web-dev-qa-db-fra.com

Installation personnalisée cryptée

Mon ordinateur fonctionne sous Ubuntu. Je veux installer Ubuntu sur un autre support. Je souhaite activer le cryptage, mais comme les choix par défaut de l'installateur Ubuntu (effacer/à côté de/etc ...) ne concernent que le lecteur par défaut, je dois choisir "quelque chose d'autre" et créer les partitions sur l'autre lecteur manuellement, je crée ~ 128 Mo partie pour le démarrage, alors je suis perdu, si je fais une partition chiffrée avec le reste de l'espace que je suis incapable de diviser, donc je n'ai pas de swap; si au lieu de cela je crée deux partitions chiffrées, cela ne semble pas correct, car il veut configurer deux mots de passe différents ...

Comment puis-je configurer le swap alors? (Pendant ou après l'installation).

system-installationencryptionluks
13
Yvain

Comment accomplir cela avec LVM et une seule partition chiffrée

Avertissement

Tout d'abord, 128M est trop petit pour démarrer! J'utilise 1G. Sinon, ce qui va arriver, c’est que vous pouvez oublier de supprimer les anciens noyaux et que/boot se remplira, et vous devrez gérer la douleur liée à la tentative de suppression des anciens noyaux du système alors que vous pouvez obtenir apt ou apt-get pour fonctionner à nouveau. Même avec 1G, assurez-vous de supprimer les vieux noyaux de temps en temps.

Les prochaines étapes ne sont pas destinées aux utilisateurs novices.
UPDATE: J'ai créé un script qui effectuera les opérations suivantes pour vous et plus encore! Tout ce que vous avez à faire est de l’exécuter à partir du SE Live avant l’installation. Vous pouvez trouver un article sur mon blog .

Pré-installation à partir d'un système d'exploitation actif

Vous souhaitez configurer LUKS et LVM lors du partitionnement manuel! J'ai testé cela sur Ubuntu 16.04.2

Démarrez Ubuntu à partir d’un SE Live et sélectionnez l’option d’essayer Ubuntu sans l’installer. Suivez les étapes que j'ai décrites ci-dessous. Supposons que vous installez sur/dev/sdb.

  1. Partitionnez le lecteur avec l’outil de votre choix: j’ai utilisé fdisk pour configurer le mien sur une table de partitions msdos comme suit:
    • autres partitions: systèmes d'exploitation existants - nous ne nous en soucions pas
    • sdb1:/boot (1G)
    • sdb2: partition LUKS (le reste du disque)
  2. Configurer LUKS
    • Sudo cryptsetup luksFormat --hash=sha512 --key-size=512 --cipher=aes-xts-plain64 --verify-passphrase /dev/sdb2
    • Sudo cryptsetup luksOpen /dev/sdb2 CryptDisk
    • Bien que cela ne soit pas nécessaire, il est judicieux de remplir votre partition LUKS avec des zéros afin que la partition chiffrée soit remplie de données aléatoires. Sudo dd if=/dev/zero of=/dev/mapper/CryptDisk bs=4M ATTENTION, cela peut prendre beaucoup de temps!
  3. Configurez LVM sur /dev/mapper/CryptDisk
    • Sudo pvcreate /dev/mapper/CryptDisk
    • Sudo vgcreate vg0 /dev/mapper/CryptDisk
    • Sudo lvcreate -n swap -L 2G vg0
    • Sudo lvcreate -n root -L 10G vg0
    • Sudo lvcreate -n home -l +100%FREE vg0

Installation à partir d'un système d'exploitation actif

  1. Vous êtes maintenant prêt à installer. Lorsque vous arrivez à la partie "Type d'installation" de l'installation, choisissez l'option "Quelque chose d'autre". Ensuite, attribuez manuellement les partitions/dev/mapper/vg0- * comme vous le souhaitez. N'oubliez pas de définir/dev/sdb1 comme/boot. la partition/boot ne doit pas être chiffrée. Si c'est le cas, nous ne pourrons pas démarrer. Changez le "Dispositif pour l’installation du chargeur de démarrage" en/dev/sdb et poursuivez l’installation.
  2. Lorsque l'installation est terminée, ne redémarrez pas ! Choisissez l'option "Continuer à tester".

Configuration post-installation à partir d'un SE réel

Ce bit est vraiment important si vous voulez que votre système démarre! J'ai passé pas mal de temps à chercher cela pour comprendre ces étapes post-installation. Dans mon cas, je le faisais réellement parce que je voulais personnaliser la taille de/boot sur/dev/sda, mais tout ce travail devrait également s'appliquer à votre situation.

  1. Dans un terminal, tapez ce qui suit et recherchez l’UUID de/dev/sdb2. Prenez note de cet UUID pour plus tard.
    • Sudo blkid | grep LUKS
    • La ligne importante de ma machine lit /dev/sdb2: UUID="bd3b598d-88fc-476e-92bb-e4363c98f81d" TYPE="crypto_LUKS" PARTUUID="50d86889-02"

  2. Ensuite, récupérons le système nouvellement installé pour que nous puissions apporter d'autres modifications.

    • Sudo mount /dev/vg0/root /mnt
    • Sudo mount /dev/vg0/home /mnt/home # ce n'est probablement pas nécessaire
    • Sudo mount /dev/sdb1 /mnt/boot
    • Sudo mount --bind /dev /mnt/dev # Je ne suis pas tout à fait sûr que cela soit nécessaire
    • Sudo mount --bind /run/lvm /mnt/run/lvm
    • (uniquement si vous utilisez EFI): Sudo mount /dev/sd*/your/efi/partition/mnt/boot/efi

  3. Maintenant, lancez Sudo chroot /mnt pour accéder au système installé

  4. Depuis le chroot, montez quelques autres choses
    • mount -t proc proc /proc
    • mount -t sysfs sys /sys
    • mount -t devpts devpts /dev/pts
  5. Installer le crypttab. A l’aide de votre éditeur de texte préféré, créez le fichier/etc/crypttab et ajoutez la ligne suivante en remplaçant l’UUID par l’UUID de votre disque.
    • CryptDisk UUID=bd3b598d-88fc-476e-92bb-e4363c98f81d none luks,discard
  6. Enfin, reconstruisez quelques fichiers de démarrage.
    • update-initramfs -k all -c
    • update-grub
  7. Redémarrez et le système devrait vous demander un mot de passe pour décrypter au démarrage!

Un merci spécial à Martin Eve , EGIDIO DOCILE , et aux gens de blog.botux.fr pour les tutoriels qu’ils ont publiés. En tirant des morceaux de leurs poteaux et en faisant un petit problème supplémentaire, j'ai finalement été capable de comprendre cela.

J'ai essayé cela plusieurs fois et j'ai échoué encore et encore. Le bit que j'ai dû résoudre moi-même en fonction des messages d'erreur était Sudo mount --bind /run/lvm /mnt/run/lvm

21
b_laoshi

Comment accomplir cela plusieurs partitions chiffrées et no LVM

Comme ma réponse précédente était si longue, je poste une deuxième réponse qui adopte une approche différente si vous ne souhaitez pas utiliser LVM.

Vous pouvez créer plusieurs partitions chiffrées et utiliser le script decrypt_derived afin que vous n'ayez besoin d'entrer le mot de passe qu'une seule fois. Consultez cet article de blog pour obtenir des instructions détaillées. L'auteur utilise un fichier de clés, mais le script LUKS decrypt_derived serait également suffisant.

2
b_laoshi

Une façon de le faire consiste à utiliser le programme d’installation du réseau ubuntu https://www.ubuntu.com/download/alternative-downloads

Ce n'est pas un installateur graphique. Mais il vous offre le choix explicite de disque après avoir choisi l’installation complète du disque avec chiffrement.

2
ernstkl