Включить шифрование диска после установки

Я бегу 13.10 Saucy. Если я не включил шифрование диска во время установки, есть ли способ включить его постфактум?

Я нашел это , в котором говорится , что шифрование должно произойти во время установки, но это также со ссылкой на Fedora. Я легко могу загрузить живой диск, если есть какой-то способ сделать это оттуда.

Если вы хотите включить шифрование вашей домашней папки, вам необходимо установить и использовать эти пакеты: ecryptfs-utilsи cryptsetup. Также вам потребуется другая учетная запись пользователя с правами администратора (sudo). Полная документация здесь:

• Как зашифровать домашнюю папку после установки Ubuntu

Если вы хотите включить полное шифрование диска после установки, краткий ответ, вероятно, таков: нет, вы не можете . В любом случае, если вы заинтересованы в этом, ваш вопрос является дубликатом:

• Есть ли способ сделать полное шифрование диска после установки?
• Полное шифрование диска

Следующий вопрос: каковы плюсы и минусы полного диска по сравнению с Just / Home?

Шифрование в / home выполняется с использованием файловой системы пространства пользователя, называемой ecryptfs., Это очень хорошо сделано и тесно связано с системой аутентификации по умолчанию, так что вы будете иметь нулевые недостатки юзабилити: когда вы входите в свою учетную запись (либо из удаленной оболочки, либо из экрана входа по умолчанию), ваш пароль используется для развертывания защищенного ключа. , который затем используется для шифрования / дешифрования ваших файлов в вашем домашнем каталоге на лету (смонтированная файловая система будет находиться непосредственно в / home / username). При выходе из системы / home / имя пользователя отключается, и в системе остаются видимыми только зашифрованные файлы (обычно в /home/.ecryptfs/username/.Private/). Они выглядят как куча случайных / случайных файлов, так как имена файлов также зашифрованы. Единственная утечка информации: размер файла, временные метки и количество файлов (при полном шифровании диска они также скрыты).

Если ваша система должна использоваться несколькими пользователями, это очень полезная функция, даже если вы решите добавить полное шифрование диска вместе с этим: безопасность полного дискового шифрования отключается, когда компьютер включен и работает дома ( ecryptfs) шифрование включено, пока вы вышли из системы.

Таким образом, полное шифрование диска и домашнее шифрование не обязательно являются взаимоисключающими.

Вот список возможных настроек, в зависимости от различных требований безопасности:

• ШИФРОВАНИЕ ПОЛНОГО ДИСКА ТОЛЬКО: Если вы используете компьютер только один, и ваша машина может справиться с издержками полного шифрования диска (все современные настольные ПК могут сделать это без замечаний пользователя, нетбуков и старых ноутбуков не так уж и много), вы можете использовать полное шифрование диска и положить домой в тот же раздел, что и ваша ОС (/).
• ШИФРОВАНИЕ НА ПОЛНОМ ДИСКЕ И ШИФРОВАНИЕ ДОМАШНЕГО ЗАПИСИ : Если вы беспокоитесь о том, что ваши личные данные читаются, когда ваш компьютер включен, или вы используете компьютер совместно с другими пользователями, тогда вы можете иметь дом в другом разделе из / и использовать ecryptfs на полном диске шифрование (то есть шифрование / через LUKS)
• ШИФРОВАНИЕ ДОМАШНЕГО ШИФРОВАНИЯ ТОЛЬКО : Если вы не слишком беспокоитесь о том, что кто-то может взломать вашу систему, пока вы в отъезде, но вы все еще хотите сохранить ваши личные данные в безопасности, тогда пропустите полное шифрование диска и просто используйте ecryptfs (домашнее шифрование). Дополнительным бонусом этого сценария является то, что его довольно легко настроить даже послевы установили Ubuntu, просто используя ecryptfs-migrate-home. Кроме того, это была установка Ubuntu по умолчанию, прежде чем она изменила несколько релизов назад, добавив возможность полного шифрования диска. Поскольку большинство современных настольных компьютеров могут без проблем справляться с полным шифрованием диска, а это добавляет тонкий уровень защиты от автономного внедрения кода, в программу установки было добавлено полное шифрование диска. Заметьте, однако, что для большинства пользователей достаточно просто зашифровать свой дом с помощью ecryptfs: для защиты своих друзей и обычного ноутбука от кражи личных данных. Кроме того, если на вас нацелены организации с правильными средствами, полное шифрование диска или просто домашнее шифрование не будет иметь большого значения, если вы не установили много других параноидальных поведений (таких как: держать ядро ​​в отдельном перьевом приводе, который всегда на вас; постоянно проверяю на предмет аппаратного взлома / кейлоггеров и тд)

Если я не включил шифрование диска во время установки, есть ли способ включить его постфактум?

Да, и будет проще, если вы используете LVM и в вашей системе достаточно места для копирования всех незашифрованных системных файлов в зашифрованный раздел LUKS. Сейчас я не буду вдаваться в подробности, потому что я не знаю, используете ли вы LVM и предпочитаете ли вы сейчас использовать ecrypfs и пропустите хлопот полного шифрования диска до следующей новой установки.

Ну, вы можете сделать резервную копию всех важных каталогов и установленного программного обеспечения. Убедитесь, что ваш 13.10 полностью обновлен, чтобы избежать конфликтов версий. Обычно резервное копирование будет:

• /boot
• /etc
• home
• var
• /usr/local
• Программное обеспечение, установленное через Synaptic / Software Center
• Если вы собрали специальное программное обеспечение, возможно , придется включать дополнительные папки в резервной копии (например /bin, /lib, lib64).

После этого переустанавливаете систему только сейчас, зашифровав. Обновите его в полном объеме. Затем переместите резервную копию в зашифрованную систему и установите все программное обеспечение из предыдущей версии.

Просто убедитесь , что не перезаписать файлы , важные для шифрования, кладя обратно резервную копию (например /etc/fstab, /etc/cryptabнекоторые связанные личинка вещи и некоторые вещи в /bootне должны быть заменены резервными копиями файлов).

На работающем Ubuntu 16.04 мне удалось зашифровать корневой раздел после установки, причем корневой раздел содержал все, кроме / boot. Я ставлю / boot на отдельном съемном USB. Примечательно, что я сделал это перед обновлением до Ubuntu 18, и обновление работало нормально на зашифрованной версии диска.

Шифрование не было сделано «на месте», что меня устраивало, потому что я не хотел перезаписывать рабочую версию, пока новая настройка не заработала.

Выполнение правильной процедуры чрезвычайно просто и быстро. (Хотя выяснение правильной процедуры было чрезвычайно трудоемким, потому что я следовал за некоторыми ложными выводами.)

КОНТУР

1. Создайте живой USB-диск linux - удобно иметь постоянство. Загрузитесь с этого живого USB-диска.
2. Создайте зашифрованную группу томов luks на пустом разделе. (В моем случае он был на том же диске, что и исходный Linux, но это мог быть другой диск.) Создайте / (root) и поменяйте местами логические тома в этом зашифрованном разделе. Они будут действовать как виртуальные разделы в отношении скопированного linux.
3. Скопируйте файлы из старого корня в новый корень.
4. Установите и разделите другой USB-диск, чтобы он служил съемным загрузочным диском.
5. Установите несколько файлов в новом корне, сделайте немного магии и выполните chroot в новом корне, а затем установите grub на загрузочный диск из новой корневой среды chroot.

ПОДРОБНОСТИ

1 - загрузка с живого linux USB-диска - удобно включить постоянство.

Установил Ubuntu 16 на usb с unetbootin. Графический интерфейс позволяет «живучесть» уточняется, но еще один шаг также требуется , чтобы получить настойчивость в работе - изменить , /boot/grub/grub.cfgчтобы добавить --- persistentследующим образом :

menuentry "Try Ubuntu without installing" {
    set gfxpayload=keep
    linux   /casper/vmlinuz  file=/cdrom/preseed/ubuntu.seed boot=casper quiet splash --- persistent
    initrd  /casper/initrd
}

Загрузитесь с живым USB

2. Создайте зашифрованную группу томов luks на пустом разделе. Создайте / (root) и поменяйте местами логические тома в этом зашифрованном разделе.

Предположим, что неиспользуемый раздел для шифрования /dev/nvme0n1p4.

При желании , если у вас есть старые данные в разделе, который вы хотите скрыть перед шифрованием и форматированием, вы можете произвольно стереть раздел. Смотрите обсуждение здесь .

dd if=/dev/urandom of=/dev/nvme0n1p4 bs=4096 status=progress

Настройте шифрование.

cryptsetup -y -v luksFormat /dev/nvme0n1p4

Вам будет предложено установить пароль.

cryptsetup luksOpen /dev/nvme0n1p4 crypt1

Вам будет предложено ввести пароль. Обратите внимание, что crypt1это произвольное пользовательское имя. Теперь создайте тома и формат.

pvcreate /dev/mapper/crypt1
vgcreate crypt1-vg /dev/mapper/crypt1

lvcreate -L 8G crypt1-vg -n swap
mkswap /dev/crypt1-vg/swap

lvcreate -l 100%FREE crypt1-vg -n root
mkfs.ext4 /dev/crypt1-vg/root

Используйте эти утилиты для просмотра томов и понимания иерархии.

pvscan
vgscan
lvscan
ls -l /dev/mapper
ls -l /dev/crypt1

3- Скопируйте файлы из старого корня в новый корень

mkdir /tmp/old-root 
mount /dev/ubuntu-vg/root /tmp/old-root/
mkdir /tmp/new-root
mount /dev/crypt1-vg/root /tmp/new-root/
cp -a /tmp/old-root/. /tmp/new-root/

umount /tmp/old-root
umount /tmp/new-root

cp -a ... Копирует в режиме архива, сохраняя все режимы файлов и флаги.

4- Настройте и разделите другой USB, чтобы он служил в качестве съемного загрузочного диска.

Я использовал gparted для этого. Установите два раздела. Первый раздел есть vfat, второй ext2. Каждый был 512 МБ, вы могли бы уйти с меньшими затратами. Предположим устройство /dev/sdf.

# The first partition: (will be /dev/sdf1)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: fat32
Label: (leave)

# The second partition: (will be /dev/sdf2)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: ext4
Label: (leave) 

5. Установите некоторые файлы в новом корне, сделайте немного магии и выполните chroot в новом корне, а затем установите grub на загрузочный диск из новой корневой среды chroot.

Найдите некоторые UUID для дальнейшего использования. Обратите внимание на результаты следующих команд:

blkid /dev/sdf1
blkid /dev/sdf2
blkid /dev/nvme0n1p4

Смонтируйте корневой раздел и загрузочные разделы

sudo mount /dev/mapper/crypt1--vg-root /mnt
sudo mount /dev/sdf2 /mnt/boot
sudo mount /dev/sdf1 /mnt/boot/efi

Настройте файл /mnt/etc/fstab

/dev/mapper/crypt1--vg-root /               ext4    errors=remount-ro 0       1
/dev/mapper/crypt1--vg-swap none    swap    sw              0       0
UUID=[uuid of /dev/sdf2] /boot           ext2    defaults        0       2
UUID=[uuid of /dev/sdf1]  /boot/efi       vfat    umask=0077      0       1

где "[uuid of ...]" - просто комбинация букв-цифр-дефисов.

Создать файл /mnt/etc/cryptab

# <target name> <source device>     <key file>  <options>
crypt1 UUID=[uuid of /dev/nvme0n1p4] none luks,discard,lvm=crypt1--vg-root

Некоторая магия требуется для входа в среду корневого каталога:

sudo mount --bind /dev /mnt/dev
sudo mount --bind /proc /mnt/proc
sudo mount --bind /sys /mnt/sys
chroot /mnt

Теперь настройте загрузочный USB-диск с помощью grub:

apt install --reinstall grub-efi-amd64
grub-install --efi-directory=/boot/efi --boot-directory=/boot --removable
update-initramfs -k all -c
update-grub

Теперь вы сможете перезагрузиться и загрузиться, используя только что созданный загрузочный диск USB.

Toubleshooting-

(а) Сеть должна быть подключена для apt install --reinstall grub-efi-amd64команды. Если сеть подключена, но DNS не работает, попробуйте

echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf > /dev/null

(b) Перед вызовом initramfsтекущий vmlinuz...файл, используемый в исходном linux, должен присутствовать в новом корневом каталоге. Если это не так, найдите его и разместите там.

(c) Команда grub-installпо умолчанию будет искать все другие диски Linux, которые может найти, даже если они не были mountотредактированы, и помещать их в меню загрузки на новом загрузочном USB. Обычно это нежелательно, поэтому этого можно избежать, добавив эту строку в /boot/default/grub.cfg:

GRUB_DISABLE_OS_PROBER=true

ПРИМЕЧАНИЕ. Текстовый файл с ключом шифрования можно добавить на съемный загрузочный USB-накопитель.

Простой ответ: Нет.

Сложный ответ:

Шифрование диска или раздела приведет к удалению всего, что в данный момент находится на этом диске или разделе, поэтому для шифрования диска вы также должны удалить содержимое диска. Вы должны сделать соответствующие резервные копии данных до начала. Очевидно, это означает, что вы должны переустановить систему, чтобы использовать полное шифрование диска, а не наоборот. Это связано с тем, что случайные данные будут записываться на весь диск, чтобы затруднить восстановление данных.

Но в настоящее время вам не нужно шифровать корневой раздел. Помните, что если что-то случится, вы выйдете из своей системы без возможности восстановить данные. Вы должны рассмотреть только шифрование вашей личной информации.

Смотрите связанный вопрос Как зашифровать полный диск после установки?