Cryptage de disque Luks sur Raspberry Pi 4 et Ubuntu Desktop 20.10
Utilisation de l'image pré-installée Ubuntu Desktop 20.10 Disque pour le Bras de Raspberry Pi 4 (bras 64 bits), vous n'obtenez aucune option pour chiffrer le disque à l'aide de LUKS lorsque vous installez le système, comme vous le faites avec les installateurs X86 USB .
Pour référence, j'ai suivi les instructions ici pour obtenir le système installé sur un SSD externe: https://ubuntu.com/tadorials/how-to-install-buntu-desktop-on-raspberry-pi-4# 1-aperç
En tout, je suis très satisfait de l'installation, mais je préférerais si je pouvais crypter tout le lecteur. Je ne veux pas vous soucier de comprendre comment crypter le dossier à domicile, donc si quelqu'un sache comment obtenir une installation 20.10 chiffrée cryptée W/LUKS au moment de l'installation du système d'exploitation, j'apprécierais d'entendre comment vous l'avez fait. Merci!
EDIT: J'ai mal interprété la question initiale, mais tout s'applique toujours. En utilisant /dev/mmcblk0p2 ci-dessous est destiné à être installé sur la carte microSD. Pour installer à un SSD/HD externe, l'appareil sera probablement /dev/sda2. Utilisez le périphérique approprié lors de la modification cmdline.txt, crypttab et démarrage pour la première fois via (initramfs).
La dernière image Ubuntu inclut CRYPETSETUP, de sorte que vous pouvez convertir la partition "ROOTABLE" (racine) vers LUKS à l'aide de votre ordinateur de bureau. J'ai commencé avec l'image 20.10 64 bits Server .
Préparez votre carte SD mais n'installez pas dans le RPI. Gardez-le sur votre PC de bureau.
Démonter la carte SD (/ dev/sdc2 est ma partition "Crible" (racine) - la vôtre peut être différente).
Sudo umount /dev/sdc2
Vérifiez la partition ... Sudo e2fsck -f /dev/sdc2
Rétrécir la partition ... Sudo resize2fs -M /dev/sdc2
Cryptez la partition (RPI n'a pas de support de matériel AES, Adiantum semble fonctionner mieux ) ...
Sudo cryptsetup-reencrypt --new --reduce-device-size=16M --type=luks2 -c xchacha12,aes-adiantum-plain64 -s 256 -h sha512 --use-urandom /dev/sdc2
Déchiffrer la partition Luks ... Sudo cryptsetup luksOpen /dev/sdc2 rootfs
Développez la partition ... Sudo resize2fs /dev/mapper/rootfs
Montez la partition ... Sudo mkdir mnt; Sudo mount /dev/mapper/rootfs mnt;
Edit etc/crypttab ... Sudo vim mnt/etc/crypttab
- Ajouter
rootfs /dev/mmcblk0p2 none luks
Éditez etc/fstab ... Sudo vim mnt/etc/fstab
- Changer la première ligne en
/dev/mapper/rootfs / ext4 defaults,noatime 0 0
Sur la partition de démarrage du système, modifiez cmdline.txt...
- changement
root=LABEL=writableàroot=/dev/mapper/rootfs - supprimer
splash(donc il invite la phrase secrète au démarrage) - ajouter
cryptdevice=/dev/mmcblk0p2:sdcardà la fin de la ligne
Ça devrait ressembler à ça... dwc_otg.lpm_enable=0 console=serial0,115200 console=tty1 root=/dev/mapper/rootfs rootfstype=ext4 elevator=deadline rootwait fixrtc quiet cryptdevice=/dev/mmcblk0p2:sdcard
Démonter la carte microSD et installer dans le PI de framboise. Il ne parviendra pas à démarrer et à entrer (InitiRAMFS) , car InitiRAMFS n'a pas encore été mis à jour.
Déchiffrer manuellement de Initiramfs ... (initramfs) cryptsetup luksOpen /dev/mmcblk0p2 rootfs
Continuer le démarrage ... (initramfs) exit
Connexion (Ubuntu/Ubuntu) et mettre à jour InitiRAMFS ... Sudo update-initramfs -u
Redémarrez ... Sudo reboot
Il devrait redémarrer, inviter la phrase secrète, puis commencer le système d'exploitation.