Как зашифровать диск в Linux

Обновлено: 21.11.2024

Формат установки единого ключа Linux на диске (или LUKS) позволяет шифровать разделы на вашем компьютере с Linux. Это особенно важно, когда речь идет о мобильных компьютерах и съемных носителях. LUKS позволяет использовать несколько пользовательских ключей для расшифровки главного ключа, который используется для массового шифрования раздела.

Обзор LUKS

LUKS шифрует целые блочные устройства и поэтому хорошо подходит для защиты содержимого мобильных устройств, таких как съемные носители данных или диски ноутбуков.

Основное содержимое зашифрованного блочного устройства может быть произвольным. Это делает его полезным для шифрования устройств подкачки. Это также может быть полезно для некоторых баз данных, в которых для хранения данных используются специально отформатированные блочные устройства.

LUKS не подходит для сценариев, требующих, чтобы у многих (более восьми) пользователей были разные ключи доступа к одному и тому же устройству.

Важно

Решения для шифрования дисков, такие как LUKS, защищают данные только тогда, когда ваша система выключена. Когда система включена и LUKS расшифровывает диск, файлы на этом диске становятся доступными для всех, кто обычно имеет к ним доступ.

4.9.1.1. Реализация LUKS в Red Hat Enterprise Linux

Red Hat Enterprise Linux 7 использует LUKS для шифрования файловой системы. По умолчанию опция шифрования файловой системы не отмечена во время установки. Если вы выберете вариант шифрования жесткого диска, вам будет предложено ввести парольную фразу, которая будет запрашиваться при каждой загрузке компьютера. Эта парольная фраза «разблокирует» ключ массового шифрования, который используется для расшифровки вашего раздела. Если вы решите изменить таблицу разделов по умолчанию, вы можете выбрать, какие разделы вы хотите зашифровать. Это задается в настройках таблицы разделов.

4.9.1.2. Ручное шифрование каталогов

Предупреждение

Выполнение этой процедуры приведет к удалению всех данных из шифруемого раздела. Вы ПОТЕРЯЕТЕ всю свою информацию! Перед началом этой процедуры обязательно сделайте резервную копию данных во внешнем источнике!

Эта команда выполняется со скоростью последовательной записи вашего устройства и может занять некоторое время. Это важный шаг, чтобы убедиться, что на используемом устройстве не осталось незашифрованных данных, а также скрыть те части устройства, которые содержат зашифрованные данные, а не просто случайные данные.

4.9.1.3. Добавить новую парольную фразу на существующее устройство

После запроса любого из существующих паролей для аутентификации вам будет предложено ввести новый пароль.

4.9.1.4. Удаление парольной фразы с существующего устройства

Вам будет предложено ввести парольную фразу, которую вы хотите удалить, а затем ввести любую из оставшихся парольных фраз для аутентификации.

4.9.1.5. Создание зашифрованных блочных устройств в Anaconda

Вы можете создавать зашифрованные устройства во время установки системы. Это позволяет легко настроить систему с зашифрованными разделами.

Чтобы включить шифрование блочного устройства, установите флажок «Шифровать систему» ​​при выборе автоматического создания разделов или флажок «Шифровать» при создании отдельного раздела, программного RAID-массива или логического тома. После того, как вы закончите разбиение, вам будет предложено ввести парольную фразу для шифрования. Эта парольная фраза потребуется для доступа к зашифрованным устройствам. Если у вас уже есть устройства LUKS и вы указали для них правильные парольные фразы ранее в процессе установки, диалоговое окно ввода парольной фразы также будет содержать флажок. Установка этого флажка означает, что вы хотите, чтобы новая парольная фраза была добавлена ​​в доступный слот на каждом из ранее существовавших зашифрованных блочных устройств.

Примечание

Установка флажка «Шифровать систему» ​​на экране «Автоматическое разбиение на разделы», а затем выбор «Создать пользовательский макет» не приводит к автоматическому шифрованию блочных устройств.

Примечание

4.9.1.6. Дополнительные ресурсы

Для получения дополнительной информации о LUKS или шифровании жестких дисков в Red Hat Enterprise Linux 7 перейдите по одной из следующих ссылок:

4.9.2. Создание ключей GPG

GPG используется для вашей идентификации и проверки подлинности вашего общения, в том числе с людьми, которых вы не знаете. GPG позволяет любому, кто читает электронное письмо, подписанное GPG, проверить его подлинность. Другими словами, GPG позволяет кому-либо быть достаточно уверенным в том, что сообщения, подписанные вами, действительно исходят от вас. GPG полезен тем, что помогает предотвратить изменение кода третьими лицами или перехват разговоров и изменение сообщения.

4.9.2.1. Создание ключей GPG в GNOME

Чтобы создать ключ, в меню Приложения → Аксессуары выберите Пароли и ключи шифрования , после чего запустится приложение Seahorse .

Предупреждение

Чтобы найти свой идентификатор ключа GPG, посмотрите в столбце идентификатора ключа рядом с только что созданным ключом. В большинстве случаев, если вас попросят ввести идентификатор ключа, добавьте 0x к идентификатору ключа, например 0x6789ABCD.Вы должны сделать резервную копию своего закрытого ключа и хранить ее в надежном месте.

4.9.2.2. Создание ключей GPG в KDE

Запустите программу KGpg из главного меню, выбрав Приложения → Утилиты → Инструмент шифрования. Если вы никогда раньше не использовали KGpg, программа проведет вас через процесс создания собственной пары ключей GPG.

Появится диалоговое окно с предложением создать новую пару ключей. Введите свое имя, адрес электронной почты и необязательный комментарий. Вы также можете выбрать срок действия ключа, а также надежность ключа (количество битов) и алгоритмы.

Введите кодовую фразу в следующем диалоговом окне. В этот момент ваш ключ появится в главном окне KGpg.

Предупреждение

Чтобы найти свой идентификатор ключа GPG, посмотрите в столбце идентификатора ключа рядом с только что созданным ключом. В большинстве случаев, если вас попросят ввести идентификатор ключа, добавьте 0x к идентификатору ключа, например 0x6789ABCD. Вы должны сделать резервную копию своего закрытого ключа и хранить ее в надежном месте.

4.9.2.3. Создание ключей GPG с помощью командной строки

Эта команда создает пару ключей, состоящую из открытого и закрытого ключа. Другие люди используют ваш открытый ключ для проверки подлинности и расшифровки ваших сообщений. Распространяйте свой открытый ключ как можно шире, особенно среди людей, которые, как вы знаете, захотят получать от вас достоверные сообщения, например список рассылки.

Серия подсказок проведет вас через весь процесс. Нажмите клавишу Enter, чтобы при желании назначить значение по умолчанию. В первом запросе вас попросят выбрать тип ключа, который вы предпочитаете:

Почти во всех случаях правильным выбором является значение по умолчанию. Ключ RSA/RSA позволяет не только подписывать сообщения, но и шифровать файлы.

Опять же, значение по умолчанию, 2048, достаточно почти для всех пользователей и представляет чрезвычайно высокий уровень безопасности.

Выберите, когда истечет срок действия ключа. Рекомендуется выбрать дату истечения срока действия вместо использования значения по умолчанию, которое равно none . Если, например, адрес электронной почты в ключе станет недействительным, дата истечения срока действия напомнит другим о прекращении использования этого открытого ключа.

Например, ввод значения 1y делает ключ действительным в течение одного года. (Вы можете изменить эту дату истечения срока действия после создания ключа, если передумаете.)

Введите свое имя и адрес электронной почты для ключа GPG. Помните, что этот процесс заключается в аутентификации вас как реального человека. По этой причине укажите свое настоящее имя. Если вы выберете поддельный адрес электронной почты, другим будет сложнее найти ваш открытый ключ. Это затрудняет аутентификацию ваших сообщений. Если вы используете этот ключ GPG для представления себя в списке рассылки, например, введите адрес электронной почты, который вы используете в этом списке.

Используйте поле комментария, чтобы указать псевдонимы или другую информацию. (Некоторые люди используют разные ключи для разных целей и обозначают каждый ключ комментарием, например «Офис» или «Проекты с открытым исходным кодом».)

В ответ на запрос подтверждения введите букву O, чтобы продолжить, если все введено правильно, или используйте другие параметры для устранения проблем. Наконец, введите парольную фразу для вашего секретного ключа. Программа gpg2 попросит вас дважды ввести кодовую фразу, чтобы убедиться, что вы не сделали ошибок при вводе.

Наконец, gpg2 генерирует случайные данные, чтобы сделать ваш ключ максимально уникальным. На этом этапе перемещайте мышь, набирайте случайные клавиши или выполняйте другие задачи в системе, чтобы ускорить процесс. После завершения этого шага ваши ключи готовы и готовы к использованию:

Отпечаток ключа — это сокращенная «подпись» вашего ключа. Это позволяет вам подтвердить другим, что они получили ваш фактический открытый ключ без какого-либо вмешательства. Вам не нужно записывать этот отпечаток пальца. Чтобы отобразить отпечаток пальца в любое время, используйте эту команду, подставив свой адрес электронной почты:

Ваш «Идентификатор ключа GPG» состоит из 8 шестнадцатеричных цифр, идентифицирующих открытый ключ. В приведенном выше примере идентификатор ключа GPG — 1B2AFA1C. В большинстве случаев, если вас попросят ввести идентификатор ключа, добавьте 0x к идентификатору ключа, например 0x6789ABCD .

Предупреждение

Если вы забудете кодовую фразу, ключ нельзя будет использовать, и все данные, зашифрованные с помощью этого ключа, будут потеряны.

В Linux существует множество способов шифрования. В этом посте я покажу вам метод шифрования, который я использую чаще всего. Вероятно, это самый простой способ зашифровать ваши данные в Linux. Это инструмент командной строки, но в нем нет ничего экстраординарного.

Зашифруйте жесткий диск в Linux с помощью LUKS

Обычно я использую шифрование LUKS и dm-crypt

Установите необходимые программы

Во-первых, вам необходимо установить пакет cryptsetup:

Определите имя раздела

Затем убедитесь, что в разделе, который вы собираетесь зашифровать, нет важных данных, поскольку они будут перезаписаны в процессе шифрования.

Если ваш жесткий диск новый, вам может потребоваться создать новую таблицу разделов.Если вы хотите зашифровать только часть вашего жесткого диска, вам также необходимо переразбить жесткий диск на два раздела: один будет зашифрован, а другой нет. Для этого вы можете использовать Gparted.

Отдельно

Вы также можете узнать имя своего раздела с помощью команды lsblk и найти нужный раздел по его размеру.

Выполнение команды lsblk для отображения всех разделов на жестком диске

Зашифровать этот раздел

Когда раздел, который вы хотите зашифровать, готов и все данные скопированы на другой жесткий диск, выполните следующую команду:

Где /dev/sdb1 — это раздел, который вы хотите зашифровать. Затем подтвердите, что вы согласны перезаписать все данные в этом разделе.

Шифрование раздела

Далее вам будет предложено ввести кодовую фразу. Когда вы наберете его, вы ничего не увидите. Это нормально и связано с соображениями безопасности. Этот пароль понадобится вам для расшифровки раздела. Обязательно запомните его.

Далее откройте зашифрованный раздел. Здесь вам нужно будет ввести парольную фразу.

После открытия раздела зашифрованный раздел сопоставляется с /dev/mapper/sdb1 .

Сопоставленный раздел

Затем создайте на нем новую файловую систему:

Я также предлагаю избавиться от зарезервированного места. Файловая система EXT4 по умолчанию резервирует некоторое пространство, но оно вам не понадобится, если вы не запускаете свою систему на этом разделе. Таким образом, вы также получите больше места на диске:

Получить больше места на разделе

Теперь ваш раздел зашифрован и готов к использованию.

Проверить зашифрованный раздел

Смонтируйте его где-нибудь в вашей системе. /mnt — наиболее распространенное место для монтирования разделов.

Давайте создадим зашифрованную в нем папку.

И выполните монтирование:

Теперь вы можете начать размещать в нем свои файлы. Однако вы сможете сделать это только с помощью sudo, поскольку обычные пользователи не имеют доступа к этой папке.

Давайте изменим владельца этой зашифрованной папки, чтобы предоставить доступ обычным пользователям:

Теперь проверьте это, создав файл от имени обычного пользователя без sudo .

Вы также можете создавать и просматривать зашифрованные файлы в файловом менеджере:

Использование файлового менеджера для отображения зашифрованного раздела

После завершения работы с зашифрованным разделом размонтируйте его.

Напомню, что имя моего зашифрованного раздела sdb1 , в вашем случае оно может быть другим.

Затем закройте сопоставленное устройство.

Наконец, можно безопасно отключить жесткий диск от системы.

Как использовать зашифрованный хард

В следующий раз, когда вы захотите использовать зашифрованный диск. Вам необходимо подключить жесткий диск к системе и проверить его имя.

В моем случае это sdb1.

Затем откройте зашифрованный раздел с помощью пароля для расшифровки:

Теперь он доступен по адресу /mnt/encrypted. Как видите, тестовые файлы, которые мы создали ранее, находятся там.

Монтирование зашифрованного раздела

Когда вы закончите работу с этими зашифрованными файлами, размонтируйте раздел:

В некоторых системах Linux, таких как Linux Mint в моем случае, вы также можете смонтировать зашифрованный раздел, дважды щелкнув его в файловом менеджере и введя свою парольную фразу. Таким образом, вы можете избежать проблем с командной строкой.

Некоторые дистрибутивы Linux могут легко открыть зашифрованный раздел

Заключение

Таким образом вы можете зашифровать любой жесткий диск, включая флешки.Если вы зашифруете жесткий диск, который постоянно подключен к вашей системе, вы также можете настроить его автоматически при загрузке вашей системы.

Для следующего чтения я рекомендую вам мой пост о корневых папках Linux.

Итак, вы используете зашифрованный раздел? Какой метод вы используете для шифрования? Дайте мне знать ниже.

Пожалуйста, поддержите этот проект:

Average Linux UserFollow Я являюсь основателем проекта Average Linux User, это хобби, над которым я работаю по ночам. Днем я ученый, который использует компьютеры для анализа генетических данных.

В этом руководстве показано, как шифровать жесткие диски и разделы с помощью Cryptosetup с помощью LUKS, а также как шифровать и расшифровывать простые файлы с помощью GPG и EncFS. Все используемые инструменты включены в стандартную установку Debian по умолчанию.

Шифрование жестких дисков или разделов с помощью Cryptosetup и LUKS:

В этом разделе показано, как шифровать и расшифровывать подключенные жесткие диски.
Дисковой шифр LUKS (Linux Unified Key Setup), первоначально разработанный для Linux. Это повышает совместимость и упрощает работу и аутентификацию.

Для начала вам необходимо отформатировать жесткий диск или раздел, включив зашифрованный режим, запустив cryptsetup luksFormat, а затем устройство для шифрования, как в примере ниже:

В ответ на запрос введите «YES» (заглавными буквами или в верхнем регистре и нажмите ENTER).

Заполните и подтвердите парольную фразу, это будет пароль для доступа к вашему устройству, не забудьте эту парольную фразу. Учтите, что информация на диске будет удалена после этого процесса, делайте это на пустом устройстве. Как только вы установите парольную фразу, процесс завершится.

Следующий шаг состоит в создании логического преобразователя, к которому подключается зашифрованное устройство или раздел. В данном случае я назвал сопоставитель устройств decrypted.

Теперь вам нужно отформатировать раздел с помощью mkfs, вы можете выбрать нужный тип раздела, поскольку LUKS поддерживает Linux, я буду использовать файловую систему Linux, а не Windows. Этот метод шифрования не самый лучший, если вам нужно поделиться информацией с пользователями Windows (если только у них нет такого программного обеспечения, как LibreCrypt).

Чтобы продолжить форматирование при запуске файловой системы Linux:

Создайте каталог, который будет полезен в качестве точки подключения для зашифрованного устройства, с помощью команды mkdir, как в примере ниже:

Смонтируйте зашифрованное устройство, используя преобразователь в качестве источника и созданный каталог в качестве точки монтирования, следуя приведенному ниже примеру:

Вы сможете увидеть содержимое:

Если вы отключите диск или смените пользователя, вам будет предложено установить пароль для доступа к устройству. Следующий запрос пароля предназначен для Xfce:

Шифрование файла с помощью GnuPG:

Для начала я создал фиктивный файл с именем linuxhintencrypted, который я буду шифровать с помощью команды gpg с флагом -c, как в примере ниже:

В зависимости от вашего менеджера X-window графическое диалоговое окно запроса пароля может отображать запрос, как описано в два шага ниже. В противном случае введите кодовую фразу при необходимости на терминале:

В зависимости от вашего менеджера X-window графическое диалоговое окно запроса пароля может отображать запрос, как описано в два шага ниже. В противном случае введите кодовую фразу при необходимости на терминале:

Подтвердите кодовую фразу:

Возможно, сразу после шифрования файла откроется диалоговое окно с запросом парольной фразы для зашифрованного файла, введите пароль и еще раз для подтверждения, как показано на изображениях ниже:

Подтвердите кодовую фразу, чтобы завершить процесс.

После завершения вы можете запустить ls, чтобы подтвердить создание нового файла с именем .gpg (в данном случае linuxhintencrypted.gpg).

Расшифровка gpg-файла:

Чтобы расшифровать файл gpg, используйте флаг –decrypt, за которым следует файл и указание на расшифрованный вывод:

Шифрование каталогов с помощью ENCFS:

Я добавил EncFS в качестве бонуса. EncFS — это просто еще один метод, показанный в этом руководстве, но он не самый лучший, поскольку сам инструмент предупреждает об этом во время процесса установки из-за соображений безопасности, у него есть другой способ использования.

Для работы с EncFS вам необходимо создать два каталога: исходный каталог и целевой, который является точкой монтирования, в которой будут находиться все расшифрованные файлы, исходный каталог содержит зашифрованные файлы. Если вы поместите файлы в каталог точки монтирования, они будут зашифрованы в исходном расположении..

Чтобы начать с ENCFS, установите его, запустив:

Во время установки предупреждение сообщит вам, что EncFS уязвима, например, для понижения сложности шифрования. Тем не менее, мы продолжим установку, нажав OK.

После предупреждения установка должна завершиться:

Теперь давайте создадим два каталога в /media, в моем случае я создам каталоги en и de:

Как видите, каталоги созданы внутри, теперь давайте настроим, позволив EncFS автоматически настроить источник и точку монтирования:

При необходимости введите и подтвердите свой пароль, запомните установленный пароль, не забывайте его:

При необходимости введите и подтвердите свой пароль, запомните установленный пароль, не забывайте его:

После завершения процесса установки проверьте его, создайте файл в папке /media/de

Поместите любой контент, который вы хотите:

Теперь, как вы видите, в каталоге /media/en вы увидите новый файл, зашифрованную версию файла test1, созданного ранее.

Исходный незашифрованный файл находится в /media/de, вы можете подтвердить это, запустив ls.

Если вы хотите размонтировать каталог расшифрованных файлов, используйте команду fusermount, за которой следует флаг -u и цель:

Теперь файлы недоступны.

Чтобы снова смонтировать зашифрованные файлы, выполните:

Заключение

Шифровать диски, файлы и каталоги довольно просто, и оно того стоит, за считанные минуты вы увидели 3 разных метода его выполнения. Люди, управляющие конфиденциальной информацией или беспокоящиеся о своей конфиденциальности, могут защитить свою информацию без дополнительных знаний в области ИТ-безопасности, выполнив несколько шагов. Пользователи криптовалюты, общественные деятели, люди, управляющие конфиденциальной информацией, путешественники и другая подобная общественность могут получить от этого особую выгоду.

Вероятно, из всех показанных выше методов GPG является лучшим с более высокой совместимостью, а EncFS остается худшим вариантом из-за значения предупреждения об установке. Все инструменты, упомянутые в этом руководстве, имеют дополнительные параметры и флаги, которые не были изучены, чтобы вместо этого отображать различные инструменты.

Надеюсь, этот учебник по шифрованию жесткого диска или разделов был вам полезен.

Об авторе

Дэвид Адамс

Дэвид Адамс — системный администратор и писатель, специализирующийся на технологиях с открытым исходным кодом, программном обеспечении для обеспечения безопасности и компьютерных системах.

Безопасность устройств — одна из основных проблем, с которыми сталкиваются специалисты по безопасности, разработчики и другие ИТ-специалисты в связи с растущим числом киберугроз. Преступные хакеры становятся все более изощренными в своих векторах атак и постоянно изобретают новые способы обхода даже самых защищенных систем.Хотя некоторые могут утверждать, что Linux — самая безопасная и стабильная операционная система, она все же может стать жертвой тех же неправильных конфигураций и пользовательских ошибок, которые преследуют пользователей устройств Mac и Windows.

Ни одно устройство не является надежным, и, как и многое другое в вашей среде, ваша система Linux так же надежна, как и ее самое слабое место. Конфигураций по умолчанию, выбранных во время первой установки, недостаточно для защиты вашего устройства, а незащищенные системы Linux и использование устаревшего программного обеспечения могут значительно увеличить шансы взлома. В наихудшем сценарии вы можете обнаружить, что ваш жесткий диск полностью стерт, а важные файлы недоступны и, возможно, украдены без каких-либо улик. Исходный код, хранящийся на ноутбуке с Linux, может стать жертвой злоумышленников, или, возможно, на ноутбуке в локальном файле или базе данных хранится PII; независимо от индивидуального варианта использования обеспечение безопасности ваших данных имеет решающее значение.

Существуют различные меры, которые можно предпринять для защиты устройств Linux от возможных взломов. Один из них включает полное шифрование диска на своем диске.

Что такое (полное) шифрование диска?

Шифрование — это процесс преобразования простых текстовых данных в зашифрованный текст, который представляет собой нечитаемый формат, с использованием специального математического алгоритма. Единственными сторонами, которые могут получить доступ к зашифрованным данным, являются те, у кого есть указанный ключ дешифрования или пароль (который действует как ключ).

Концепция шифрования жесткого диска или просто шифрования диска основана на том же принципе. Для шифрования одного раздела диска, нескольких разделов или всего физического диска используется специальный алгоритм. Диск нельзя разблокировать или получить к нему доступ без пароля или секретного ключа, который использовался для шифрования.

Полное шифрование диска (FDE) гарантирует конфиденциальность данных, предотвращая несанкционированный доступ к вашему жесткому диску со стороны хакеров и других злоумышленников, когда он находится в состоянии покоя. Поскольку сотрудники продолжают работать из дома, либо постоянно, либо в гибридном сценарии рабочего места, это становится важной конфигурацией безопасности в случае потери или кражи устройства сотрудника или когда кто-то может попытаться получить доступ к устройству с помощью загрузочного живого носителя.

Шифрование диска в Ubuntu 20.04 с использованием LUKS

LUKS, сокращение от Linux Unified Key Setup, представляет собой стандартную технологию шифрования жестких дисков для основных систем Linux, включая Ubuntu. Он используется для шифрования целых блочных устройств и поэтому идеально подходит для шифрования жестких дисков, твердотельных накопителей и даже съемных накопителей.

Это бесплатно, поддерживает управление несколькими ключами и паролями и защищает все данные, хранящиеся на жестком диске, от несанкционированного доступа.

LUKS обеспечивает независимый от платформы стандарт шифрования, который не только гарантирует совместимость между различными дистрибутивами Linux, но и гарантирует, что они реализуют управление паролями хорошо задокументированным и безопасным способом.

При использовании LUKS шифрование диска включается во время установки операционной системы или после нее. Обратите внимание, что полное шифрование диска достигается только во время установки операционной системы Ubuntu Desktop. Он шифрует все разделы, включая область подкачки, системные разделы и каждый бит данных, хранящихся на блочном томе.

К счастью, в Ubuntu 20.04 есть опция, позволяющая полностью зашифровать ваш жесткий диск или твердотельный накопитель в процессе установки, как это описано в этом руководстве.

Как полностью зашифровать данные в Ubuntu 20.04

Как упоминалось ранее, вы можете полностью зашифровать свой жесткий диск или твердотельный накопитель только в процессе установки. Поэтому, если у вас уже есть запущенный экземпляр Ubuntu и вы хотите полностью его зашифровать, вам потребуется переустановить Ubuntu; в противном случае вам нужно будет шифровать раздел за разделом. Каждый раз, когда вы планируете переустановить ОС, заранее создайте резервную копию всех файлов в безопасном месте.

Несколько замечаний о шифровании диска LUKS в Ubuntu 20.04:

  1. Этот метод шифрования не применяется при двойной загрузке Windows 10. Шифрование LUKS удалит все данные из раздела, поэтому мы используем шифрование при новой установке, что является предпочтительным методом.
    1. Если вы выберете разбиение вручную, вы не сможете зашифровать каждый раздел диска.

    Начало работы

    После того как вы подключили загрузочный носитель и прошли предварительные этапы установки, включая выбор языка установки, раскладки клавиатуры и устанавливаемых обновлений программного обеспечения, вам потребуется выбрать режим установки. Будут представлены два варианта: «Стереть диск и установить Ubuntu», который стирает все существующие данные и автоматически разбивает диск на разделы, и «Что-то еще», который используется, когда вы хотите вручную настроить разделы диска самостоятельно.

    Итак, выберите параметр «Стереть диск и установите Ubuntu» и нажмите кнопку «Дополнительные функции», как указано.

    Выберите LVM с новой установкой

    На следующем шаге обязательно выберите «Использовать LVM с новой установкой Ubuntu» и установите флажок «Шифрование» ниже (Зашифровать новую установку Ubuntu для обеспечения безопасности), чтобы защитить свою систему с помощью шифрования LUKS.

    Затем нажмите "ОК", чтобы сохранить изменения

    При этом вам будет предложено ввести ключ безопасности или, проще говоря, пароль. Выберите надежный пароль, чтобы не стать мишенью для атак по словарю или грубой силы. Это пароль, который будет использоваться для расшифровки системы сразу после перезагрузки системы.

    Внимательно запишите пароль и не забывайте его, иначе у вас не будет доступа к вашей системе Linux. Менеджер паролей или другая программа, которая надежно сохраняет важные данные, — отличное место для их хранения.

    Введите электронный ключ

    Затем, наконец, нажмите кнопку «Установить сейчас», чтобы продолжить установку.

    В появившемся всплывающем окне нажмите «Продолжить», чтобы сохранить изменения.

    С этого момента установка будет проходить в обычном режиме с настройкой часового пояса, созданием новой учетной записи пользователя и установкой всех файлов и программных пакетов.

    Завершить процесс установки

    По завершении установки нажмите кнопку «Перезагрузить сейчас», чтобы перезагрузить систему. Обязательно удалите установочный носитель и нажмите ENTER.

    На данный момент Диск полностью зашифрован. При загрузке вам будет предложено ввести ключ дешифрования, который является паролем, который вы указали ранее.

    Введите пароль или кодовую фразу и нажмите ENTER.

    Вы получите результат, аналогичный нашему.

    Если указан неверный пароль, вы увидите сообщение об ошибке, как показано на рисунке.

    Заключение

    Это пошаговое руководство по полному шифрованию Ubuntu 20.04. Это удобный способ защитить ваши данные и сохранить их конфиденциальность. Однако это всего лишь один из способов защиты от злоумышленников, а не бесплатный билет для снижения бдительности при реализации других мер безопасности. При этом полное шифрование диска защищает ваш диск от физического доступа и защищает ваши данные и доступ к приложениям и системам от злоумышленников, если вы потеряете свое устройство (случайно или в результате кражи).

    С помощью JumpCloud Directory Platform вы можете легко внедрить полное шифрование диска для всего парка. Благодаря возможностям удаленного управления устройствами устройства Windows и macOS могут обеспечить полное шифрование диска с помощью стандартных готовых политик, в то время как устройства Linux можно управлять и отслеживать состояние шифрования. Чтобы увидеть, как это работает, а также ряд других функций безопасности и управления устройством, зарегистрируйте бесплатную учетную запись сегодня. JumpCloud можно использовать бесплатно для 10 пользователей и 10 устройств; мы также предоставляем круглосуточную поддержку в приложении в течение первых 10 дней использования.

    Читайте также: