Thursday Feb 03, 2022

How To Encrypt Root Filesystem on Linux

Jako administrator systemu, prawdopodobnie już wiesz jak ważne jest szyfrowanie twoich dysków.

Jeśli twój laptop zostałby skradziony, nawet początkujący haker byłby w stanie wydobyć informacje zawarte na dyskach.

Wystarczy zwykły pendrive z LiveCD na nim i wszystko zostanie skradzione.

Na szczęście dla ciebie, istnieją sposoby aby temu zapobiec: poprzez szyfrowanie danych przechowywanych na twoich dyskach.

W tym poradniku, zobaczymy kroki potrzebne do wykonania pełnego szyfrowania systemu. Możesz znaleźć inne tutoriale online skupione na szyfrowaniu tylko plików lub partycji domowych na przykład.

W tym przypadku szyfrujemy cały system, co oznacza całą partycję główną i folder startowy. Zamierzamy zaszyfrować część bootloadera.

Ready?

Table of Contents

Prerequisites

Aby wykonać wszystkie operacje wyszczególnione w tym przewodniku, musisz oczywiście mieć prawa administratora systemu.

Aby sprawdzić, czy tak jest, upewnij się, że należysz do grupy „sudo” (w dystrybucjach opartych na Debianie) lub „wheel” (w dystrybucjach opartych na RedHacie).

Jeśli widzisz następujące wyjście, powinieneś być gotowy do pracy.

Przed kontynuowaniem, ważne jest, abyś wiedział, że szyfrowanie dysków nie jest pozbawione ryzyka.

Proces obejmuje formatowanie całego dysku, co oznacza, że stracisz dane, jeśli nie zrobisz ich kopii zapasowej. W związku z tym dobrym pomysłem może być tworzenie kopii zapasowych plików, niezależnie od tego, czy zdecydujesz się zrobić to na dysku zewnętrznym, czy w chmurze online.

Jeśli nie jesteś pewien, jakie kroki należy podjąć, aby utworzyć kopię zapasową całego systemu, zalecam zapoznanie się z poniższym poradnikiem, który wyjaśnia to w jasny sposób.

Teraz, gdy wszystko jest ustawione, możemy rozpocząć szyfrowanie naszego całego systemu.

Zidentyfikuj swoją obecną sytuację

Ten samouczek jest podzielony na trzy części: po jednej dla każdego scenariusza, z którym możesz mieć do czynienia.

Po zidentyfikowaniu twojej obecnej sytuacji, możesz bezpośrednio przejść do rozdziału, który cię interesuje.

Jeśli chcesz zaszyfrować system, który już zawiera niezaszyfrowane dane, masz dwa wyjścia :

  • Możesz dodać dodatkowy dysk do komputera lub serwera i skonfigurować go jako dysk startowy : możesz przejść do części pierwszej.
  • Nie możesz dodać dodatkowego dysku do komputera (na przykład laptopa na gwarancji) : potrzebne informacje znajdziesz w części drugiej.

Jeśli instalujesz zupełnie nowy system, co oznacza, że instalujesz dystrybucję od zera, możesz zaszyfrować cały dysk bezpośrednio z graficznego instalatora. W konsekwencji, możesz przejść do części trzeciej.

Projektowanie układu dysku twardego

Kiedy tworzysz nowe partycje, zaszyfrowane lub nie, jest dość ważne, aby wybrać projekt dysku twardego z wyprzedzeniem.

W tym przypadku zamierzamy zaprojektować nasz dysk używając układu MBR: pierwsze 512 bajtów dysku startowego będzie zarezerwowane dla pierwszego etapu GRUB-a (jak również metadanych dla naszych partycji).

Pierwsza partycja będzie pustą partycją zarezerwowaną dla systemów używających EFI (lub UEFI) jako firmware’u startowego. Jeśli w przyszłości zdecydujemy się na instalację Windows 10, będziemy mieli już dostępną partycję do tego celu.

Druga partycja naszego dysku będzie sformatowana jako partycja LUKS-LVM zawierająca jeden wolumen fizyczny (sama partycja dysku), jak również jedną grupę wolumenów zawierającą dwa wolumeny logiczne: jeden dla głównego systemu plików i drugi dla małej partycji wymiany.

Jak widzisz, drugi etap GRUB-a również będzie zaszyfrowany: to dlatego, że wybraliśmy folder startowy przechowywany na tej samej partycji.

Oczywiście, nie jesteś ograniczony do projektu przedstawionego tutaj, możesz dodać dodatkowe wolumeny logiczne dla twoich logów na przykład.

Ten projekt będzie naszą mapą drogową dla tego poradnika: zaczniemy od zupełnie nowego dysku i zaimplementujemy wszystkie części razem.

Szyfrowanie danych w stanie spoczynku

Ten poradnik skupia się na szyfrowaniu danych w stanie spoczynku. Jak sama nazwa wskazuje, szyfrowanie danych w stanie spoczynku oznacza, że twój system jest zaszyfrowany, tzn. nikt nie może z niego czytać, gdy jest w stanie spoczynku lub wyłączony.

To szyfrowanie jest całkiem przydatne, jeśli twój komputer zostałby skradziony, hakerzy nie mogliby odczytać danych na dysku, chyba że znaliby hasło, które wybierzesz w następnych sekcjach.

Jednakże nadal istnieje ryzyko, że twoje dane zostaną usunięte na zawsze: brak dostępu do odczytu dysku nie oznacza, że nie mogą po prostu usunąć partycji na nim.

W konsekwencji upewnij się, że przechowujesz kopię zapasową swoich ważnych plików w bezpiecznym miejscu.

Szyfrowanie głównego systemu plików na nowym dysku

Jak opisano we wstępie, zaszyfrujemy główny system plików z nowego dysku, który nie zawiera żadnych danych. Jest to dość ważne, ponieważ zaszyfrowany dysk zostanie sformatowany w procesie.

Przejdź do systemu, który chcesz zaszyfrować i podłącz nowy dysk. Przede wszystkim zidentyfikuj swój obecny dysk, który prawdopodobnie nazywa się „/dev/sda” i dysk, który właśnie podłączyłeś (prawdopodobnie nazywa się „/dev/sdb”).

Jeśli masz wątpliwości co do zgodności nazw i numerów seryjnych dysków, możesz dodać dostawców i numery seryjne za pomocą opcji „-o” programu lsblk.

$ lsblk -do +VENDOR,SERIAL

W tym przypadku dysk z danymi nosi nazwę „/dev/sda”, a nowy „/dev/sdb”.

Przede wszystkim musimy utworzyć układ, który podaliśmy we wstępie, czyli jedną partycję, która będzie partycją EFI i jedną LUKS-LVM.

Tworzenie podstawowego układu dysku

Pierwszy krok na naszej drodze do pełnego szyfrowania dysku zaczyna się od dwóch prostych partycji: jednej EFI (nawet jeśli używamy MBR, na wypadek gdybyśmy chcieli zmienić w przyszłości) i jednej dla naszego LVM.

Aby utworzyć nowe partycje na dysku, użyj polecenia „fdisk” i określ dysk, który ma być sformatowany.

$ sudo fdisk /dev/sdb

Jak wyjaśniono we wstępie, pierwsza partycja będzie 512 Mb, a druga zajmie pozostałe miejsce na dysku.

W narzędziu „fdisk” można utworzyć nową partycję za pomocą opcji „n” i określić rozmiar 512 megabajtów za pomocą „+512M”.

Pamiętaj, aby zmienić typ partycji na W95 FAT32 używając opcji „t” i określając „b” jako typ.

Dobrze, teraz, gdy masz swoją pierwszą partycję, zamierzamy stworzyć tę, którą jesteśmy zainteresowani.

Tworzenie drugiej partycji jest jeszcze prostsze.

W narzędziu fdisk, użyj „n”, aby utworzyć nową partycję i trzymać się domyślnych ustawień, co oznacza, że możesz nacisnąć „Enter” na każdym kroku.

Kiedy skończysz, możesz po prostu nacisnąć „w”, aby zapisać zmiany na dysku.

Teraz, ponowne wykonanie polecenia „fdisk” da ci dobre wyobrażenie o zmianach, które wykonałeś na dysku.

$ sudo fdisk -l /dev/sdb

Dobrze!

Twoja druga partycja jest gotowa do sformatowania, więc przejdźmy do niej.

Tworzenie partycji LUKS & LVM na dysku

Aby zaszyfrować dyski, użyjemy LUKS, skrótu od projektu Linux Unified Key Setup.

LUKS jest specyfikacją dla kilku backendów zaimplementowanych w niektórych wersjach jądra Linuksa.

W tym przypadku użyjemy podmodułu „dm-crypt” stosu pamięci masowej Linuksa.

Jak sama nazwa wskazuje, „dm-crypt” jest częścią modułu mapowania urządzeń, który ma na celu stworzenie warstwy abstrakcji pomiędzy fizycznymi dyskami a sposobem, w jaki zdecydujesz się zaprojektować swój stos pamięci masowej.

Diagram z thomas-krenn.com

Ta informacja jest dość ważna, ponieważ oznacza, że można zaszyfrować prawie każde urządzenie używając backendu „dm-crypt”.

W tym przypadku zaszyfrujemy dysk, zawierający zestaw partycji LVM, ale możesz wybrać szyfrowanie pamięci USB lub dyskietki.

Aby wejść w interakcję z modułem „dm-crypt”, użyjemy polecenia „cryptsetup”.

Oczywiście, możesz potrzebować zainstalować ją na swoim serwerze, jeśli jeszcze jej nie masz.

$ sudo apt-get instal cryptsetup$ which cryptsetup

Teraz, gdy cryptsetup jest dostępny na twoim komputerze, utworzysz swoją pierwszą partycję sformatowaną na LUKS.

Aby utworzyć partycję LUKS, użyjesz polecenia „cryptsetup”, a następnie polecenia „luksFormat”, które sformatuje określoną partycję (lub dysk).

 $ sudo cryptsetup luksFormat --type luks1 /dev/sdb2

Uwaga: dlaczego więc określamy typ formatowania LUKS1? Od stycznia 2021, GRUB (nasz bootloader) nie wspiera szyfrowania LUKS2. Upewnij się, aby zostawić komentarz, jeśli zauważysz, że LUKS2 jest teraz wydany dla bootloadera GRUB.

Jak widać, jesteś powiadomiony, że ta operacja wymaże wszystkie dane przechowywane na dysku. Sprawdź po raz ostatni dysk, który chcesz sformatować i wpisz „TAK”, gdy będziesz gotowy.

Tuż po tym, zostaniesz poproszony o podanie hasła. LUKS używa dwóch metod uwierzytelniania: opartej na frazie hasła, która jest w zasadzie hasłem wprowadzanym przy odszyfrowywaniu.

LUKS może również używać kluczy. Używając kluczy, możesz na przykład przechowywać je na części dysku, a system będzie mógł się nimi opiekować automatycznie.

Wybierz silną frazę hasła, wprowadź ją ponownie i poczekaj na zakończenie szyfrowania dysku.

Kiedy skończysz, możesz sprawdzić poleceniem „lsblk”, że twoja partycja jest teraz zaszyfrowana jako LUKS.

Absolutnie! Masz teraz zaszyfrowaną partycję.

$ lsblk -f

Aby sprawdzić, czy partycja jest poprawnie sformatowana, możesz użyć polecenia „cryptsetup”, a następnie opcji „luksDump” i podać nazwę zaszyfrowanego urządzenia.

$ sudo cryptsetup luksDump /dev/sdb2

Twoja wersja powinna być ustawiona na „1” dla formatu „LUKS1” i powinieneś zobaczyć poniżej zaszyfrowaną frazę hasła w jednym z gniazd kluczy.

Tworzenie zaszyfrowanego LVM na dysku

Teraz, gdy partycja zaszyfrowana LUKS jest gotowa, możesz ją „otworzyć”. „Otwarcie” partycji zaszyfrowanej oznacza po prostu, że zamierzasz uzyskać dostęp do danych na dysku.

Aby otworzyć urządzenie zaszyfrowane, użyj polecenia „cryptsetup”, po którym następuje „luksOpen”, nazwa urządzenia zaszyfrowanego i nazwa.

$ sudo cryptsetup luksOpen <encrypted_device> <name>

W tym przypadku wybraliśmy nazwę urządzenia „cryptlvm”.

W konsekwencji, używając ponownie polecenia „lsblk”, można zauważyć, że nowe urządzenie zostało dodane do istniejącej listy urządzeń. Druga partycja zawiera teraz urządzenie o nazwie „cryptlvm”, które jest twoją odszyfrowaną partycją.

Teraz, gdy wszystko jest gotowe, możemy zacząć tworzyć nasze dwa LVM : jeden dla naszej partycji głównej i jeden dla swap.

Po pierwsze, zamierzamy stworzyć fizyczny wolumen dla naszego nowego dysku używając polecenia „pvcreate”.

# Optional, if you don't have LVM commands : sudo apt-get install lvm2$ sudo pvcreate /dev/mapper/cryptlvm

Teraz, gdy wolumen fizyczny jest gotowy, możesz go użyć do utworzenia grupy woluminów o nazwie „cryptvg”.

$ sudo vgcreate cryptvg /dev/mapper/cryptlvm

Teraz, gdy grupa woluminów jest gotowa, możesz utworzyć dwa woluminy logiczne.

W tym przypadku, pierwsza partycja to 13Gb, a partycja wymiany zajmie pozostałe miejsce. Upewnij się, aby zmodyfikować te numery dla konkretnego przypadku.

W celu hostowania naszego systemu plików root, mamy zamiar utworzyć system plików EXT4 na woluminie logicznym.

$ sudo lvcreate -n lvroot -L 13G cryptvg$ sudo mkfs.ext4 /dev/mapper/cryptvg-lvroot

Tworzenie partycji wymiany może być osiągnięte przy użyciu tych samych kroków, używając „lvcreate” i „mkswap”.

$ sudo lvcreate -n lvswap -l 100%FREE cryptvg$ sudo mkswap /dev/mapper/cryptvg-lvswap

Absolutnie! Teraz, gdy twoje partycje są utworzone, nadszedł czas na przeniesienie istniejącego systemu plików na nowo utworzony.

Transfer Entire Filesystem to Encrypted Disk

Przed przeniesieniem całego systemu plików, dobrym pomysłem może być sprawdzenie, czy masz wystarczająco dużo miejsca na dysku docelowym.

$ df -h 

Aby przenieść cały system plików na nowo utworzoną partycję, użyj polecenia „rsync”.

Zamontuj nowo utworzony wolumin logiczny i zacznij kopiować pliki i foldery rekursywnie na dysk docelowy.

$ sudo mount /dev/mapper/cryptvg-lvroot /mnt$ sudo rsync -aAXv / --exclude="mnt" /mnt --progress

Ten proces może zająć trochę czasu w zależności od ilości danych, które musisz przenieść.

Po chwili cały system plików powinien zostać skopiowany na dysk zaszyfrowany. Teraz, gdy „/boot” jest zaszyfrowany, będziesz musiał przeinstalować etap 1 GRUB-a odpowiednio.

Instalacja i konfiguracja GRUB Bootloader

Więc, dlaczego musiałbyś przeinstalować i skonfigurować GRUB-a odpowiednio?

Aby odpowiedzieć na to pytanie, musisz mieć podstawowe pojęcie o sposobie uruchamiania systemu, gdy używasz konwencjonalnego procesu bootowania BIOS/MBR.

Jak wyjaśniono we wstępie, GRUB jest podzielony na dwie (czasami trzy) części : GRUB stage 1 i GRUB stage 2. Etap 1 będzie szukał tylko lokalizacji etapu 2, często znajdującego się w folderze „/boot” twojego systemu plików.

Etap 2 jest odpowiedzialny za wiele zadań: ładowanie niezbędnych modułów, ładowanie jądra do pamięci i uruchamianie procesu initramfs.

Jak zrozumiałeś, etap 2 jest tutaj zaszyfrowany, więc musimy powiedzieć etapowi 1 (znajdującemu się w pierwszych 512 bajtach twojego dysku), że musi być najpierw odszyfrowany.

Re-instalacja GRUB Stage 1 & 2

Aby przeinstalować pierwszy etap GRUB, musisz najpierw włączyć „cryptomount”, który umożliwia dostęp do zaszyfrowanych urządzeń w środowisku GRUB.

Aby to osiągnąć, musisz edytować plik „/etc/default/grub” i dodać opcję „GRUB_ENABLE_CRYPTODISK=y”.

Jednakże obecnie siedzisz na systemie, który próbujesz zaszyfrować. W konsekwencji, będziesz musiał przejść do nowego dysku, aby poprawnie wykonać polecenia.

Chroot in Encrypted Drive

Aby przejść do zaszyfrowanego dysku, będziesz musiał wykonać następujące polecenia.

Po wykonaniu tych poleceń, powinieneś być teraz w kontekście zaszyfrowanego dysku.

$ vi /etc/default/grub
GRUB_ENABLE_CRYPTODISK=y

Jak stwierdzono w dokumentacji GRUB-a, ta opcja skonfiguruje GRUB-a do szukania zaszyfrowanych urządzeń i dodawania dodatkowych poleceń w celu ich odszyfrowania.

Teraz, gdy etap 1 jest skonfigurowany, możesz zainstalować go na MBR używając polecenia grub-install.

$ grub-install --boot-directory=/boot /dev/sdb

Uwaga: bądź ostrożny, musisz podać „/dev/sdb” a nie „/dev/sdb1”.

Jak zapewne zauważyłeś, nie podając żadnych opcji dla instalacji GRUB-a, masz domyślnie instalację „i386-pc” (która jest przeznaczona dla firmware’u opartego na BIOS-ie).

Re-instalacja GRUB Stage 2

Używając kroków opisanych powyżej, stage 1 został zaktualizowany, ale musimy również poinformować stage 2, że ma do czynienia z dyskiem zaszyfrowanym.

Aby to osiągnąć, przejdź do „/etc/default/grub” i dodaj kolejną linię dla twojego GRUB stage 2.

GRUB_CMDLINE_LINUX="cryptdevice=UUID=<encrypted_device_uuid> root=UUID=<root_fs_uuid>"

Jest to ważna linia, ponieważ mówi ona drugiemu etapowi GRUBa, gdzie jest dysk zaszyfrowany i gdzie znajduje się partycja główna.

Aby zidentyfikować potrzebne UUID, możesz użyć polecenia „lsblk” z opcją „-f”.

$ lsblk -f 

Używając tych identyfikatorów UUID, dodamy następującą linię do pliku konfiguracyjnego GRUB.

Aby zaktualizować bieżącą instalację GRUB, można użyć polecenia „update-grub2” w środowisku chrootowanym.

$ sudo update-grub2

Teraz, gdy zaktualizowałeś swoją instalację GRUB, twoje menu GRUB (tj. etap 2) powinno być zmodyfikowane i powinieneś zobaczyć następującą zawartość podczas sprawdzania pliku „/boot/grub/grub.cfg”.

Jak widać, plik konfiguracyjny GRUB został zmodyfikowany i system używa teraz „cryptomount” w celu zlokalizowania zaszyfrowanego dysku.

Aby system uruchamiał się poprawnie, musisz sprawdzić, czy :

  • Ładujesz właściwe moduły, takie jak cryptodisk, luks, lvm i inne;
  • Instrukcja „cryptomount” jest poprawnie ustawiona;
  • Jądro jest ładowane przy użyciu instrukcji „cryptdevice”, którą właśnie ustawiliśmy w poprzedniej sekcji.
  • Podane UUID są poprawne: „cryptdevice” wskazuje na partycję szyfrowaną LUKS2, a „root” na główny system plików ext4.

Modyfikacja plików crypttab i fstab

Jednym z pierwszych kroków initramfs będzie zamontowanie woluminów przy użyciu plików „/etc/crypttab” i „/etc/fstab” w systemie plików.

W konsekwencji, i ponieważ tworzysz nowe woluminy, możesz być zmuszony do modyfikacji tych plików w celu umieszczenia w nich poprawnych UUID.

Po pierwsze, przejdź do pliku „/etc/crypttab” (możesz go utworzyć jeśli jeszcze nie istnieje) i dodaj następującą zawartość

$ nano /etc/crypttab# <target name> <source device> <key file> <options> cryptlvm UUID=<luks_uuid> none luks

Jeśli nie jesteś pewien co do UUID twojego zaszyfrowanego urządzenia, możesz użyć „blkid” aby uzyskać informacje.

$ blkid | grep -i LUKS 

Teraz, gdy plik crypttab jest zmodyfikowany, musisz tylko odpowiednio zmodyfikować fstab.

$ nano /etc/fstab# <file system> <mount point> <type> <options> <dump> <pass>UUID=<ext4 uuid> / ext4 errors=remount-ro 0 1

Ponownie, jeśli nie jesteś pewny co do UUID systemu plików ext4, możesz ponownie użyć polecenia „blkid”.

$ blkid | grep -i ext4

Już prawie gotowe!

Teraz, gdy twój GRUB i pliki konfiguracyjne są poprawnie skonfigurowane, musimy tylko skonfigurować obraz initramfs.

Re-konfiguracja obrazu initramfs

Wśród wszystkich skryptów startowych, initramfs będzie szukał głównego systemu plików, który określiłeś w poprzednim rozdziale.

Jednakże, aby odszyfrować system plików root, będzie musiał wywołać odpowiednie moduły initramfs, mianowicie „cryptsetup-initramfs”. W twoim chrootowanym środowisku, możesz wykonać następującą komendę :

$ apt-get install cryptsetup-initramfs 

Aby włączyć moduły cryptsetup do twojego obrazu initramfs, upewnij się, że wykonasz komendę „update-initramfs”.

$ update-initramfs -u -k all

To jest to!

Pomyślnie zebrałeś wszystkie potrzebne elementy w celu stworzenia w pełni zaszyfrowanego dysku w twoim systemie. Możesz teraz zrestartować komputer i przyjrzeć się nowemu procesowi bootowania.

Boot on Encrypted Device

Podczas bootowania, pierwszy ekran, który zobaczysz, to pierwszy etap GRUB-a próbujący odszyfrować drugi etap GRUB-a.

Jeśli zobaczysz monit o hasło, oznacza to, że nie masz żadnych błędów w konfiguracji etapu 1.

Uwaga: należy pamiętać, że ten ekran może nie odpowiadać typowemu układowi klawiatury. W konsekwencji, jeśli pojawi się monit o nieprawidłowe hasło, powinieneś spróbować udawać, że masz klawiaturę amerykańską lub AZERTY, na przykład.

Po podaniu prawidłowego hasła, zostanie wyświetlone menu GRUB.

Jeśli widzisz ten ekran, oznacza to, że etap 1 był w stanie otworzyć etap 2. Możesz wybrać opcję „Ubuntu” i uruchomić system.

Na następnym ekranie, jesteś proszony o podanie hasła ponownie.

Jest to całkiem normalne, ponieważ partycja rozruchowa jest zaszyfrowana. W konsekwencji, potrzebujesz jednego hasła aby odblokować etap 2 i jednego aby odblokować cały system plików root.

Na szczęście jest sposób aby tego uniknąć: poprzez posiadanie pliku klucza osadzonego w obrazie initramfs. W tym celu współautorzy ArchLinux napisali doskonały tutorial na ten temat.

W tym przypadku, po prostu podamy hasło i wciśniemy Enter.

Po chwili, kiedy proces init zostanie zakończony, powinieneś zobaczyć ekran blokady interfejsu użytkownika!

Gratulacje, pomyślnie zaszyfrowałeś cały system w Linuksie!

Szyfrowanie głównego systemu plików na istniejącym dysku

W niektórych przypadkach, możesz być zmuszony do zaszyfrowania istniejącego dysku bez możliwości usunięcia jednego z dysków w komputerze. Ten przypadek może się zdarzyć, jeśli masz dysk na gwarancji na przykład.

W tym przypadku, proces jest dość prosty :

  • Utwórz bootowalne USB (lub urządzenie wymienne) zawierające ISO wybranej przez ciebie dystrybucji;
  • Użyj urządzenia w celu uruchomienia i zalogowania się do LiveCD twojej dystrybucji;
  • Z LiveCD zidentyfikuj dysk twardy zawierający twoją dystrybucję root i zrób jego kopię zapasową;
  • Zamontuj partycję główną w wybranym folderze i postępuj zgodnie z instrukcjami z poprzedniego rozdziału;

Dlaczego więc musisz użyć LiveCD, jeśli chcesz zaszyfrować dysk niewymienny?

Jeśli chciałbyś zaszyfrować swój główny dysk, musiałbyś go odmontować. Jednakże, ponieważ jest to partycja główna systemu, nie byłbyś w stanie jej odmontować, w konsekwencji musiałbyś użyć LiveCD.

Encrypting Root Filesystem From Installation Wizard

W niektórych przypadkach, niektórzy dystrybutorzy osadzają proces szyfrowania bezpośrednio w kreatorze instalacji.

Jeśli nie chcesz przenosić istniejącego systemu plików z jednego systemu na drugi, możesz pokusić się o skorzystanie z tej opcji.

Biorąc za przykład Ubuntu 20.04, proces instalacji sugeruje szyfrowanie dysku w kreatorze konfiguracji dysku.

Jeśli wybierzesz tę opcję, będziesz miał podobną konfigurację do tej z poprzednich sekcji. Jednakże, większość dystrybucji nie szyfruje folderu „/boot”.

Jeśli chcesz zaszyfrować folder „/boot”, zalecamy przeczytanie pierwszej sekcji tego poradnika.

Rozwiązywanie problemów

Jako, że open-source ciągle się zmienia, jest szansa, że nie będziesz w stanie uruchomić systemu, nawet jeśli dokładnie wykonałeś kroki z tego poradnika.

Jednakże, jako, że źródła błędów są prawdopodobnie nieskończone i specyficzne dla każdego użytkownika, nie byłoby sensu wyliczać każdego pojedynczego problemu, który możesz napotkać.

Jednakże, przez większość czasu, jest dość ważne, aby wiedzieć, na którym etapie procesu bootowania zawodzisz.

Jeśli widzisz ekran z monitem „grub rescue”, prawdopodobnie oznacza to, że utknąłeś na etapie 1, więc bootloader nie był w stanie zlokalizować dysku zawierającego drugi etap.

Jeśli jesteś w monitach initramfs, prawdopodobnie oznacza to, że coś złego stało się podczas procesu init :

  • Czy jesteś pewien, że określiłeś systemy plików do zamontowania w plikach crypttab i fstab?
  • Czy jesteś pewien, że wszystkie moduły zostały załadowane do twojego obrazu initramfs? Czy nie brakuje Ci modułów cryptsetup lub lvm na przykład?

Poniżej znajduje się kilka zasobów, które uznaliśmy za interesujące podczas pisania tego poradnika, mogą one zawierać odpowiedzi na twoje problemy :

  • Szyfrowanie całego systemu : podobny poradnik dla ArchLinux;
  • Ręczne szyfrowanie systemu na Ubuntu : kroki użyte w celu chrootowania w systemie plików root.

Zakończenie

W tym samouczku, nauczyłeś się jak możesz zaszyfrować cały system plików root, z folderem „/boot”, używając specyfikacji LUKS.

Dowiedziałeś się również o procesie rozruchu Linuksa i różnych krokach, przez które przechodzi system w celu uruchomienia systemu operacyjnego.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Back to Top