Thursday Feb 03, 2022

How To Encrypt Root Filesystem on Linux

Als systeembeheerder weet u waarschijnlijk al hoe belangrijk het is om uw schijven te versleutelen.

Als uw laptop gestolen zou worden, zou zelfs een beginnende hacker in staat zijn om de informatie op de schijven te extraheren.

Het enige wat nodig is, is een eenvoudige USB-stick met een LiveCD erop en alles zou worden gestolen.

Gelukkig voor u, zijn er manieren om dit te voorkomen: door het versleutelen van gegevens die zijn opgeslagen op uw schijven.

In deze tutorial, gaan we de stappen zien die nodig zijn om een volledige systeemversleuteling uit te voeren. U kunt andere handleidingen online vinden die zich richten op het versleutelen van slechts een bestand of home partities bijvoorbeeld.

In dit geval versleutelen we het gehele systeem, dat wil zeggen de gehele root partitie en de boot folder. We gaan een deel van de bootloader versleutelen.

Ready?

Table of Contents

Prerequisites

Om alle bewerkingen die in deze gids worden beschreven te kunnen uitvoeren, moet u uiteraard systeembeheerder-rechten hebben.

Om te controleren of dit het geval is, controleert u of u behoort tot de groep “sudo” (voor Debian-gebaseerde distributies) of “wheel” (voor RedHat-gebaseerde).

Als u de volgende uitvoer ziet, zou u goed moeten zijn om te gaan.

Voordat u verder gaat, is het belangrijk te weten dat het coderen van schijven niet zonder risico’s is.

Het proces houdt in dat uw hele schijf wordt geformatteerd, wat betekent dat u gegevens verliest als u geen back-up maakt. Als gevolg hiervan kan het een goed idee voor u zijn om een back-up van uw bestanden te maken, of u ervoor kiest om dit op een externe schijf of in een online cloud te doen.

Als u niet zeker bent over de stappen die nodig zijn om een back-up van uw hele systeem te maken, raad ik u aan de volgende tutorial te lezen die het in duidelijke bewoordingen uitlegt.

Nu alles is ingesteld, kunnen we beginnen met het versleutelen van ons hele systeem.

Stel uw huidige situatie vast

Deze handleiding is verdeeld in drie delen: een voor elk scenario waar u mee te maken kunt krijgen.

Na het identificeren van uw huidige situatie, kunt u direct naar het hoofdstuk gaan waarin u geïnteresseerd bent.

Als U een systeem wilt encrypten dat al onversleutelde data bevat, heeft U twee keuzes :

  • U kunt een extra disk aan uw computer of server toevoegen en deze configureren om de bootable disk te worden : U kunt naar deel een gaan.
  • U kunt geen extra disk aan uw computer toevoegen (een laptop onder garantie bijvoorbeeld) : U zult de benodigde informatie vinden in deel twee.

Als u een geheel nieuw systeem installeert, dat wil zeggen dat u de distributie vanaf nul installeert, kunt u de gehele schijf direct vanuit het grafische installatieprogramma coderen. U kunt dan naar deel drie gaan.

Ontwerp harde schijf

Wanneer u nieuwe partities maakt, versleuteld of niet, is het heel belangrijk om van te voren het ontwerp van de harde schijf te kiezen.

In dit geval gaan we onze schijf ontwerpen met een MBR indeling: de eerste 512 bytes van de opstartbare schijf zullen worden gereserveerd voor de eerste fase van de GRUB (evenals metadata voor onze partities).

De eerste partitie zal een lege partitie zijn, gereserveerd voor systemen die EFI (of UEFI) gebruiken als de booting firmware. Als u ervoor kiest om in de toekomst Windows 10 te installeren, dan is daar al een partitie voor beschikbaar.

De tweede partitie van onze schijf wordt geformatteerd als een LUKS-LVM-partitie die één fysiek volume bevat (de schijfpartitie zelf), alsmede één volumegroep die twee logische volumes bevat: één voor het root-bestandssysteem en één voor een kleine swappartitie.

Zoals u kunt zien, zal de tweede fase van GRUB ook versleuteld zijn : dit komt omdat we ervoor gekozen hebben om de boot map op dezelfde partitie te bewaren.

Natuurlijk bent u niet beperkt tot het hier gegeven ontwerp, u kunt extra logische volumes toevoegen voor uw logs bijvoorbeeld.

Dit ontwerp zal onze routekaart zijn voor deze tutorial : we gaan beginnen met een gloednieuwe schijf en alle onderdelen samen implementeren.

Data-at-rest encryptie

Deze tutorial richt zich op data-at-rest encryptie. Zoals de naam al zegt, data-at-rest encryptie betekent dat uw systeem versleuteld is, d.w.z. dat niemand het kan lezen, als het in rust is of uit staat.

Deze versleuteling is erg handig als uw computer wordt gestolen, hackers kunnen dan geen gegevens op de schijf lezen tenzij ze de passphrase kennen die u in de volgende secties gaat kiezen.

Het risico bestaat echter nog steeds dat uw gegevens voor altijd worden gewist: geen leestoegang tot een schijf betekent niet dat ze niet eenvoudig partities kunnen verwijderen.

Zorg er daarom voor dat u ergens veilig een backup van uw belangrijke bestanden bewaart.

Root bestandssysteem versleutelen op nieuwe schijf

Zoals in de inleiding beschreven, gaan we het root bestandssysteem versleutelen van een nieuwe schijf die helemaal geen data bevat. Dit is heel belangrijk omdat de versleutelde schijf tijdens het proces zal worden geformatteerd.

Ga naar het systeem dat u wilt versleutelen en sluit de nieuwe schijf aan. Allereerst, identificeer uw huidige schijf, die waarschijnlijk “/dev/sda” heet en de schijf die u zojuist heeft aangesloten (waarschijnlijk “/dev/sdb” genaamd).

Als u twijfels heeft over de overeenkomst tussen namen en schijf-serienummers, kunt u verkopers en serienummers toevoegen met de “-o” optie van lsblk.

$ lsblk -do +VENDOR,SERIAL

In dit geval heet de schijf met data “/dev/sda” en de nieuwe “/dev/sdb”.

Allereerst moeten we de layout maken die we in de introductie hebben opgegeven, dat wil zeggen één partitie die een EFI partitie wordt en één LUKS-LVM partitie.

Basis Schijf Layout Maken

De eerste stap op onze reis naar volledige schijf encryptie begint met twee eenvoudige partities: een EFI (zelfs als we MBR gebruiken, voor het geval je in de toekomst wilt veranderen) en een voor onze LVM.

Om nieuwe partities op je schijf te maken, gebruik je het “fdisk” commando en specificeer je de schijf die geformatteerd moet worden.

$ sudo fdisk /dev/sdb

Zoals uitgelegd in de inleiding, zal de eerste partitie een 512 Mb zijn en de andere zal de resterende ruimte op de schijf innemen.

In het hulpprogramma “fdisk” kunt u een nieuwe partitie maken met de optie “n” en een grootte van 512 megabyte opgeven met “+512M”.

Verander het partitie type in W95 FAT32 met de “t” optie en specificeer “b” als type.

Goed, nu je je eerste partitie hebt, gaan we de partitie maken waarin we geïnteresseerd zijn.

Het maken van de tweede partitie is nog eenvoudiger.

In het fdisk-hulpprogramma gebruikt u “n” om een nieuwe partitie te maken en blijft u bij de standaardwaarden, wat betekent dat u bij elke stap op “Enter” kunt drukken.

Wanneer u klaar bent, kunt u gewoon op “w” drukken om de wijzigingen naar de schijf te schrijven.

Nu, als u het commando “fdisk” opnieuw uitvoert, krijgt u een goed idee van de wijzigingen die u op de schijf hebt uitgevoerd.

$ sudo fdisk -l /dev/sdb

Geweldig!

Uw tweede partitie is klaar om geformatteerd te worden, dus laten we daar naar toe gaan.

LUKS & LVM partities op schijf maken

Om schijven te versleutelen, gaan we LUKS gebruiken, kort voor het Linux Unified Key Setup project.

LUKS is een specificatie voor verschillende backends die in sommige versies van de Linux kernel zijn geïmplementeerd.

In dit geval gaan we gebruik maken van de “dm-crypt” submodule van de Linux storage stack.

Zoals de naam al zegt, maakt “dm-crypt” deel uit van de device mapper module die tot doel heeft een abstractielaag te creëren tussen uw fysieke schijven en de manier waarop u uw opslagstapel wilt inrichten.

diagram van thomas-krenn.com

Deze informatie is vrij belangrijk omdat het betekent dat je vrijwel elk apparaat kunt versleutelen met de “dm-crypt” backend.

In dit geval gaan we een schijf versleutelen, die een set LVM-partities bevat, maar u kunt er ook voor kiezen om een USB-geheugenstick of een diskette te versleutelen.

Om met de “dm-crypt” module te werken, gaan we het “cryptsetup” commando gebruiken.

U moet dit uiteraard op uw server installeren als u het nog niet heeft.

$ sudo apt-get instal cryptsetup$ which cryptsetup

Nu de cryptsetup beschikbaar is op uw computer, gaat u uw eerste LUKS-geformatteerde partitie maken.

Om een LUKS-partitie te maken, gaat u het commando “cryptsetup” gebruiken, gevolgd door het commando “luksFormat” dat de opgegeven partitie (of schijf) formatteert.

 $ sudo cryptsetup luksFormat --type luks1 /dev/sdb2

Note : dus waarom specificeren we het LUKS1 formatteringstype? Vanaf januari 2021 ondersteunt GRUB (onze bootloader) geen LUKS2-codering meer. Laat een opmerking achter als u merkt dat LUKS2 nu wordt vrijgegeven voor de GRUB-bootlader.

Zoals u ziet, wordt u erop gewezen dat deze bewerking alle gegevens op de schijf zal wissen. Controleer de schijf die u gaat formatteren nog een laatste keer, en typ “YES” als u klaar bent.

Direct daarna wordt u gevraagd om een wachtwoordzin. LUKS gebruikt twee authenticatie methodes : een op een passphrase gebaseerde die in essentie een wachtwoord is dat je invoert bij het decoderen.

LUKS kan ook sleutels gebruiken.

Kies een sterke passphrase, voer deze opnieuw in en wacht tot de schijfversleuteling is voltooid.

Wanneer u klaar bent, kunt u met het “lsblk” commando controleren dat uw partitie nu als LUKS is versleuteld.

Geweldig! U hebt nu een versleutelde partitie.

$ lsblk -f

Om te controleren of uw partitie correct is geformatteerd, kunt u het commando “cryptsetup” gebruiken, gevolgd door de optie “luksDump” en de naam van het versleutelde apparaat opgeven.

$ sudo cryptsetup luksDump /dev/sdb2

Uw versie zou op “1” moeten staan voor het “LUKS1” formaat en u zou hieronder de versleutelde passphrase moeten zien in één van de keyslots.

Creëren van versleutelde LVM op schijf

Nu uw LUKS versleutelde partitie klaar is, kan u ze “openen”. “Openen” van een versleutelde partitie betekent simpelweg dat u toegang gaat krijgen tot gegevens op de schijf.

Om uw versleutelde apparaat te openen, gebruikt u het commando “cryptsetup” gevolgd door “luksOpen”, de naam van het versleutelde apparaat en een naam.

$ sudo cryptsetup luksOpen <encrypted_device> <name>

In dit geval hebben we ervoor gekozen om het apparaat de naam “cryptlvm” te geven.

Als gevolg hiervan, wanneer u het “lsblk” commando opnieuw gebruikt, kunt u zien dat er een nieuw apparaat is toegevoegd aan de bestaande apparaatlijst. De tweede partitie bevat nu een device met de naam “cryptlvm”, wat uw gedecodeerde partitie is.

Nu alles klaar is, kunnen we beginnen met het aanmaken van onze twee LVM: een voor onze root partitie en een voor swap.

Voreerst gaan we een fysiek volume aanmaken voor onze nieuwe schijf met het “pvcreate” commando.

# Optional, if you don't have LVM commands : sudo apt-get install lvm2$ sudo pvcreate /dev/mapper/cryptlvm

Nu uw fysieke volume klaar is, kunt u het gebruiken om een volumegroep met de naam “cryptvg” te maken.

$ sudo vgcreate cryptvg /dev/mapper/cryptlvm

Nu uw volumegroep klaar is, kunt u uw twee logische volumes aanmaken.

In dit geval is de eerste partitie een partitie van 13Gb en neemt de swappartitie de resterende ruimte in. Zorg ervoor dat u deze getallen aanpast voor uw specifieke geval.

Om ons root bestandssysteem te hosten, gaan we een EXT4 bestandssysteem maken op het logische volume.

$ sudo lvcreate -n lvroot -L 13G cryptvg$ sudo mkfs.ext4 /dev/mapper/cryptvg-lvroot

Het aanmaken van de swap-partitie kan met dezelfde stappen worden gedaan, met “lvcreate” en “mkswap”.

$ sudo lvcreate -n lvswap -l 100%FREE cryptvg$ sudo mkswap /dev/mapper/cryptvg-lvswap

Geweldig! Nu uw partities zijn aangemaakt, is het tijd om uw bestaande rootbestandssysteem over te zetten naar de nieuw aangemaakte partities.

Het hele bestandssysteem overzetten naar de versleutelde schijf

Voordat u uw hele bestandssysteem overzet, is het misschien een goed idee om te controleren of u voldoende ruimte heeft op de bestemmingsschijf.

$ df -h 

Om uw hele bestandssysteem over te zetten naar uw nieuw aangemaakte partitie, gaat u het commando “rsync” gebruiken.

Mount uw nieuw aangemaakte logische volume en begin met het recursief kopiëren van uw bestanden en mappen naar de bestemmingsschijf.

$ sudo mount /dev/mapper/cryptvg-lvroot /mnt$ sudo rsync -aAXv / --exclude="mnt" /mnt --progress

Dit proces kan enige tijd in beslag nemen, afhankelijk van de hoeveelheid gegevens die u moet overzetten.

Na een tijdje zou uw hele bestandssysteem gekopieerd moeten zijn naar uw versleutelde schijf. Nu de “/boot” is versleuteld, moet u fase 1 van GRUB opnieuw installeren.

Installeer en configureer GRUB Bootloader

Waarom zou u GRUB opnieuw moeten installeren en configureren?

Om deze vraag te beantwoorden, moet u een basisidee hebben van de manier waarop uw systeem opstart wanneer u een BIOS/MBR conventioneel opstartproces gebruikt.

Zoals uitgelegd in de inleiding, is GRUB opgesplitst in twee (soms drie) delen : GRUB fase 1 en GRUB fase 2. De stage 1 zoekt alleen naar de locatie van de stage 2, die zich vaak in de map “/boot” van je bestandssysteem bevindt.

De stage 2 is verantwoordelijk voor veel taken : het laden van de benodigde modules, het laden van de kernel in het geheugen en het starten van het initramfs proces.

Zoals je hebt begrepen, is de stage 2 hier versleuteld, dus moeten we de stage 1 (die zich in de eerste 512 bytes van je schijf bevindt) vertellen dat deze eerst ontsleuteld moet worden.

Installeer GRUB Stage 1 opnieuw & 2

Om de eerste stage van GRUB opnieuw te installeren, moet je eerst de “cryptomount” inschakelen die toegang tot versleutelde apparaten in de GRUB omgeving mogelijk maakt.

Om dat te bereiken, moet je het “/etc/default/grub” bestand bewerken en de “GRUB_ENABLE_CRYPTODISK=y” optie toevoegen.

Hoewel, je momenteel op het systeem zit dat je probeert te versleutelen. Als gevolg hiervan moet u chrooten in uw nieuwe schijf om de commando’s goed te kunnen uitvoeren.

Chroot in versleutelde schijf

Om te chrooten in uw versleutelde schijf, moet u de volgende commando’s uitvoeren.

Nu dat u deze commando’s heeft uitgevoerd, zou u nu in de context van uw versleutelde schijf moeten zijn.

$ vi /etc/default/grub
GRUB_ENABLE_CRYPTODISK=y

Zoals vermeld in de GRUB documentatie, zal deze optie de GRUB configureren om naar gecodeerde apparaten te zoeken en extra commando’s toe te voegen om ze te decoderen.

Nu stage 1 is geconfigureerd, kunt u deze op uw MBR installeren met het commando grub-install.

$ grub-install --boot-directory=/boot /dev/sdb

Note : wees voorzichtig, u moet “/dev/sdb” specificeren en niet “/dev/sdb1”.

Zoals u waarschijnlijk heeft gemerkt, heeft u, wanneer u geen opties opgeeft voor de GRUB-installatie, standaard een “i386-pc”-installatie (die is ontworpen voor een BIOS-gebaseerde firmware).

Installeer GRUB Stage 2 opnieuw

Met de bovenstaande stappen is Stage 1 bijgewerkt, maar we moeten Stage 2 ook vertellen dat het te maken heeft met een versleutelde schijf.

Om dat te bereiken, ga je naar “/etc/default/grub” en voeg je een regel toe voor je GRUB Stage 2.

GRUB_CMDLINE_LINUX="cryptdevice=UUID=<encrypted_device_uuid> root=UUID=<root_fs_uuid>"

Dit is een belangrijke regel omdat het de tweede fase van GRUB verteld waar de versleutelde schijf is en waar de root partitie zich bevindt.

Om de benodigde UUIDs te identificeren, kun je het “lsblk” commando gebruiken met de “-f” optie.

$ lsblk -f 

Met deze UUIDs kunnen we de volgende regel toevoegen aan het GRUB configuratie bestand.

Om uw huidige GRUB installatie te updaten, kunt u het “update-grub2” commando gebruiken in uw ge-chroote omgeving.

$ sudo update-grub2

Nu je je GRUB installatie hebt geupdate, zou je GRUB menu (i.e. stage 2) aangepast moeten zijn en zou je de volgende inhoud moeten zien bij het inspecteren van het “/boot/grub/grub.cfg”-bestand.

Zoals u kunt zien, is het GRUB-configuratiebestand gewijzigd en gebruikt uw systeem nu “cryptomount” om de versleutelde schijf te lokaliseren.

Om uw systeem goed te laten opstarten, moet u controleren dat :

  • U de juiste modules laadt zoals cryptodisk, luks, lvm en anderen;
  • De “cryptomount” instructie correct is ingesteld;
  • De kernel is geladen met behulp van de “cryptdevice” instructie die we zojuist hebben ingesteld in de vorige sectie.
  • De UUID’s zijn correct : de “cryptdevice” wijst naar de LUKS2 versleutelde partitie en de “root” wijst naar het ext4 root bestandssysteem.

Wijzig crypttab en fstab bestanden

Eén van de eerste stappen van initramfs zal zijn om uw volumes te mounten met behulp van de “/etc/crypttab” en “/etc/fstab” bestanden op het bestandssysteem.

Dientengevolge, en omdat u nieuwe volumes aanmaakt, moet u wellicht deze bestanden wijzigen om er de juiste UUID in te zetten.

Voreerst, ga naar het “/etc/crypttab” bestand (u kunt het maken als het nog niet bestaat) en voeg de volgende inhoud toe

$ nano /etc/crypttab# <target name> <source device> <key file> <options> cryptlvm UUID=<luks_uuid> none luks

Als u niet zeker bent van de UUID van uw versleutelde apparaat, kunt u de “blkid” gebruiken om de informatie te krijgen.

$ blkid | grep -i LUKS 

Nu het crypttab bestand is aangepast, hoeft u alleen de fstab dienovereenkomstig aan te passen.

$ nano /etc/fstab# <file system> <mount point> <type> <options> <dump> <pass>UUID=<ext4 uuid> / ext4 errors=remount-ro 0 1

Wederom, als u niet zeker bent over de UUID van uw ext4 bestandssysteem, kunt u het “blkid” commando opnieuw gebruiken.

$ blkid | grep -i ext4

Allemaal klaar!

Nu uw GRUB en configuratie bestanden correct zijn geconfigureerd, hoeven we alleen nog maar het initramfs image te configureren.

Herconfigureer initramfs image

Te midden van alle boot scripts, zal initramfs zoeken naar het root bestandssysteem dat u in het vorige hoofdstuk heeft gespecificeerd.

Om het root bestandssysteem te decoderen, moet het echter de juiste initramfs modules aanroepen, namelijk de “cryptsetup-initramfs” module. In uw ge-chroote omgeving, kan u het volgende commando uitvoeren :

$ apt-get install cryptsetup-initramfs 

Om de cryptsetup modules in uw initramfs image op te nemen, moet u het “update-initramfs” commando uitvoeren.

$ update-initramfs -u -k all

Dat is het!

U hebt met succes alle benodigde stukken in elkaar gezet om een volledig versleutelde schijf op uw systeem te maken. U kunt nu uw computer opnieuw opstarten en uw nieuwe opstartproces bekijken.

Boot on Encrypted Device

Tijdens het opstarten is het eerste scherm dat u ziet het eerste stadium van GRUB dat probeert het tweede stadium van GRUB te decoderen.

Als u deze wachtwoordprompt ziet, betekent dit dat u geen fouten hebt in uw fase 1-configuratie.

Merk op: dit scherm volgt mogelijk niet uw gebruikelijke toetsenbordindeling. Bijgevolg moet u bij een foutieve wachtwoordprompt proberen te doen alsof u bijvoorbeeld een Amerikaans toetsenbord of een AZERTY-toetsenbord hebt.

Wanneer u het juiste wachtwoord opgeeft, krijgt u het GRUB-menu te zien.

Als u dit scherm ziet, betekent dit dat uw fase 1 in staat was om de fase 2 te openen. U kunt de optie “Ubuntu” selecteren en uw systeem opstarten.

In het volgende scherm wordt u gevraagd opnieuw de passphrase op te geven.

Dit is heel normaal omdat uw opstartpartitie versleuteld is. Het gevolg is dat je een passphrase nodig hebt om stage 2 te ontgrendelen en een om het hele root bestandssysteem te ontgrendelen.

Gelukkig is er een manier om dat te omzeilen: door een sleutelbestand in het initramfs image op te nemen. ArchLinux medewerkers hebben daar een uitstekende tutorial over geschreven.

In dit geval gaan we gewoon de passphrase invoeren en op Enter drukken.

Na een tijdje, als het init proces klaar is, zou je het lock scherm van je gebruikersinterface moeten zien!

Gefeliciteerd, u heeft met succes een compleet systeem onder Linux versleuteld!

Root bestandssysteem op bestaande schijf versleutelen

In sommige gevallen moet u een bestaande schijf versleutelen zonder de mogelijkheid om een van de schijven op uw computer te verwijderen. Dit geval kan zich voordoen als u bijvoorbeeld een schijf onder garantie heeft.

In dit geval is het proces vrij eenvoudig :

  • Maak een opstartbare USB (of verwijderbaar apparaat) met een ISO van de distributie van uw keuze;
  • Gebruik het apparaat om op te starten en in te loggen in een LiveCD van uw distributie;
  • Vanuit de LiveCD, identificeer de harde schijf die uw root distributie bevat en maak er een backup van;
  • Mount de primaire partitie op de map van uw keuze en volg de instructies van het vorige hoofdstuk;

Waarom moet u dan een LiveCD gebruiken als u een niet-verwijderbare schijf wilt versleutelen?

Als u uw belangrijkste primaire schijf zou willen versleutelen, zou u deze moeten unmounten. Echter, omdat het de root-partitie van uw systeem is, zou u niet in staat zijn om deze te unmounten, als gevolg waarvan u een LiveCD moet gebruiken.

Encrypting Root Filesystem From Installation Wizard

In sommige gevallen, sommige distributeurs embedden het encryptie proces direct in de installatie wizard.

Als u niet van plan bent om een bestaand bestandssysteem van het ene systeem naar het andere over te zetten, zou u in de verleiding kunnen komen om deze optie te gebruiken.

Nemen we Ubuntu 20.04 als voorbeeld, dan suggereert het installatieproces schijfversleuteling in de wizard schijfconfiguratie.

Als u deze optie selecteert, krijgt u een installatie die vergelijkbaar is met de installatie die in de vorige secties is gedaan. De meeste distributies kiezen er echter voor om de map “/boot” niet te coderen.

Als u de map “/boot” wilt coderen, raden wij u aan om het eerste gedeelte van deze zelfstudiegids te lezen.

Troubleshooting

Als open-source constant verandert, is er een kans dat u uw systeem niet kunt opstarten, zelfs als u de stappen van deze tutorial zorgvuldig hebt gevolgd.

Hoewel, aangezien foutbronnen waarschijnlijk oneindig zijn en specifiek voor elke gebruiker, zou het geen zin hebben om elk probleem op te sommen dat u kunt tegenkomen.

Hoewel, meestal, is het heel belangrijk om te weten op welke stap van het boot proces u faalt.

Als u een scherm ziet met een “grub rescue” prompt, betekent dit waarschijnlijk dat u vastzit op stage 1, dus dat de bootloader niet in staat was om de schijf te vinden die de tweede stage bevat.

Als je in een initramfs prompt bent, betekent het waarschijnlijk dat er iets fout is gegaan tijdens het init proces :

  • Weet je zeker dat je de bestandssystemen hebt gespecificeerd om te mounten in de crypttab en fstab bestanden?
  • Weet u zeker dat alle modules op dit moment in uw initramfs image zijn geladen? Mis je bijvoorbeeld de cryptsetup of lvm modules niet?

Hieronder staan enkele bronnen die we interessant vonden tijdens het schrijven van deze tutorial, ze kunnen misschien antwoorden geven op uw problemen :

  • Een volledig systeem coderen : een gelijkaardige tutorial voor ArchLinux;
  • Manuele Systeem Codering op Ubuntu : stappen die gebruikt worden om te chrooten in een root bestandssysteem.

Conclusie

In deze tutorial heeft u geleerd hoe u een volledig root bestandssysteem, met de “/boot” map, kunt versleutelen met behulp van de LUKS specificatie.

U heeft ook geleerd over het Linux boot proces en de verschillende stappen die uw systeem doorloopt om uw besturingssysteem op te starten.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Back to Top