web-dev-qa-db-fra.com

Cryptage de disque Luks sur Raspberry Pi 4 et Ubuntu Desktop 20.10

Utilisation de l'image pré-installée Ubuntu Desktop 20.10 Disque pour le Bras de Raspberry Pi 4 (bras 64 bits), vous n'obtenez aucune option pour chiffrer le disque à l'aide de LUKS lorsque vous installez le système, comme vous le faites avec les installateurs X86 USB .

Pour référence, j'ai suivi les instructions ici pour obtenir le système installé sur un SSD externe: https://ubuntu.com/tadorials/how-to-install-buntu-desktop-on-raspberry-pi-4# 1-aperç

En tout, je suis très satisfait de l'installation, mais je préférerais si je pouvais crypter tout le lecteur. Je ne veux pas vous soucier de comprendre comment crypter le dossier à domicile, donc si quelqu'un sache comment obtenir une installation 20.10 chiffrée cryptée W/LUKS au moment de l'installation du système d'exploitation, j'apprécierais d'entendre comment vous l'avez fait. Merci!

3
davetronics

EDIT: J'ai mal interprété la question initiale, mais tout s'applique toujours. En utilisant /dev/mmcblk0p2 ci-dessous est destiné à être installé sur la carte microSD. Pour installer à un SSD/HD externe, l'appareil sera probablement /dev/sda2. Utilisez le périphérique approprié lors de la modification cmdline.txt, crypttab et démarrage pour la première fois via (initramfs).


La dernière image Ubuntu inclut CRYPETSETUP, de sorte que vous pouvez convertir la partition "ROOTABLE" (racine) vers LUKS à l'aide de votre ordinateur de bureau. J'ai commencé avec l'image 20.10 64 bits Server .

Préparez votre carte SD mais n'installez pas dans le RPI. Gardez-le sur votre PC de bureau.

Démonter la carte SD (/ dev/sdc2 est ma partition "Crible" (racine) - la vôtre peut être différente).

Sudo umount /dev/sdc2

Vérifiez la partition ... Sudo e2fsck -f /dev/sdc2

Rétrécir la partition ... Sudo resize2fs -M /dev/sdc2

Cryptez la partition (RPI n'a pas de support de matériel AES, Adiantum semble fonctionner mieux ) ...

Sudo cryptsetup-reencrypt --new --reduce-device-size=16M --type=luks2 -c xchacha12,aes-adiantum-plain64 -s 256 -h sha512 --use-urandom /dev/sdc2

Déchiffrer la partition Luks ... Sudo cryptsetup luksOpen /dev/sdc2 rootfs

Développez la partition ... Sudo resize2fs /dev/mapper/rootfs

Montez la partition ... Sudo mkdir mnt; Sudo mount /dev/mapper/rootfs mnt;

Edit etc/crypttab ... Sudo vim mnt/etc/crypttab

  • Ajouter rootfs /dev/mmcblk0p2 none luks

Éditez etc/fstab ... Sudo vim mnt/etc/fstab

  • Changer la première ligne en /dev/mapper/rootfs / ext4 defaults,noatime 0 0

Sur la partition de démarrage du système, modifiez cmdline.txt...

  • changement root=LABEL=writable à root=/dev/mapper/rootfs
  • supprimer splash (donc il invite la phrase secrète au démarrage)
  • ajouter cryptdevice=/dev/mmcblk0p2:sdcard à la fin de la ligne

Ça devrait ressembler à ça... dwc_otg.lpm_enable=0 console=serial0,115200 console=tty1 root=/dev/mapper/rootfs rootfstype=ext4 elevator=deadline rootwait fixrtc quiet cryptdevice=/dev/mmcblk0p2:sdcard

Démonter la carte microSD et installer dans le PI de framboise. Il ne parviendra pas à démarrer et à entrer (InitiRAMFS) , car InitiRAMFS n'a pas encore été mis à jour.

Déchiffrer manuellement de Initiramfs ... (initramfs) cryptsetup luksOpen /dev/mmcblk0p2 rootfs

Continuer le démarrage ... (initramfs) exit

Connexion (Ubuntu/Ubuntu) et mettre à jour InitiRAMFS ... Sudo update-initramfs -u

Redémarrez ... Sudo reboot

Il devrait redémarrer, inviter la phrase secrète, puis commencer le système d'exploitation.

4
Cameron