Шифрование диска Ubuntu при установке

Обновлено: 21.11.2024

Это не тестировалось ни на какой другой версии. Поэтому используйте это в любой другой версии на свой страх и риск!

Особое примечание для версии 20.04: работает только при использовании LUKS 1. Не работает с LUKS 2. Не знаю почему.

Если вы хотите, чтобы Canonical реализовала полное шифрование, ознакомьтесь с четырьмя запросами об ошибках (ниже) и проголосуйте.

1.1.2. Опытные пользователи: переход с незашифрованной установки на зашифрованную.

Спасибо Jernej Jakob, создавшему инструкции по преобразованию незашифрованной установки. Инструкции предназначены для PureOS, но Джерней говорит, что это также работает и в Ubuntu.

1.1.3. Опытные пользователи: установка с нуля другим — возможно, лучшим — методом.

Я не проверял следующее, но другие сообщили об успешном выполнении.

Версия 18.04 (устарела)

Также посмотрите инструкции для Debian, они могут помочь.

Версия 20.04

Есть общее объяснение и инструкции, которые не предназначены для Ubuntu, но полезны для понимания концепций.

Тогда ознакомьтесь с инструкциями по установке Ubuntu 20.04 на BTRFS и Timeshift. Это позволяет делать моментальные снимки, что особенно полезно, если вы часто возитесь со своей системой и ломаете что-то!

Версия 20.10 и выше

  1. Установите последнюю версию Ubuntu LTS.
  2. Используйте LTS, а не версии без LTS, если вы не хотите тестировать бета-версии.
  3. При установке обязательно выберите полное шифрование диска. Canonical поддерживает этот метод.
  • Двойная загрузка не требуется; вы можете запускать несколько операционных систем одновременно, в зависимости от аппаратного обеспечения вашего компьютера.
  • Весь ваш диск и, соответственно, все ваши виртуальные машины (включая Windows) будут полностью зашифрованы.
  • Для этого не нужно быть опытным пользователем.
  • Если вы интенсивно используете Windows, например. для редактирования больших видеофайлов вам, вероятно, потребуется не менее 32 ГБ ОЗУ.
  • Я понятия не имею, сработает ли эта стратегия на компьютерах Apple.

1.2. Важные примечания — сначала прочтите!

Это сложная тема, и из-за ее сложности она не рекомендуется новичкам в Ubuntu или Linux. Тем не менее, я сделал все возможное, чтобы сделать это доступным для начинающих, поэтому, если вы новичок, вы можете попробовать. Пока вы читаете и понимаете предысторию и обзор, а также внимательно следуете инструкциям, это «должно» быть безопасным.

Это не поддерживается Canonical (создателем Ubuntu), а автор — просто какой-то парень, поэтому я не могу гарантировать, что этот процесс сработает для вас. Пожалуйста, создайте резервную копию своих данных перед началом, потому что, как и при любой установке, существует вероятность катастрофической потери данных.

Из-за ошибки (см. раздел «Исправить безопасную загрузку» в разделе «Запросы об ошибках» ниже) вам, возможно, придется отключить безопасную загрузку в BIOS перед установкой. В противном случае вы можете обнаружить, что не можете загрузиться, и поэтому вам придется повторить установку. Посетите страницу с ошибкой и поддержите ее.

Некоторые люди обнаруживают, что их компьютер зависает на черном экране после перезагрузки. Если вы застряли на черном экране, ознакомьтесь с Руководством по устранению неполадок или убедитесь, что вы не забыли отключить безопасную загрузку.

Продвинутые пользователи: Вы можете найти полезную информацию в Руководстве по установке Arch Linux Full-Disk Encryption.

Продвинутые пользователи NVMe: эта тема от krisztian_andre с измененным сценарием может оказаться полезной: полное шифрование системы + незагрузочный диск NVMe + загрузочный USB-накопитель

Использование BTRFS: вы можете найти важную информацию в Ubuntu Full System Encryption with BTRFS.

1.3. Запросы об ошибках

1.4. Сообщение об ошибках в документации или ее процессе.

Если вы обнаружите ошибки в этой документации или ее процессе, сообщите об ошибках в ветке форума Ubuntu для этой темы.

Если это работает для вас, сообщите нам в той же теме, какой вариант и версию вы использовали. Я хотел бы знать!

  • ЛУКС
  • ЛВМ
  • зашифрованная загрузка
  • разбиение вручную
  • двойная загрузка (например, с Windows)
  • зашифрованный спящий режим
  • гибридная приостановка
  • многодисковая установка

2.1. Дополнительные функции

Следующие расширенные функции возможны, но не рассматриваются в этом процессе. Снимок Сделайте снимок вашей системы Ubuntu, например. прежде чем выполнять рискованное обновление, и при необходимости легко откатиться назад.

Требуется хорошее знание LVM, и настоятельно рекомендуется иметь отдельный раздел для /home. Загрузитесь с внешнего USB

Поместите две небольшие незашифрованные части загрузочной системы — загрузчик и ESP (системный раздел EFI) — на USB-накопитель, чтобы компьютер нельзя было запустить без USB-накопителя.На компьютере не остается ничего незашифрованного, за исключением того, что встроено в аппаратное обеспечение и любую существующую систему, например Windows.

Также см. решение C.S.Cameron для BIOS и USB. Компьютер без UEFI Этот процесс работает только на 64-разрядных компьютерах с UEFI.

Однако компания C.S.Cameron любезно нашла решение для BIOS.

Если вы не знаете, использует ли ваш компьютер UEFI, см. Основы EFI. Включая другие системы, такие как Windows

Должна быть возможность зашифровать абсолютно все, включая Windows. Это потребует установки Windows или любой другой системы после выполнения этих инструкций (поэтому встроенная установка Windows не может быть включена). У меня нет ни оборудования, ни времени, чтобы проверить это, поэтому, если вы попробуете, будьте очень осторожны, чтобы не потерять данные. Вам нужно быть опытным пользователем, полностью понимающим концепции LUKS и LVM.

Кроме того, вы можете запустить Windows на виртуальной машине внутри Ubuntu. Самые популярные (но не единственные) инструменты для этого — VirtualBox и VMWare. Ваш компьютер должен быть достаточно мощным для запуска Windows внутри Ubuntu, иначе это значительно замедлит его работу.

Эти инструкции рассчитаны на минимальное количество предварительных знаний о Linux. Опытные пользователи быстро изучат их и сочтут некоторые инструкции совершенно очевидными, а новичкам нужно будет внимательно прочитать различные разделы.

Шифрование можно улучшить, что может быть полезно, если вы имеете дело с огромными объемами конфиденциальных данных клиентов; государственные секреты или шпионаж; конфиденциальные коммерческие исследования; или теории заговора и инопланетяне.

При необходимости в инструкциях будут сделаны примечания. Однако, если подумать, вы подвергаетесь более высокому риску социальной инженерии и онлайн-взлома.

Ниже приведено довольно много примечаний, но, поскольку вам важно знать возможные потенциальные проблемы, прочтите их все.

В этом простом руководстве для начинающих показано, как зашифровать всю файловую систему при установке Ubuntu.

Как вы, возможно, знаете, Ubuntu Linux легко взломать физически. Хотя пользователи могут добавить защиту паролем в меню загрузки Grub, файловая система по-прежнему доступна через действующую систему, например, через загрузочный установщик USB.

Чтобы в конечном счете предотвратить физический взлом Ubuntu, лучше всего добавить защиту паролем на весь системный диск. И вы можете сделать это во время установки Ubuntu.

1.) Во-первых, это руководство не является полным руководством по установке Ubuntu. Если вы еще не начали, ознакомьтесь с пошаговым руководством по установке.

2.) Если вы собираетесь установить Ubuntu как ЕДИНСТВЕННУЮ операционную систему на жестком диске, просто выберите «Стереть диск и установить Ubuntu», re на странице типа установки.

Затем нажмите «Дополнительные функции», чтобы выбрать LVM или ZFS, и включите «Зашифровать новую установку Ubuntu в целях безопасности».

3.) Обычно я выбираю «Что-то еще», чтобы вручную создать разделы для файловой системы Ubuntu.

В отличие от Fedora и Manjaro, в Ubuntu нет флажка «Зашифровать» при создании раздела EXT4. Вместо этого вам нужно создать раздел, который будет использоваться как «физический том для шифрования».

a.) Просто выберите свободное место и щелкните значок «+» в таблице разделов. Во всплывающем диалоговом окне Создать раздел выполните:

  • Установите размер файловой системы Ubuntu. 20 Гб минимум. Для длительного использования, как можно большего размера.
  • Выберите использование в качестве «физического тома для шифрования».
  • Установите пароль и подтвердите его, а затем нажмите "ОК".

b.) После нажатия кнопки «ОК» подождите несколько секунд. Будет создано новое устройство «/dev/mapper/sdaX_crypt» с файловой системой EXT4.

Выделите его и нажмите кнопку «Изменить». Во всплывающем диалоговом окне установите точку монтирования как /.

c.) То же, что и в Fedora, вы должны создать отдельный раздел /boot, так как он не может быть зашифрован.

Для этого выберите свободное место и нажмите «+», чтобы создать:

  • 500 МБ должно хватить. 1 ГБ будет лучше.
  • использовать в качестве «файловой системы журналирования Ext4»
  • точка монтирования /boot

d.) Также создайте «Системный раздел EFI» размером 250 МБ для загрузочной машины с UEFI или «Зарезервированную загрузочную область BIOS» размером 2 МБ для старой загрузочной машины с BIOS. Для небольшого объема оперативной памяти также рекомендуется использовать область подкачки.

В итоге таблица разделов будет выглядеть так:

Наконец нажмите кнопку «Установить сейчас». И подтвердите во всплывающем диалоговом окне.

После того, как вы успешно установили Ubuntu, перезагрузите компьютер, и при загрузке Ubuntu вы увидите запрос пароля (см. верхнее изображение). Кроме того, для доступа к файловой системе из любой другой ОС требуется установленный вами пароль.

Безопасность устройств — одна из основных проблем, с которыми сталкиваются специалисты по безопасности, разработчики и другие ИТ-специалисты в связи с растущим числом киберугроз. Преступные хакеры становятся все более изощренными в своих векторах атак и постоянно изобретают новые способы обхода даже самых защищенных систем. Хотя некоторые могут утверждать, что Linux — самая безопасная и стабильная операционная система, она все же может стать жертвой тех же неправильных конфигураций и пользовательских ошибок, которые преследуют пользователей устройств Mac и Windows.

Ни одно устройство не является надежным, и, как и многое другое в вашей среде, ваша система Linux так же надежна, как и ее самое слабое место. Конфигураций по умолчанию, выбранных во время первой установки, недостаточно для защиты вашего устройства, а незащищенные системы Linux и использование устаревшего программного обеспечения могут значительно увеличить шансы взлома. В наихудшем сценарии вы можете обнаружить, что ваш жесткий диск полностью стерт, а важные файлы недоступны и, возможно, украдены без каких-либо улик. Исходный код, хранящийся на ноутбуке с Linux, может стать жертвой злоумышленников, или, возможно, на ноутбуке в локальном файле или базе данных хранится PII; независимо от индивидуального варианта использования обеспечение безопасности ваших данных имеет решающее значение.

Существуют различные меры, которые можно предпринять для защиты устройств Linux от возможных взломов. Один из них включает полное шифрование диска на своем диске.

Что такое (полное) шифрование диска?

Шифрование — это процесс преобразования простых текстовых данных в зашифрованный текст, который представляет собой нечитаемый формат, с использованием специального математического алгоритма. Единственными сторонами, которые могут получить доступ к зашифрованным данным, являются те, у кого есть указанный ключ дешифрования или пароль (который действует как ключ).

Концепция шифрования жесткого диска или просто шифрования диска основана на том же принципе. Для шифрования одного раздела диска, нескольких разделов или всего физического диска используется специальный алгоритм. Диск нельзя разблокировать или получить к нему доступ без пароля или секретного ключа, который использовался для шифрования.

Полное шифрование диска (FDE) гарантирует конфиденциальность данных, предотвращая несанкционированный доступ к вашему жесткому диску со стороны хакеров и других злоумышленников, когда он находится в состоянии покоя. Поскольку сотрудники продолжают работать из дома, либо постоянно, либо в гибридном сценарии рабочего места, это становится важной конфигурацией безопасности в случае потери или кражи устройства сотрудника или когда кто-то может попытаться получить доступ к устройству с помощью загрузочного живого носителя.

Шифрование диска в Ubuntu 20.04 с использованием LUKS

LUKS, сокращение от Linux Unified Key Setup, представляет собой стандартную технологию шифрования жестких дисков для основных систем Linux, включая Ubuntu. Он используется для шифрования целых блочных устройств и поэтому идеально подходит для шифрования жестких дисков, твердотельных накопителей и даже съемных накопителей.

Это бесплатно, поддерживает управление несколькими ключами и паролями и защищает все данные, хранящиеся на жестком диске, от несанкционированного доступа.

LUKS обеспечивает независимый от платформы стандарт шифрования, который не только гарантирует совместимость между различными дистрибутивами Linux, но и гарантирует, что они реализуют управление паролями хорошо задокументированным и безопасным способом.

При использовании LUKS шифрование диска включается во время установки операционной системы или после нее. Обратите внимание, что полное шифрование диска достигается только во время установки операционной системы Ubuntu Desktop. Он шифрует все разделы, включая область подкачки, системные разделы и каждый бит данных, хранящихся на блочном томе.

К счастью, в Ubuntu 20.04 есть опция, позволяющая полностью зашифровать ваш жесткий диск или твердотельный накопитель в процессе установки, как это описано в этом руководстве.

Как полностью зашифровать данные в Ubuntu 20.04

Как упоминалось ранее, вы можете полностью зашифровать свой жесткий диск или твердотельный накопитель только в процессе установки.Поэтому, если у вас уже есть запущенный экземпляр Ubuntu и вы хотите полностью его зашифровать, вам потребуется переустановить Ubuntu; в противном случае вам нужно будет шифровать раздел за разделом. Каждый раз, когда вы планируете переустановить ОС, заранее создайте резервную копию всех файлов в безопасном месте.

Несколько замечаний о шифровании диска LUKS в Ubuntu 20.04:

  1. Этот метод шифрования не применяется при двойной загрузке Windows 10. Шифрование LUKS удалит все данные из раздела, поэтому мы используем шифрование при новой установке, что является предпочтительным методом.
    1. Если вы выберете разбиение вручную, вы не сможете зашифровать каждый раздел диска.

    Начало работы

    После того как вы подключили загрузочный носитель и прошли предварительные этапы установки, включая выбор языка установки, раскладки клавиатуры и устанавливаемых обновлений программного обеспечения, вам потребуется выбрать режим установки. Будут представлены два варианта: «Стереть диск и установить Ubuntu», который стирает все существующие данные и автоматически разбивает диск на разделы, и «Что-то еще», который используется, когда вы хотите вручную настроить разделы диска самостоятельно.

    Итак, выберите параметр «Стереть диск и установите Ubuntu» и нажмите кнопку «Дополнительные функции», как указано.

    Выберите LVM с новой установкой

    На следующем шаге обязательно выберите «Использовать LVM с новой установкой Ubuntu» и установите флажок «Шифрование» ниже (Зашифровать новую установку Ubuntu для обеспечения безопасности), чтобы защитить свою систему с помощью шифрования LUKS.

    Затем нажмите "ОК", чтобы сохранить изменения

    При этом вам будет предложено ввести ключ безопасности или, проще говоря, пароль. Выберите надежный пароль, чтобы не стать мишенью для атак по словарю или грубой силы. Это пароль, который будет использоваться для расшифровки системы сразу после перезагрузки системы.

    Внимательно запишите пароль и не забывайте его, иначе у вас не будет доступа к вашей системе Linux. Менеджер паролей или другая программа, которая надежно сохраняет важные данные, — отличное место для их хранения.

    Введите электронный ключ

    Затем, наконец, нажмите кнопку «Установить сейчас», чтобы продолжить установку.

    В появившемся всплывающем окне нажмите «Продолжить», чтобы сохранить изменения.

    С этого момента установка будет проходить в обычном режиме с настройкой часового пояса, созданием новой учетной записи пользователя и установкой всех файлов и программных пакетов.

    Завершить процесс установки

    По завершении установки нажмите кнопку «Перезагрузить сейчас», чтобы перезагрузить систему. Обязательно удалите установочный носитель и нажмите ENTER.

    На данный момент Диск полностью зашифрован. При загрузке вам будет предложено ввести ключ дешифрования, который является паролем, который вы указали ранее.

    Введите пароль или кодовую фразу и нажмите ENTER.

    Вы получите результат, аналогичный нашему.

    Если указан неверный пароль, вы увидите сообщение об ошибке, как показано на рисунке.

    Заключение

    Это пошаговое руководство по полному шифрованию Ubuntu 20.04. Это удобный способ защитить ваши данные и сохранить их конфиденциальность. Однако это всего лишь один из способов защиты от злоумышленников, а не бесплатный билет для снижения бдительности при реализации других мер безопасности. При этом полное шифрование диска защищает ваш диск от физического доступа и защищает ваши данные и доступ к приложениям и системам от злоумышленников, если вы потеряете свое устройство (случайно или в результате кражи).

    С помощью JumpCloud Directory Platform вы можете легко внедрить полное шифрование диска для всего парка. Благодаря возможностям удаленного управления устройствами устройства Windows и macOS могут обеспечить полное шифрование диска с помощью стандартных готовых политик, в то время как устройства Linux можно управлять и отслеживать состояние шифрования. Чтобы увидеть, как это работает, а также ряд других функций безопасности и управления устройством, зарегистрируйте бесплатную учетную запись сегодня. JumpCloud можно использовать бесплатно для 10 пользователей и 10 устройств; мы также предоставляем круглосуточную поддержку в приложении в течение первых 10 дней использования.

    Оно сосредоточено на минимальном изменении процесса установки Ubuntu Desktop, чтобы разрешить его установку с зашифрованной /boot/ и корневой файловой системой. Для этого требуется выполнить 36 команд в терминале, все из которых показаны в этом руководстве, и большинство из них можно копировать и вставлять.
    Это также полезный обзор ручных действий, необходимых для шифрования хранилища в состоянии покоя.

    Он предназначен для замены текущей (безнадежно устаревшей и неадекватной) страницы FullDiskEncryptionHowto.

    Почти полное шифрование диска (FDE)

    Я (Tj) намеренно педантичен, называя это почти полным шифрованием диска, поскольку весь диск никогда не шифруется. Зашифрованы раздел операционной системы и файловая система второго уровня загрузчика, которая включает ядро ​​Linux и начальный RAM-диск.

    Однако это намного лучше, чем опция Encrypt Disk установщика Ubuntu, которая поддерживает шифрование только раздела операционной системы, но оставляет файловую систему второго уровня загрузчика незашифрованной и, следовательно, уязвимой для подделки конфигурации GRUB, ядра Linux и т. д. скорее всего, исходная файловая система RAM (initrd.img).

    В обоих случаях файлы загрузчика GRUB первой стадии не шифруются (и не могут) шифроваться или защищаться с помощью криптографических подписей в режиме загрузки BIOS.

    1. Предпосылки
    2. Загрузите программу установки
      1. Режимы загрузки
        1. Выбор режима загрузки UEFI
        2. Обнаружение режима загрузки UEFI
          1. GRUB (режим UEFI)
          2. Syslinux (режим BIOS)
          3. Параметры приветствия
            1. Определить целевое устройство установки
            2. Разметка
            3. Шифрование LUKS
            4. Разблокировка LUKS
            5. Форматировать файловые системы
            6. LVM (управление логическими томами)
              1. Разбиение вручную
              2. Включить зашифрованный GRUB
              1. GRUB (GRand Unified Bootloader)
              2. Сислинукс
              1. ISO-9660 El-Torito (механизм загрузки оптических носителей CD/DVD — использует Syslinux)
              2. GPT + EFI-SP (таблица разделов GUID и системный раздел EFI — используется GRUB)
              3. MBR + EFI-SP (главная загрузочная запись и системный раздел EFI — используется GRUB)
              4. GPT + ПК (таблица разделов GUID и загрузка BIOS — используется Syslinux)
              5. MBR + ПК (основная загрузочная запись и загрузка BIOS — используется Syslinux)

              Режимы загрузки

              У ПК есть два режима загрузки: BIOS (базовая система ввода-вывода) и UEFI (унифицированный расширяемый интерфейс встроенного ПО). BIOS устанавливался на IBM PC и совместимые устройства с 1980-х годов. Режим UEFI стал преобладать с тех пор, как Microsoft представила его в Windows 7, а позже стала требовать его на новых ПК для соответствия требованиям лицензионного соглашения с логотипом Windows. Большинство компьютеров с 2010 года имеют UEFI.

              Устройства Apple Macintosh/iMac имеют собственный EFI (расширяемый интерфейс встроенного ПО), который почти, но не совсем, такой же, как UEFI, но не имеет эквивалента BIOS. В этом руководстве (в настоящее время) не рассматривается установка на устройствах Apple.

              BIOS также известен как Legacy или CSM (модуль поддержки совместимости), если он является частью UEFI.

              Если целевая система поддерживает только BIOS, остальную часть этого раздела можно пропустить.

              Выбор режима загрузки UEFI

              Для поддержки безопасной загрузки UEFI или для установки вместе с другой операционной системой, использующей режим загрузки UEFI (например, Windows 10), диспетчеру загрузки встроенного ПО системной материнской платы необходимо указать запустить программу установки Ubuntu в режиме UEFI.< /p>

              К сожалению, между разными производителями ПК нет единого мнения о том, как менеджеры загрузки микропрограммы материнской платы должны указывать режим загрузки, поэтому мы, как пользователи, должны выяснить это, исходя из того, какие подсказки мы можем увидеть, когда отображается меню загрузки ПК и списки. загрузочные устройства.

              Предположим, мы используем USB-накопитель.В меню загрузки это устройство может быть указано дважды (один раз для режима UEFI и еще раз для режима BIOS/CSM/Legacy). В нем может быть явно указано, что один из них является "UEFI", а другой нет, или может использоваться какой-либо трудноразличимый код, например однобуквенное сокращение (например, "U" вместо "B").

              Если мы хотим гарантировать режим UEFI и избежать режима BIOS/CSM/Legacy, то, войдя в программу настройки прошивки при включении питания, мы сможем найти возможность отключить режим CSM/Legacy.

              После этого мы можем быть уверены, что программа установки загрузится в режиме UEFI.

              Существует быстрый способ убедиться, что программа установки запущена в режиме UEFI — она будет использовать GRUB, поэтому смотрите следующий раздел Первый загрузочный экран > GRUB (режим UEFI), чтобы узнать, как это будет выглядеть.

              Обнаружение режима загрузки UEFI

              После запуска Linux можно проверить. Наличие файловой системы efivarfs означает, что система загружается в режиме UEFI:

              Первый загрузочный экран

              Отображаемые параметры будут выглядеть по-разному в зависимости от используемого загрузчика.

              GRUB (режим UEFI)

              Выберите «Попробовать Ubuntu без установки» в меню загрузчика GRUB:

              Syslinux (режим BIOS)

              Дисплей ненадолго остановится для выбора языка ввода:

              Если вы прерветесь на этом этапе, чтобы выбрать язык, Syslinux отобразит меню, в котором вы можете внести различные дополнительные изменения в параметры загрузки. На этом этапе вы должны выбрать пункт меню «Попробовать Ubuntu без установки».

              Параметры приветствия

              Если загрузка не была прервана для выбора языка, появится диалоговое окно приветствия с параметрами запуска. Выберите «Попробовать Ubuntu».

              Живой рабочий стол

              После запуска среды Live Desktop нам нужно использовать командную строку оболочки терминала, чтобы выполнить ряд команд для предварительной подготовки целевого устройства перед выполнением самого установщика.

              В Ubuntu (Gnome) нажмите кнопку «Показать приложения» в левом нижнем углу

              В последующем текстовом поле поиска введите "Термин", пока не отобразится только значок терминала

              Нажмите значок, чтобы запустить Терминал.

              Вместо этих шагов вы можете просто нажать комбинацию горячих клавиш Ctrl+Alt+T.

              Предварительная подготовка зашифрованных разделов

              Вы можете обнаружить, что развертывание окна Терминала полезно для работы с командной строкой.

              Насколько это возможно, эти ручные шаги будут придерживаться той же схемы установки и именования, которые использует установщик.

              Некоторые более поздние команды функционально полагаются на Bourne-Again Ash Shell (BASH), поэтому всегда переключайтесь с оболочки по умолчанию на bash:

              Если вы когда-нибудь захотите проверить, какая оболочка используется, сделайте следующее:

              Вы получите что-то вроде одного из этих:

              Определить целевое устройство установки

              Здесь целевым устройством установки является sda, но ваше может отличаться, поэтому проверьте РАЗМЕР, чтобы убедиться, что вы выбрали правильное целевое устройство. (в этом примере целью является файл образа диска виртуальной машины размером 9 ГБ).

              Наконец, мы установим переменную среды для зашифрованного имени устройства-сопоставителя, в котором отсутствует начальная часть пути "/dev/":

              И мы должны справиться с устройствами NVME, которым требуется "p" для суффикса раздела:

              Разметка

              Теперь мы создадим метку диска и добавим четыре раздела. Мы создадим GPT (таблицу разделов GUID), чтобы она была совместима с установками в режимах UEFI и BIOS. Мы также создадим разделы для обоих режимов в дополнение к разделам для зашифрованных файловых систем /boot/ и / (root).

              Мы будем использовать инструмент sgdisk.Чтобы понять его параметры, прочтите man 8 sgdisk

              Сначала проверьте наличие существующих разделов на устройстве и, если они будут найдены, подумайте, хотите ли вы их сохранить или нет. Если вы хотите сохранить их, НЕ ИСПОЛЬЗУЙТЕ команду sgdisk --zap-all, описанную далее. Вместо этого подумайте, не нужно ли вам освободить место на диске, уменьшив или удалив отдельные существующие разделы.

              Если вам нужно манипулировать существующими разделами, используйте меню «Показать приложения» для поиска GPartEd, который является инструментом создания разделов с графическим интерфейсом пользователя (см. руководство по GPartEd, чтобы узнать, как его использовать)

              Если безопасно удалить все на этом устройстве, вам следует стереть существующие метаданные разделов. НЕ ДЕЛАЙТЕ ЭТОГО, если вы устанавливаете вместе с существующими разделами!

              Теперь мы создадим разделы. Небольшой раздел bios_boot (2 МБ) для образа ядра GRUB в режиме BIOS, системный раздел EFI размером 128 МБ, /boot/ размером 768 МБ и последний раздел для оставшегося места для операционной системы.

              : : где start и end могут быть относительными значениями, а при нуле (0) принимается наименьшее или максимальное возможное значение соответственно.

              Раздел 4 не создан. Причина в том, что установщик Ubuntu создаст только разделы 1 и 5. Здесь мы создаем их, а также две альтернативы загрузчика.

              Шифрование LUKS

              Формат (версия) LUKS (Linux Unified Key Setup) по умолчанию, используемый инструментом cryptsetup, изменился с момента выпуска 18.04 Bionic. 18.04 использовалась версия 1 («luks1»), но более поздние выпуски Ubuntu по умолчанию используют версию 2 («luks2»). GRUB поддерживает только открытие версии 1, поэтому мы должны явно установить luks1 в командах, которые мы используем, иначе GRUB не сможет установить или разблокировать зашифрованное устройство.

              Примечание: по состоянию на октябрь 2021 г. и Ubuntu 21.10 GRUB по-прежнему не поддерживает установку в контейнеры luks2. Он может читать luks2 (хотя и с некоторыми строгими ограничениями и с некоторыми ошибками декодирования UUID), но grub-install через grub-probe не может распознать устройство luks2 и, следовательно, не может правильно установить в контейнеры luks2.

              Итак, контейнер LUKS для /boot/ в настоящее время должен использовать LUKS версии 1, тогда как контейнер для корневой файловой системы операционной системы может использовать LUKS версии 2 по умолчанию.

              Для получения дополнительной информации см. справочные страницы для 18.04 Bionic или 18.10 Cosmic и более поздних версий.

              Сначала раздел /boot/:

              Теперь раздел операционной системы:

              Разблокировка LUKS

              Теперь откройте зашифрованные устройства:

              После завершения установки Ubuntu мы добавим файлы ключей на оба этих устройства, так что вам нужно будет только один раз ввести парольную фразу для GRUB, после чего операционная система будет использовать встроенные файлы ключей для разблокировки. без вмешательства пользователя.

              Форматировать файловые системы

              ВАЖНО, этот шаг необходимо выполнить, иначе разделитель установщика отключит возможность записи файловой системы на это устройство без таблицы разделов (справочная страница для mkfs.ext4):

              Отформатируйте EFI-SP как FAT16 (справочная страница для mkfs.vfat):

              LVM (управление логическими томами)

              Теперь мы создадим группу томов LVM (VG) операционной системы и логический том (LV) для корневой файловой системы.

              LVM имеет замечательную возможность увеличивать размер LV, пока он активен. Чтобы обеспечить это, мы сначала выделим 80% свободного места в VG для LV. Позже, если вам понадобится место для других файловых систем или моментальных снимков, установленная система будет готова и сможет поддерживать эти требования, не пытаясь освободить место.

              Я также создаю устройство LV 4GiB для подкачки, которое используется не только для предоставления дополнительных страниц памяти при нехватке свободного места в ОЗУ, но и для хранения спящего образа памяти, чтобы система могла быть полностью выключена и отключена. может возобновить все приложения, где они остановились. Размер области подкачки для поддержки режима гибернации должен быть равен объему ОЗУ, который имеется на ПК сейчас или который ожидается в будущем.

              Установить Ubuntu

              Теперь сверните окно терминала и запустите программу установки:

              Выберите язык установки и клавиатуру, а затем варианты установки программного обеспечения:

              В параметрах «Тип установки» выберите «Другое»:

              Разметка вручную

              Запустится ручной разделитель:

              Выберите устройство корневой файловой системы для форматирования (/dev/mapper/ubuntu--vg-root), нажмите кнопку «Изменить», выберите «Использовать как Ext4». и точка монтирования /:

              Выберите устройство подкачки (/dev/mapper/ubuntu--vg-swap_1), нажмите кнопку «Изменить», выберите «Использовать как область подкачки»:

              Выберите загрузочное устройство файловой системы для форматирования (/dev/mapper/LUKS_BOOT), нажмите кнопку Изменить. выберите Использовать как Ext4. и точка монтирования /boot:

              Выберите загрузчик (в моем примере /dev/sda). Устройство загрузчика всегда должно быть необработанным диском, а не разделом или узлом сопоставления устройств:

              Нажмите кнопку «Установить сейчас», чтобы записать изменения на диск, и нажмите кнопку «Продолжить»:

              Процесс установки продолжится в фоновом режиме, пока вы будете заполнять поле «Где вы?». и кто ты? формы:

              Включить зашифрованный GRUB

              Как только вы заполните эти формы, переключитесь в Терминал, чтобы настроить GRUB. Эти команды ждут, пока установщик не создаст каталоги GRUB, а затем добавит вставляемый файл, сообщающий GRUB использовать зашифрованную файловую систему. Команда не вернется к приглашению оболочки, пока установщик не создаст целевой каталог. В большинстве случаев это будет сделано до того, как эта команда будет выполнена, поэтому она должна немедленно возвращаться:

              Это необходимо сделать до того, как установщик достигнет этапа «Установить загрузчик» в конце процесса установки.

              Если установка прошла успешно, выберите вариант «Продолжить тестирование»:

              Этапы после установки

              Вернитесь в Терминал и создайте среду изменения root для работы во вновь установленной ОС (справочные страницы для монтирования chroot):

              В chroot установите и настройте пакет cryptsetup-initramfs. Это может быть уже установлено. Примечание: этот пакет недоступен в 18.04 Bionic, поскольку файлы включены в основной пакет cryptsetup.

              Это позволяет автоматически разблокировать зашифрованные тома во время загрузки. Ключевой файл и вспомогательные скрипты добавляются в файлы /boot/initrd.img-$VERSION.

              Это безопасно, потому что эти файлы сами хранятся в зашифрованном каталоге /boot/, который разблокируется загрузчиком GRUB (который просит вас ввести парольную фразу), который затем загружает ядро. и initrd.img в оперативную память, прежде чем передать выполнение ядру. (Man-страница для initramfs.conf):

              Создайте рандомизированный ключевой файл размером 4096 бит (512 байт), защитите его и добавьте в тома LUKS (справочные страницы для dd chmod):

              Добавить ключи в crypttab (Man-страницы для crypttab blkid):

              Наконец обновите файлы initialramfs, чтобы добавить сценарии разблокировки cryptsetup и файл ключа:

              Если все прошло хорошо, система готова к перезагрузке.

              Перезагрузите систему, не забыв удалить установочный носитель (иначе она снова загрузится!).

              Вы должны получить запрос на ввод фразы-пароля GRUB:

              Full_Disk_Encryption_Howto_2019 (последним удаленным пользователем tj 2021-10-22 20:21:34)

              Материалы этой вики доступны по бесплатной лицензии, подробности см. в разделе Авторские права / Лицензия
              Вы можете внести свой вклад в эту вики, подробности см. в Руководстве по вики

              Я хочу установить Ubuntu с полным шифрованием диска с помощью LVM. На моем жестком диске уже установлена ​​Windows 10.

              Для полного шифрования диска установщик дает мне возможность стереть все данные только для установки на зашифрованную LVM. Есть ли способ установить Ubuntu вручную, используя полное шифрование диска с помощью LVM?

              Я видел эту опцию в программе установки Ubuntu Server, но не хочу вручную устанавливать GNOME после установки Ubuntu Server.

              1 Ответ 1

              Да! Вы можете использовать установщик Ubiquity, чтобы вручную установить Ubuntu внутри зашифрованного тома LVM. И вы можете сделать это на том же диске, что и установка Windows 10.

              Отказ от ответственности. Существует повышенный риск потери данных при установке операционных систем или внесении изменений в таблицы разделов. Ошибиться легко, поэтому у вас должно быть достаточно резервных копий, прежде чем делать что-либо из этого.

              Подготовка к установке

              Сначала загрузите установочный носитель Ubuntu как LiveUSB ("Попробуйте Ubuntu").

              Убедитесь, что у вас есть свободное место без разделов. Ubuntu не может сжать раздел при установке Windows, оставив его нетронутым. Если вы не можете освободить место здесь, удалив ненужные разделы, вам нужно будет проконсультироваться с документацией Windows о том, как уменьшить размер раздела Windows, прежде чем двигаться дальше.

              Запустите программу установки

              Нажмите "Установить Ubuntu" на рабочем столе или перезагрузитесь обратно на USB и выберите "Установить Ubuntu".

              Выполняйте указания по установке, пока не дойдете до типа установки.

              Здесь нажмите "Что-то еще" и Продолжить.

              Настройка шифрования и загрузочных разделов

              Здесь вы увидите другое представление разделов ваших дисков.

              1) Укажите в качестве Устройства для установки загрузчика тот же физический диск, на котором установлена ​​ваша Windows. В нашем примере это /dev/sda .

              2) Создайте раздел /boot: выберите раздел свободного пространства, который мы проверили/создали ранее, и нажмите кнопку +. Установите точку монтирования как /boot и установите размер. В нашем примере мы установили 500 МБ. (Если вы хотите сохранить много старых ядер, вы можете увеличить это количество) Нажмите ОК.

              3) Создайте зашифрованный корневой раздел: в оставшемся свободном месте снова нажмите кнопку +. Измените Использовать как: на "физический том для шифрования" и задайте свой пароль. Это будет пароль, который вам нужно ввести после выбора Ubuntu в GRUB. Без него вы не сможете расшифровать свою ОС, поэтому не забудьте этот пароль.

              4) Установить/установить точку: Дважды щелкните только что созданный том. В этом примере это раздел ext4 с меткой dev/mapper/sda6_crypt. Измените "Точка монтирования" на / и нажмите ОК.

              5) Проверьте раздел EFI: чтобы убедиться, давайте также дважды щелкните раздел EFI с помощью диспетчера загрузки Windows. Убедитесь, что для параметра Использовать как установлено значение Системный раздел EFI, и нажмите ОК.

              Окончательная проверка и установка

              Убедитесь, что ваши разделы /boot и / и EFI находятся там, где они должны быть, и дважды проверьте правильность устройства для установки загрузчика. Если все в порядке, вы готовы к Установке сейчас.

              Читайте также: