Comment installer 18.04 en utilisant le chiffrement intégral du disque avec deux lecteurs (SSD / HDD)

HOWTO Crypter une installation Ubuntu 18.04 LTS avec deux disques: système d’exploitation sur le SSD principal,/home sur votre disque dur secondaire

Ceci est un guide pour le chiffrement complet du disque d’une installation Ubuntu 18.04 LTS. Ne pas confondre avec le chiffrement du répertoire / home, qui a été supprimé, à mon avis, lors de l’installation. Ces instructions concernent Ubuntu 18.04 LTS, mais devraient fonctionner avec 16.04 LTS.

Ce guide suppose que vous connaissez Ubuntu (Linux) et que vous puissiez installer le système d’exploitation à partir d’une clé USB, ou au moins comprendre comment faire cette procédure. Si vous ne le pouvez pas, trouvez quelqu'un qui peut le faire et les deux. . Ce guide suppose également que vous avez sauvegardé TOUTES vos données avant de commencer cette procédure car vous allez détruire toutes les DONNÉES sur TOUS les lecteurs au cours de cette procédure.

Vous avez été averti!

Ce guide est en grande partie un mélange des deux procédures décrites ici (billet de blog de David Yates) ( https://davidyat.es/2015/04/03/encrypting-a-ssecond-hard-drive-on- ubuntu-14-10-post-install / ) et le message Ask Ubuntu ( Déplacer le dossier de départ vers le deuxième lecteur ).

Tout d’abord, pourquoi souhaitons-nous faire cela? Parce que si vous possédez un ordinateur portable ou d’autres données sensibles sur un ordinateur et qu’il est volé ou perdu, il est nécessaire de pouvoir protéger les données. Vous pouvez être légalement responsable d'avoir protégé les données. Deuxièmement, de nombreux systèmes (la plupart) sont désormais livrés avec un petit disque SSD (rapide) pour le système d’exploitation et un disque dur plus grand (lent) pour les données. Troisièmement, chiffrer uniquement le répertoire / home est maintenant reconnu comme une mauvaise idée car il vous expose au potentiel de / home d'être piraté (ne me demandez pas comment faire cela, je ne pouvais pas), ET le cryptage partiel ralentit le système dans une large mesure. FDE nécessite moins de frais généraux et a donc un impact minimal sur les performances du système.

PARTIE I: Installer Ubuntu 18.04 LTS sur le lecteur principal (généralement le disque SSD)

Installez Ubuntu 18.04 LTS sur votre plus petit (généralement le SSD) et vérifiez (i) effacez le disque, (ii) chiffrez l'installation et (iii) la gestion LVM.

Cela se traduira par un SSD chiffré, mais ne touchera pas le deuxième lecteur (généralement le disque dur). Je suppose que votre deuxième disque est un nouveau disque non formaté, mais peu importe ce qui se trouve sur le disque avant cette procédure. Nous allons détruire toutes les données sur ce lecteur. Nous allons utiliser un progiciel d'Ubuntu pour préparer le lecteur (je ne sais pas si cette préparation est strictement nécessaire, mais c'est ce que j'ai testé). Pour préparer ceci en vue de la partition (dossier) / home que vous allez bientôt déplacer, vous devez la formater à l'aide de l'outil graphique appelé gParted.

Sudo apt install gparted

Ouvrez gParted et naviguez vers votre deuxième disque dur (vérifiez soigneusement le / dev/sd? X) et supprimez toutes les partitions existantes, puis créez une nouvelle PARTITION PRIMAIRE en utilisant le ext4 système de fichiers. Vous pouvez aussi l’appeler, mais ce n’est pas nécessaire. Choisissez "Appliquer". Un gParted est terminé, fermez gParted et vous êtes maintenant prêt à installer le conteneur LUKS sur le deuxième lecteur, puis à le formater. Dans les commandes suivantes, remplacez sd? X par le nom de votre lecteur SECONDARY (pas votre lecteur principal) , par exemple sda1.

Sudo cryptsetup -y -v luksFormat /dev/sd?X

Ensuite, vous devrez déchiffrer la nouvelle partition pour pouvoir la formater avec ext4, le système de fichiers Linux moderne préféré par Ubuntu.

Sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
Sudo mkfs.ext4 /dev/mapper/sd?X_crypt

Si vous souhaitez utiliser votre deuxième disque dur en tant que disque dur régulièrement utilisé (comme pour déplacer votre partition / home, ce qui est le point de Partie II), Il existe un moyen de monter et de décrypter automatiquement votre deuxième disque au démarrage, lorsque votre ordinateur vous demande le mot de passe de déchiffrement du disque dur principal. A part: J'utilise la même phrase secrète pour les DEUX lecteurs, car je suis superstitieux et envisage plus de problèmes avec deux phrases secrètes différentes .

Vous devez d’abord créer un fichier de clés, qui sert de mot de passe pour votre lecteur secondaire, afin que vous n’ayez pas à taper à chaque démarrage (comme le mot de passe de chiffrement de votre disque dur principal).

Sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
Sudo chmod 0400 /root/.keyfile
Sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

Une fois le fichier clé créé, ajoutez les lignes suivantes à/etc/crypttab en utilisant nano

Sudo nano /etc/crypttab

Ajoutez cette ligne, enregistrez et fermez le fichier (/ etc/crypttab).

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard

Pour obtenir l’UUID de votre partition dans le fichier / etc/crypttab, utilisez cette commande (vous devez utiliser Sudo pour que toutes vos partitions apparaissent):

Sudo blkid

La valeur que vous voulez est l'UUID de / dev/sd? X, pas dev/mapper/sd? X_crypt. Assurez-vous également de copier l'UUID, pas le PARTUUID.

Ok, à ce stade (fermé et enregistré / etc/crypttab fichier), vous devriez pouvoir vous connecter à votre installation Ubuntu (en entrant votre mot de passe de décryptage de lecteur principal) et déchiffrer à la fois vos fichiers principal et secondaire. disques. Vous devriez vérifier si cela se produit autrement STOP; et résoudre le (s) problème (s). Si cela ne fonctionne pas et que vous déplacez votre / home, votre système ne fonctionnera pas.

Redémarrez et vérifiez si cela (déchiffrement en chaîne) est en fait le cas. Si le lecteur secondaire est automatiquement déchiffré, lorsque vous choisissez "Autres emplacements", le second lecteur devrait apparaître dans la liste et comporter une icône de verrou, mais l'icône devrait être nlocked.

Si le second disque déchiffre automatiquement (comme il se doit), passez à Part II, en désignant le second disque comme emplacement par défaut de votre dossier / home (avec le plus grande quantité d'espace).

Partie II: Déplacez votre partition/home sur votre lecteur secondaire ( i.e. HDD)

Nous devons créer un point de montage pour le lecteur secondaire, monter temporairement la nouvelle partition (disque dur secondaire) et déplacer / home:

Sudo mkdir /mnt/tmp
Sudo mount /dev/mapper/sd?X_crypt /mnt/tmp

en supposant que / sd? X est la nouvelle partition pour / home (voir ci-dessus)

Maintenant, nous copions votre dossier / home dans le nouvel emplacement / home du lecteur principal (SSD) vers le lecteur secondaire (HDD).

Sudo rsync -avx /home/ /mnt/tmp

Nous pouvons ensuite monter la nouvelle partition en tant que / home avec

Sudo mount /dev/mapper/sd?X_crypt /home

pour vous assurer que tous les dossiers (données) sont présents.

ls

Maintenant, nous voulons rendre permanent le nouvel emplacement / home sur le lecteur secondaire. Nous devons modifier l'entrée fstab pour monter automatiquement votre déplacé / home = sur le disque dur secondaire déchiffré.

Sudo nano /etc/fstab

et ajoutez la ligne suivante à la fin:

/dev/mapper/sd?X_crypt /home ext4 defaults 0 2

Enregistrez et fermez le fichier.

Redémarrer. Après un redémarrage, votre / home doit résider sur le nouveau lecteur secondaire et vous devez disposer de suffisamment d'espace pour vos DONNÉES.