Увімкніть шифрування диска після встановлення

Я бігаю 13.10 Saucy. Якщо я не ввімкнув шифрування диска під час встановлення, чи є якийсь спосіб увімкнути його пост-факто?

Я виявив це , що говорить про те, що шифрування має відбуватися під час встановлення, але воно також стосується Fedora. Я можу легко завантажуватися на живий диск, якщо є якийсь спосіб це зробити звідти.

Якщо ви хочете ввімкнути шифрування домашньої папки, вам потрібно буде встановити та використовувати ці пакети: ecryptfs-utilsі cryptsetup. Також вам знадобиться інший обліковий запис користувача з правами адміністратора (sudo). Повна документація тут:

• Як зашифрувати домашню папку після встановлення Ubuntu

Якщо ви хочете ввімкнути повне шифрування диска після встановлення, зараз, мабуть, коротка відповідь: ні, ви не можете . У будь-якому випадку, якщо вас це цікавить, ваше запитання є дублікатом:

• Чи існує спосіб повного шифрування диска після встановлення?
• Повне шифрування диска

Подальше запитання: які зміни та недоліки повного диска проти просто / домашнього?

Шифрування в / home здійснюється за допомогою файлової системи користувальницького простору під назвою ecryptfs. Це дуже добре зроблено і щільно вбудовано в систему авторизації за замовчуванням, так що у вас будуть нульові недоліки зручності використання: коли ви входите в обліковий запис (з віддаленої оболонки або з екрана входу за замовчуванням), ваш пароль використовується для розгортання захищеного ключа , який потім використовується для шифрування / розшифрування ваших файлів у вашому домашньому каталозі на ходу (змонтована файлова система буде розташовуватися безпосередньо в / home / username). Коли ви виходите з дому / home / username не відключено, і в системі залишаються видимими лише зашифровані файли (як правило, в /home/.ecryptfs/username/.Private/). Вони схожі на купу скремблірованих / випадкових файлів, оскільки файлові файли також зашифровані. Єдина витік інформації - це розмір файлів, часові позначки та кількість файлів (при повному шифруванні диска вони також приховані).

Якщо ваша система має бути спільною для кількох користувачів, це дуже приємна функція, навіть якщо ви вирішите додати повне шифрування диска разом із цим: безпека повного шифрування диска вимкнена, коли машина працює і працює вдома ( encryptfs) шифрування увімкнено, поки ви не вийшли.

Отже, повне шифрування диска та домашнє шифрування не обов'язково взаємовиключні.

Ось перелік можливих налаштувань залежно від різних потреб у безпеці:

• ТОЛЬКО ВИКОРИСТАННЯ ДИСКА ТОЛЬКО: Якщо ви єдиний, який користується комп’ютером, і ваш апарат може обробляти накладні витрати повного шифрування диска (усі сучасні настільні комп’ютери можуть це зробити, не помічаючи користувачів, нетбуки та старі ноутбуки не так вже й багато), ви можете використовувати повний шифрування диска та розміщення додому в тому ж розділі, що і ваша ОС (/).
• Повне шифрування даних і HOME ECRYPTFS ENCRYPTION : Якщо ви турбуєтеся про ваших особистих даних, читання , поки ваш комп'ютер або комп'ютер використовується спільно з іншими користувачами, то ви могли б мати вдома в іншому розділі з / і використовувати ecryptfs уздовж повного диска шифрування (тобто шифрування / через LUKS)
• ДОМАШНЕ ВКЛЮЧЕННЯ ЕКРИПТИ : Якщо ви не надто переживаєте за те, щоб хтось підробляв вашу систему під час відсутності, але ви все ще хочете захищати ваші особисті дані, тоді пропустіть повне шифрування диска та просто використовуйте encryptfs (шифрування будинку). Додатковим бонусом цього сценарію є те, що це досить просто встановити навіть післяви встановили Ubuntu, просто використовуючи ecryptfs-migrate-home. Також це було налаштуванням Ubuntu за замовчуванням, перш ніж воно змінило кілька версій назад, додавши можливість повного шифрування диска. Оскільки більшість сучасних настільних комп’ютерів можуть обробляти повне шифрування диска без потужності, і це додає тонкий рівень захисту від введення офлайн-коду, в інсталятор додано повне шифрування диска. Зверніть увагу, що для більшості користувачів просто шифрування будинку з шифрами буде достатньо для їх потреб: утримання своїх друзів та звичайних злодіїв ноутбуків від їх приватних даних. Крім того, якщо ви націлилися на організацію з правильними засобами, то повне шифрування диска або просто домашнє шифрування не призведе до великої різниці, якщо ви також не встановили багато інших параноїдальних поведінок (наприклад: зберігання ядра в окремому ручку, який завжди знаходиться на вас; постійно перевіряє наявність апаратних підробок / кейлоггери тощо)

Якщо я не ввімкнув шифрування диска під час встановлення, чи є якийсь спосіб увімкнути його пост-факто?

Так, і це стане простіше, якщо ви зараз використовуєте LVM та маєте достатньо місця у вашій системі для копіювання всіх незашифрованих системних файлів у зашифрований розділ LUKS. Наразі я не вникаю в деталі, тому що я не знаю, чи використовуєте ви LVM, і якщо ви зараз не хочете просто використовувати ecrypfs і пропускати клопоти повного шифрування диска до наступної інсталяції.

Ну, ви можете зробити резервну копію всіх важливих каталогів та встановленого програмного забезпечення. Переконайтеся, що ваш 13.10 повністю оновлений, щоб уникнути конфліктів версій. Зазвичай резервні копії:

• /boot
• /etc
• home
• var
• /usr/local
• Програмне забезпечення, встановлене через Synaptic / Software Center
• Якщо ви зібрали спеціальне програмне забезпечення, можливо , доведеться включати додаткові папки в резервної копії (наприклад /bin, /lib, lib64).

Після цього ви перевстановлюєте систему лише зараз в зашифрованому вигляді. Оновіть його в повному обсязі. Потім перемістіть резервну копію в зашифровану систему та встановіть все програмне забезпечення з попередньої версії.

Просто переконайтеся , що ні перезаписувати файли , важливі для шифрування, кладучи назад резервну копію (наприклад /etc/fstab, /etc/cryptabдеякі пов'язані личинка речі і деякі речі в /bootне повинні бути замінені резервними копіями файлів).

З робочого Ubuntu 16.04 мені вдалося виконати шифрування кореневих розділів після встановлення, при цьому кореневий розділ містить усе, крім / завантаження. Я кладу / завантажую на окремий знімний usb. Примітно, що я робив це перед оновленням до Ubuntu 18, і оновлення чудово працювало на зашифрованій версії диска.

Шифрування не було зроблено "на місці", що було добре зі мною, оскільки я не хотів перезаписувати робочу версію, поки нова настройка не працювала.

Виконання правильної процедури надзвичайно просто і швидко. (Хоча з'ясування правильної процедури займало дуже багато часу, оскільки я дотримувався деяких помилкових результатів.)

РЕЗУЛЬТАТ

1. Створіть живий USB-диск Linux - зручно ввімкнути постійність. Завантажте цей живий USB-диск.
2. Створіть групу томів, зашифровану Luks на порожньому розділі. (У моєму випадку він знаходився на тому ж диску, що і оригінальний Linux, але це міг бути інший диск.) Створіть / (root) та поміняйте логічні томи на цьому зашифрованому розділі. Вони будуть діяти як віртуальні розділи, що стосується скопійованого Linux.
3. Скопіюйте файли зі старого корінця у новий.
4. Налаштуйте і розділіть інший USB, щоб він працював як знімний завантажувальний диск.
5. Встановіть деякі файли в новому корені, виконайте магію і переконайтеся в новий корінь, а потім встановіть grub на завантажувальний диск із нового кореневого середовища chroot'd.

ДЕТАЛІ

1 - Завантаження з живим Linux диском Linux - зручно включити постійність.

Встановлено Ubuntu 16 на usb з unetbootin. Графічний інтерфейс дозволяє вказати "наполегливість", але необхідний ще один крок, щоб отримати стійкість до роботи - змініть, /boot/grub/grub.cfgщоб додати --- persistentтак:

menuentry "Try Ubuntu without installing" {
    set gfxpayload=keep
    linux   /casper/vmlinuz  file=/cdrom/preseed/ubuntu.seed boot=casper quiet splash --- persistent
    initrd  /casper/initrd
}

Завантажтесь за допомогою живого USB

2- Створіть групу томів, зашифровану Luks на порожньому розділі. Створіть / (root) та замініть логічні томи на цьому зашифрованому розділі.

Припустимо, що невикористаний розділ для шифрування є /dev/nvme0n1p4.

За бажанням , якщо у вас є старі дані про розділ, який ви хочете приховати перед шифруванням та форматуванням, ви можете випадково стерти розділ. Дивіться дискусію тут .

dd if=/dev/urandom of=/dev/nvme0n1p4 bs=4096 status=progress

Налаштування шифрування.

cryptsetup -y -v luksFormat /dev/nvme0n1p4

Вам буде запропоновано встановити пароль.

cryptsetup luksOpen /dev/nvme0n1p4 crypt1

Вам буде запропоновано ввести пароль. Зауважте, що crypt1це довільне ім'я користувача. Тепер створіть томи та формат.

pvcreate /dev/mapper/crypt1
vgcreate crypt1-vg /dev/mapper/crypt1

lvcreate -L 8G crypt1-vg -n swap
mkswap /dev/crypt1-vg/swap

lvcreate -l 100%FREE crypt1-vg -n root
mkfs.ext4 /dev/crypt1-vg/root

Використовуйте ці утиліти для перегляду томів та розуміння ієрархії.

pvscan
vgscan
lvscan
ls -l /dev/mapper
ls -l /dev/crypt1

3- Скопіюйте файли зі старого кореневого в новий корінь

mkdir /tmp/old-root 
mount /dev/ubuntu-vg/root /tmp/old-root/
mkdir /tmp/new-root
mount /dev/crypt1-vg/root /tmp/new-root/
cp -a /tmp/old-root/. /tmp/new-root/

umount /tmp/old-root
umount /tmp/new-root

cp -a ... копії в архівному режимі, зберігаючи всі режими файлів та прапори.

4- Налаштуйте і розділіть інший USB, щоб він працював як знімний завантажувальний диск.

Я використовував gparted для цього. Налаштуйте дві секції. Перший розділ - vfatдругий ext2. Кожен був 512 Мб, можливо, ви підете менше. Припустимо пристрій /dev/sdf.

# The first partition: (will be /dev/sdf1)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: fat32
Label: (leave)

# The second partition: (will be /dev/sdf2)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: ext4
Label: (leave) 

5- Налаштуйте деякі файли в новому корені, зробіть трохи магії та chroot у новий корінь, а потім встановіть grub на завантажувальний диск із нового кореневого середовища chroot'd.

Знайдіть кілька UUID для подальшого використання. Зверніть увагу на результати з наступних команд:

blkid /dev/sdf1
blkid /dev/sdf2
blkid /dev/nvme0n1p4

Змонтуйте кореневі розділи та завантажувальні розділи

sudo mount /dev/mapper/crypt1--vg-root /mnt
sudo mount /dev/sdf2 /mnt/boot
sudo mount /dev/sdf1 /mnt/boot/efi

Налаштування файлу /mnt/etc/fstab

/dev/mapper/crypt1--vg-root /               ext4    errors=remount-ro 0       1
/dev/mapper/crypt1--vg-swap none    swap    sw              0       0
UUID=[uuid of /dev/sdf2] /boot           ext2    defaults        0       2
UUID=[uuid of /dev/sdf1]  /boot/efi       vfat    umask=0077      0       1

де "[uuid of ...]" - це лише комбінація буква-цифра-дефіс.

Створіть файл /mnt/etc/cryptab

# <target name> <source device>     <key file>  <options>
crypt1 UUID=[uuid of /dev/nvme0n1p4] none luks,discard,lvm=crypt1--vg-root

Деякі магії, необхідні для входу в середовище кореневого каталогу:

sudo mount --bind /dev /mnt/dev
sudo mount --bind /proc /mnt/proc
sudo mount --bind /sys /mnt/sys
chroot /mnt

Тепер встановіть завантажувальний USB-диск з grub:

apt install --reinstall grub-efi-amd64
grub-install --efi-directory=/boot/efi --boot-directory=/boot --removable
update-initramfs -k all -c
update-grub

Тепер ви маєте можливість перезавантажуватись та завантажуватися за допомогою новоствореного завантажувального диска USB.

Виправлення неполадок -

(a) Мережа повинна бути підключена для apt install --reinstall grub-efi-amd64команди. Якщо мережа підключена, але DNS не працює, спробуйте

echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf > /dev/null

(b) Перед викликом initramfsпоточний vmlinuz...файл, що використовується в оригінальному Linux, повинен бути присутнім у новому кореневому каталозі. Якщо його немає, знайдіть його і помістіть його.

(С)grub-install команда при пошуку по замовчуванням всі інші диски Linux можна знайти , навіть якщо вони не mountед, і помістити їх в меню завантаження на новий завантажувальний USB. Зазвичай цього не бажано, тому цього можна уникнути, додавши цей рядок до /boot/default/grub.cfg:

GRUB_DISABLE_OS_PROBER=true

ПРИМІТКА: Текстовий файл із ключем шифрування може бути доданий до знімного завантажувального USB.

Проста відповідь: Ні.

Складна відповідь:

Шифрування диска або розділу видалить усе, що знаходиться на цьому диску або розділі, тому для шифрування диска також слід видалити вміст диска. Ви повинні зробити відповідні резервні копії даних перед початком. Очевидно, це означає, що вам слід перевстановити систему, щоб використовувати повне шифрування диска, інакше. Це тому, що випадкові дані будуть записуватися на весь диск, щоб ускладнити відновлення даних.

Але сьогодні вам не потрібно шифрувати свій кореневий розділ. Пам'ятайте, що якщо щось виходить з ладу, ви перебуваєте поза системою, не маючи можливостей відновити дані. Вам слід замість цього зашифрувати лише вашу особисту інформацію.

Див. Пов'язане питання Як зашифрувати повний диск після встановлення?