptophoz) : a szükséges információkat a második részben találja.

Ha teljesen új rendszert telepít, azaz a disztribúciót a nulláról telepíti, akkor a teljes lemezt közvetlenül a grafikus telepítőprogramból titkosíthatja. Ennek következtében a harmadik részre léphet.

Megtervezzük a merevlemez elrendezését

Minden esetben, amikor új partíciókat hozunk létre, akár titkosítva, akár nem, nagyon fontos, hogy a merevlemez kialakítását előre válasszuk ki.

Ez esetben MBR elrendezéssel fogjuk megtervezni a lemezünket : a bootolható lemez első 512 bájtja a GRUB első szakaszának lesz fenntartva (valamint a partícióink metaadatainak).

Az első partíció egy üres partíció lesz, amelyet az EFI-t (vagy UEFI-t) bootoló firmware-ként használó rendszerek számára tartunk fenn. Ha úgy döntünk, hogy a jövőben Windows 10-et telepítünk, akkor egy partíció már rendelkezésre fog állni ehhez.

A lemezünk második partíciója LUKS-LVM partícióként lesz formázva, amely tartalmaz egy fizikai kötetet (maga a lemezpartíció), valamint egy kötetcsoportot, amely két logikai kötetet tartalmaz : egyet a gyökér fájlrendszer számára és egy másikat egy kis swap partíció számára.

Mint látható, a GRUB második szakasza is titkosítva lesz : ez azért van, mert úgy döntöttünk, hogy a boot mappát ugyanazon a partíción tároljuk.

Az itt megadott dizájnra természetesen nem korlátozódunk, további logikai köteteket adhatunk hozzá például a naplóink számára.

Ez a dizájn lesz az útitervünk ebben a bemutatóban : egy teljesen új lemezről fogunk indulni, és az összes részt együtt fogjuk megvalósítani.

Data-at-rest titkosítás

Ez a bemutató a data-at-rest titkosítással foglalkozik. Ahogy a neve is mutatja, a data-at-rest titkosítás azt jelenti, hogy a rendszerünk titkosítva van, azaz senki sem olvashat róla, amikor pihen vagy ki van kapcsolva.

Ez a titkosítás igen hasznos, ha ellopják a számítógépedet, a hackerek nem tudnak adatokat olvasni a lemezről, hacsak nem ismerik a jelszót, amit a következő fejezetekben fogsz kiválasztani.

Mégis fennállna azonban annak a veszélye, hogy az adatai örökre törlődnek : az, hogy nincs olvasási hozzáférésük a lemezhez, nem jelenti azt, hogy nem tudják egyszerűen eltávolítani a rajta lévő partíciókat.

Ezek következtében gondoskodjon arról, hogy fontos fájljairól biztonsági másolatot készítsen valahol.

Törzsfájlrendszer titkosítása új lemezen

Amint a bevezetés során részleteztük, egy új lemezről fogjuk titkosítani a törzsfájlrendszert, amely egyáltalán nem tartalmaz adatokat. Ez azért elég fontos, mert a titkosított lemezt a folyamat során formázni fogjuk.

Lépjünk át a titkosítani kívánt rendszerre, és csatlakoztassuk az új lemezt. Először is azonosítsa a jelenlegi lemezét, amelynek valószínűleg a neve “/dev/sda”, és a most csatlakoztatott lemezt (amelynek valószínűleg a neve “/dev/sdb”).

Ha kétségei vannak a nevek és a lemezek sorszámai közötti megfeleléssel kapcsolatban, akkor az lsblk “-o” opciójával hozzáadhatja a gyártókat és a sorszámokat.

$ lsblk -do +VENDOR,SERIAL

Az adatokat tartalmazó lemez neve ebben az esetben “/dev/sda”, az újé pedig “/dev/sdb”.

Először is létre kell hoznunk a bevezetőben megadott elrendezést, vagyis egy partíciót, amely EFI és egy LUKS-LVM partíció lesz.

Az alapvető lemezelrendezés létrehozása

A teljes lemeztitkosítás felé vezető utunk első lépése két egyszerű partícióval kezdődik : egy EFI (még akkor is, ha MBR-t használunk, arra az esetre, ha a jövőben változtatni szeretnénk) és egy az LVM-ünk számára.

Új partíciók létrehozásához a lemezen használjuk az “fdisk” parancsot, és adjuk meg a formázandó lemezt.

$ sudo fdisk /dev/sdb

A bevezetőben leírtak szerint az első partíció 512 Mb-os lesz, a másik pedig a lemezen maradó helyet foglalja el.

Az “fdisk” segédprogramban az “n” opcióval új partíciót hozhat létre, és a “+512M” opcióval 512 megabájtos méretet adhat meg.

GYőződjön meg róla, hogy a partíció típusát W95 FAT32-re változtatja a “t” opcióval és a “b” típus megadásával.

Félelmetes, most, hogy megvan az első partíció, létrehozzuk a minket érdeklő partíciót.

A második partíció létrehozása még egyszerűbb.

Az fdisk segédprogramban az “n”-t használjuk az új partíció létrehozásához, és maradjunk az alapértelmezetteknél, vagyis minden lépésnél nyomjuk meg az “Enter”-t.

Amikor végeztünk, egyszerűen nyomjuk meg a “w”-t, hogy a változásokat a lemezre írjuk.

Most az “fdisk” parancs ismételt futtatásával képet kaphatsz a lemezen elvégzett változtatásokról.

$ sudo fdisk -l /dev/sdb

Nagyszerű!

A második partíciónk készen áll a formázásra, úgyhogy irány ez.

LUKS & LVM partíciók létrehozása a lemezen

A lemezek titkosításához a LUKS-t fogjuk használni, ami a Linux Unified Key Setup projekt rövidítése.

A LUKS a Linux kernel egyes verzióiban implementált több háttértár specifikációja.

Ez esetben a Linux storage stack “dm-crypt” almodulját fogjuk használni.

Amint a neve is mutatja, a “dm-crypt” a device mapper modul része, amelynek célja egy absztrakciós réteg létrehozása a fizikai lemezek és a tároló stack kialakításának módja között.

Diagram a thomas-krenn.com

Ez az információ elég fontos, mert azt jelenti, hogy a “dm-crypt” háttértár segítségével nagyjából minden eszközt titkosíthatsz.

Ebben az esetben egy LVM partíciókat tartalmazó lemezt fogunk titkosítani, de választhatjuk egy USB-memória pendrive vagy egy floppy lemez titkosítását is.

A “dm-crypt” modullal való interakcióhoz a “cryptsetup” parancsot fogjuk használni.

Kézenfekvő, hogy telepítenünk kell a szerverünkre, ha még nem rendelkezünk vele.

$ sudo apt-get instal cryptsetup$ which cryptsetup

Most, hogy a cryptsetup elérhető a számítógépünkön, létrehozzuk az első LUKS-formázott partíciót.

A LUKS partíció létrehozásához a “cryptsetup” parancsot fogja használni, amelyet a “luksFormat” parancs követ, amely formázza a megadott partíciót (vagy lemezt).

 $ sudo cryptsetup luksFormat --type luks1 /dev/sdb2

Megjegyzés : miért adjuk meg tehát a LUKS1 formázási típust? 2021 januárjától a GRUB (a mi bootloaderünk) nem támogatja a LUKS2 titkosítást. Mindenképpen hagyjon megjegyzést, ha észreveszi, hogy a LUKS2 már megjelent a GRUB bootloaderhez.

Amint látja, értesítést kap arról, hogy ez a művelet a lemezen tárolt összes adatot törli. Ellenőrizze még egyszer utoljára a formázandó lemezt, és írja be az “IGEN”-t, ha készen áll.

Rögtön ezután a rendszer egy jelszót kérdez. A LUKS két hitelesítési módszert használ : egy jelszó alapú, amely lényegében egy jelszó, amelyet a visszafejtéskor ad meg.

A LUKS kulcsokat is használhat. A kulcsok használatával például a lemez egy részén tárolhatod, és a rendszer automatikusan vigyázni fog rá.

Válassz egy erős jelszót, add meg újra, és várd meg, amíg a lemez titkosítása befejeződik.

Amikor végeztél, az “lsblk” paranccsal ellenőrizheted, hogy a partíciód most LUKS-titkosítva van.

Félelmetes! Most már van egy titkosított partíciód.

$ lsblk -f

Hogy ellenőrizd, hogy a partíciód helyesen van-e formázva, használhatod a “cryptsetup” parancsot, majd a “luksDump” opciót, és megadhatod a titkosított eszköz nevét.

$ sudo cryptsetup luksDump /dev/sdb2

A “LUKS1” formátumhoz “1”-re kell állítani a verziót, és az egyik kulcshelyen alul a titkosított jelszót kell látnia.

Titkosított LVM létrehozása a lemezen

Most, hogy a LUKS titkosított partíciója készen áll, “megnyithatja” azt. Egy titkosított partíció “megnyitása” egyszerűen azt jelenti, hogy hozzáférünk a lemezen lévő adatokhoz.

A titkosított eszközünk megnyitásához használjuk a “cryptsetup” parancsot, majd a “luksOpen” parancsot, a titkosított eszköz nevét és egy nevet.

$ sudo cryptsetup luksOpen <encrypted_device> <name>

Ez esetben úgy döntöttünk, hogy az eszköz neve “cryptlvm”.

Az “lsblk” parancsot ismét használva láthatjuk, hogy a meglévő eszközlistához egy új eszköz került hozzá. A második partíció most már tartalmaz egy “cryptlvm” nevű eszközt, ami a dekódolt partíciód.

Most, hogy minden készen áll, elkezdhetjük létrehozni a két LVM-ünket : egyet a gyökérpartíciónknak és egyet a swapnak.

Először is, létrehozunk egy fizikai kötetet az új lemezünkhöz a “pvcreate” parancs segítségével.

# Optional, if you don't have LVM commands : sudo apt-get install lvm2$ sudo pvcreate /dev/mapper/cryptlvm

Most, hogy a fizikai kötetünk elkészült, létrehozhatunk vele egy “cryptvg” nevű kötetcsoportot.

$ sudo vgcreate cryptvg /dev/mapper/cryptlvm

Most, hogy a kötetcsoport készen áll, létrehozhatja a két logikai kötetet.

Ez esetben az első partíció 13 Gb-os, a fennmaradó helyet pedig a swap partíció foglalja el. Ezeket a számokat mindenképpen módosítsa a saját esetére.

A gyökér fájlrendszerünk elhelyezéséhez egy EXT4 fájlrendszert fogunk létrehozni a logikai köteten.

$ sudo lvcreate -n lvroot -L 13G cryptvg$ sudo mkfs.ext4 /dev/mapper/cryptvg-lvroot

A swap partíció létrehozása ugyanezekkel a lépésekkel, az “lvcreate” és az “mkswap” segítségével érhető el.

$ sudo lvcreate -n lvswap -l 100%FREE cryptvg$ sudo mkswap /dev/mapper/cryptvg-lvswap

Félelmetes! Most, hogy a partícióidat létrehoztad, itt az ideje, hogy a meglévő rootfilerendszeredet átvedd az újonnan létrehozottra.

Transfer Entire Filesystem to Encrypted Disk

A teljes fájlrendszered átvitele előtt nem árt ellenőrizni, hogy van-e elég hely a célmeghajtón.

$ df -h 

A teljes fájlrendszerének az újonnan létrehozott partícióra történő átviteléhez az “rsync” parancsot fogja használni.

Mountolja az újonnan létrehozott logikai kötetet, és kezdje el a fájlok és mappák rekurzív másolását a célmeghajtóra.

$ sudo mount /dev/mapper/cryptvg-lvroot /mnt$ sudo rsync -aAXv / --exclude="mnt" /mnt --progress

Ez a folyamat az átvitelre szánt adatok mennyiségétől függően elég sok időt vehet igénybe.

Egy idő után a teljes fájlrendszernek át kell másolódnia a titkosított meghajtóra. Most, hogy a “/boot” titkosítva van, ennek megfelelően újra kell telepítenie a GRUB 1. fázisát.

A GRUB bootloader telepítése és konfigurálása

Miért kell tehát újra telepítenie és ennek megfelelően újra konfigurálnia a GRUB-ot?

A kérdés megválaszolásához rendelkeznie kell egy alapvető elképzeléssel arról, hogyan indul el a rendszer a BIOS/MBR hagyományos bootolási folyamat használata esetén.

Amint azt a bevezetőben elmagyaráztuk, a GRUB két (néha három) részre oszlik : GRUB 1. szakasz és GRUB 2. szakasz. A stage 1 csak a stage 2 helyét keresi, ami gyakran a fájlrendszered “/boot” mappájában található.

A stage 2 számos feladatért felelős : a szükséges modulok betöltése, a kernel betöltése a memóriába és az initramfs folyamat elindítása.

Amint értetted, a stage 2 itt titkosítva van, ezért meg kell mondani a stage 1-nek (ami a lemezed első 512 bájtjában található), hogy először azt kell dekódolni.

A GRUB Stage 1 újratelepítése & 2

A GRUB első szakaszának újratelepítéséhez először engedélyezni kell a “cryptomount”-ot, amely lehetővé teszi a titkosított eszközök elérését a GRUB környezetben.

Ezért szerkesztenie kell az “/etc/default/grub” fájlt, és hozzá kell adnia a “GRUB_ENABLE_CRYPTODISK=y” opciót.

Mindenesetre jelenleg azon a rendszeren ül, amelyet titkosítani szeretne. Ennek következtében a parancsok megfelelő végrehajtásához chrootolni kell az új meghajtóra.

Chroot a titkosított meghajtón

A kódolt meghajtóra való chrootoláshoz a következő parancsokat kell végrehajtania.

Most, hogy végrehajtotta ezeket a parancsokat, már a titkosított meghajtó környezetében kell lennie.

$ vi /etc/default/grub
GRUB_ENABLE_CRYPTODISK=y

A GRUB dokumentáció szerint ez az opció úgy konfigurálja a GRUB-ot, hogy keressen titkosított eszközöket, és további parancsokat adjon a dekódolásukhoz.

Most, hogy az 1. fázis konfigurálva van, telepíthetjük az MBR-re a grub-install paranccsal.

$ grub-install --boot-directory=/boot /dev/sdb

Megjegyzés : vigyázzunk, a “/dev/sdb” és nem a “/dev/sdb1” megadására van szükség.

Amint valószínűleg észrevetted, ha nem adsz meg semmilyen opciót a GRUB telepítéséhez, akkor alapértelmezés szerint egy “i386-pc” telepítést kapsz (ami BIOS-alapú firmware-hez készült).

Újratelepítjük a GRUB Stage 2-t

A fentebb részletezett lépésekkel frissítettük a Stage 1-et, de azt is meg kell mondanunk a Stage 2-nek, hogy titkosított lemezzel van dolga.

Ezért menjünk át az “/etc/default/grub”-ba, és adjunk hozzá egy újabb sort a GRUB Stage 2 számára.

GRUB_CMDLINE_LINUX="cryptdevice=UUID=<encrypted_device_uuid> root=UUID=<root_fs_uuid>"

Ez egy fontos sor, mert megmondja a GRUB második szakaszának, hogy hol van a titkosított meghajtó és hol található a gyökérpartíció.

A szükséges UUID-k azonosításához használhatja az “lsblk” parancsot a “-f” opcióval.

$ lsblk -f 

Az UUID-ket felhasználva a következő sort adjuk hozzá a GRUB konfigurációs fájlhoz.

A jelenlegi GRUB telepítés frissítéséhez használhatjuk a “update-grub2” parancsot a chrooted környezetben.

$ sudo update-grub2

Most, hogy frissítettük a GRUB telepítést, a GRUB menü (azaz a 2. szakasz) megváltozik, és a következő tartalmat kell látnunk, amikor megvizsgáljuk a “/boot/grub/grub.cfg” fájlt.

Mint láthatja, a GRUB konfigurációs fájl módosult, és a rendszere most már a “cryptomount”-ot használja a titkosított meghajtó megtalálásához.

A rendszer megfelelő indításához ellenőriznie kell, hogy :

  • A megfelelő modulokat tölti be, mint például a cryptodisk, luks, lvm és mások;
  • A “cryptomount” utasítás helyesen van beállítva;
  • A kernel a “cryptdevice” utasítással van betöltve, amelyet az előző szakaszban állítottunk be.
  • A megadott UUID-k helyesek : a “cryptdevice” a LUKS2 titkosított partícióra mutat, a “root” pedig az ext4 root fájlrendszerre.

A crypttab és fstab fájlok módosítása

Az initramfs egyik első lépése a kötetek mountolása lesz a fájlrendszer “/etc/crypttab” és “/etc/fstab” fájljai segítségével.

Ezek következtében, és mivel új köteteket hoz létre, előfordulhat, hogy módosítania kell ezeket a fájlokat, hogy a megfelelő UUID-t tegye bele.

Először is, menj át a “/etc/crypttab” fájlba (létrehozhatod, ha még nem létezik), és add hozzá a következő tartalmat

$ nano /etc/crypttab# <target name> <source device> <key file> <options> cryptlvm UUID=<luks_uuid> none luks

Ha nem vagy biztos a titkosított eszközöd UUID-jében, akkor a “blkid” segítségével megkaphatod az információt.

$ blkid | grep -i LUKS 

Most, hogy a crypttab fájlt módosítottad, már csak az fstab-ot kell ennek megfelelően módosítanod.

$ nano /etc/fstab# <file system> <mount point> <type> <options> <dump> <pass>UUID=<ext4 uuid> / ext4 errors=remount-ro 0 1

Még egyszer, ha nem vagy biztos az ext4 fájlrendszered UUID-jában, használhatod a “blkid” parancsot ismét.

$ blkid | grep -i ext4

Majdnem kész!

Most, hogy a GRUB és a konfigurációs fájljaid helyesen vannak beállítva, már csak az initramfs képet kell konfigurálnunk.

Re-configure initramfs image

Az összes boot script között az initramfs az előző fejezetben megadott root fájlrendszert fogja keresni.

A gyökér fájlrendszer visszafejtéséhez azonban meg kell hívnia a megfelelő initramfs modulokat, nevezetesen a “cryptsetup-initramfs” modult. A chrooted környezetedben a következő parancsot hajthatod végre :

$ apt-get install cryptsetup-initramfs 

Hogy a cryptsetup modulok bekerüljenek az initramfs képedbe, mindenképpen hajtsd végre az “update-initramfs” parancsot.

$ update-initramfs -u -k all

Ez az!

Sikeresen összeraktad az összes szükséges darabot ahhoz, hogy egy teljesen titkosított lemezt hozz létre a rendszereden. Most újraindíthatja a számítógépét, és megnézheti az új rendszerindítási folyamatot.

Boot on Encrypted Device

Bootoláskor az első képernyő, amit látni fog, az a GRUB első szakasza, amely megpróbálja dekódolni a GRUB második szakaszát.

Ha ezt a jelszó kérést látja, az azt jelenti, hogy nincs hiba az első szakasz konfigurációjában.

Figyelem : vegye figyelembe, hogy ez a képernyő nem feltétlenül követi a szokásos billentyűzetkiosztást. Ennek következtében, ha hibás jelszókérést kap, próbáljon meg úgy tenni, mintha például amerikai vagy AZERTY billentyűzete lenne.

A helyes jelszó megadása után megjelenik a GRUB menü.

Ha ezt a képernyőt látja, az azt jelenti, hogy az 1-es fázis képes volt megnyitni a 2-es fázist. Kiválaszthatja az “Ubuntu” opciót, és elindíthatja a rendszerét.

A következő képernyőn ismét meg kell adnia a jelszót.

Ez teljesen normális, mivel a bootpartíciója titkosított. Ennek következtében egy jelszót kell megadnod a 2. szakasz feloldásához, és egyet a teljes root fájlrendszer feloldásához.

Szerencsére van egy mód ennek elkerülésére : az initramfs képbe ágyazott kulcsfájllal. Ehhez az ArchLinux közreműködői írtak egy kiváló bemutatót a témában.

Ez esetben csak megadjuk a jelszót és megnyomjuk az Entert.

Egy idő után, amikor az init folyamat befejeződött, a felhasználói felületünk záró képernyőjének kell megjelennie!

Gratulálunk, sikeresen titkosított egy teljes rendszert Linuxon!

Gyökér fájlrendszer titkosítása meglévő lemezen

Némely esetben előfordulhat, hogy egy meglévő lemezt kell titkosítania anélkül, hogy a számítógépen lévő lemezek egyikét eltávolíthatná. Ez az eset akkor fordulhat elő, ha például garanciális lemezzel rendelkezik.

Ez esetben a folyamat nagyon egyszerű :

  • Készítsen egy bootolható USB-t (vagy cserélhető eszközt), amely tartalmazza a választott disztribúció ISO-ját;
  • Az eszköz segítségével indítsa el és jelentkezzen be a disztribúció LiveCD-jébe;
  • A LiveCD-ről azonosítsa a root disztribúciót tartalmazó merevlemezt, és készítsen róla biztonsági másolatot;
  • Mountolja az elsődleges partíciót az Ön által választott mappába, és kövesse az előző fejezet utasításait;

Miért kell tehát LiveCD-t használnia, ha egy nem eltávolítható lemezt akar titkosítani?

Ha a fő elsődleges lemezét titkosítaná, akkor azt le kellene csatolnia. Mivel azonban ez a rendszer gyökérpartíciója, nem tudná leválasztani, ezért LiveCD-t kell használnia.

Gyökér fájlrendszer titkosítása a telepítési varázslóból

Némely forgalmazó egyes esetekben a titkosítási folyamatot közvetlenül a telepítési varázslóba ágyazza be.

Ha nem egy meglévő fájlrendszert szeretne átvinni egyik rendszerről a másikra, akkor kísértésbe eshet, hogy ezt a lehetőséget használja.

Az Ubuntu 20.04-et véve példának, a telepítési folyamat a lemez konfigurációs varázslóban javasolja a lemez titkosítását.

Ha ezt a lehetőséget választja, akkor az előző részekben leírtakhoz hasonló beállításokat kap. A legtöbb disztribúció azonban úgy dönt, hogy nem titkosítja a “/boot” mappát.

Ha titkosítani szeretné a “/boot” mappát, javasoljuk, hogy olvassa el a bemutató első részét.

Hibaelhárítás

Mivel a nyílt forráskód folyamatosan változik, van rá esély, hogy még akkor sem tudja elindítani a rendszerét, ha gondosan követte a bemutató lépéseit.

Mivel azonban a hibaforrások valószínűleg végtelenek és minden felhasználóra jellemzőek, nem lenne értelme minden egyes problémát felsorolni, amivel találkozhat.

A legtöbbször azonban elég fontos tudni, hogy a bootolási folyamat melyik lépésénél hibázik.

Ha a képernyőn a “grub rescue” prompt jelenik meg, az valószínűleg azt jelenti, hogy elakadt az 1. szakaszban, tehát a bootloader nem tudta megtalálni a második szakaszt tartalmazó lemezt.

Ha egy initramfs promptot lát, az valószínűleg azt jelenti, hogy valami hiba történt az init folyamat során :

  • Szilárdan megadta a csatolandó fájlrendszereket a crypttab és fstab fájlokban?
  • Biztos vagy benne, hogy az összes modul aktuálisan betöltődött az initramfs képedben? Nem hiányzik például a cryptsetup vagy az lvm modul?

Az alábbiakban találsz néhány forrást, amit érdekesnek találtunk ennek a bemutatónak az írása során, ezek talán választ adnak a problémáidra :

  • Egy teljes rendszer titkosítása : egy hasonló bemutató ArchLinuxhoz;
  • Kézi rendszer titkosítás Ubuntun : a root fájlrendszer chrootolásához használt lépések.

Végkövetkeztetés

Ezzel a bemutatóval megtanulta, hogyan titkosíthat egy teljes root fájlrendszert, a “/boot” mappával együtt, a LUKS specifikáció segítségével.

Megtanulta továbbá a Linux boot folyamatát és a különböző lépéseket, amelyeken a rendszer végigmegy, hogy elindítsa az operációs rendszert.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

Back to Top