Possibilidade de migrar a criptografia 16.04 LTS para disco rígido (luks)?

Navegue suas respostas
0

Então, eu tenho um laptop e quero ver como é difícil migrar para a criptografia completa de disco. Eu fiz isso de uma instalação limpa uma vez antes e até escrevi um HOWTO que infelizmente não tenho mais acesso (Wiki corporativo). Minha expectativa é que fazer isso a partir de uma instalação limpa foi provavelmente muito automatizado e, portanto, uma migração pode ser muito mais difícil. Eu tenho procurado por guias, mas todos eles parecem estar marcados com alguma variante de "Duplicate", "Needs Updating", "Candidato para exclusão", etc. de tal forma que agora é muito difícil dizer qual é o guia mais apropriado .

    
por user447607 06.01.2017 / 17:40

1 resposta

1

Eu fiz essa migração uma ou duas vezes, mas você precisa ser capaz de usar o Google para resolver problemas que surjam. Esta não é uma resposta completa, apenas etapas aproximadas do que você precisa fazer. Estes passos têm que ser feitos a partir do Live CD e envolvem operações com LUKS e LVM, assim você pode obter um Live CD contendo a versão mais recente do KDE Partition Manager 3.0 e usá-lo para operações LUKS e LVM.

Se você tem espaço livre suficiente (mais de 50%), você pode simplesmente

  • Redimensione sua partição atual.
  • Crie um novo volume físico (PV) do LVM2 criptografado com o LUKS.
  • Crie um novo grupo de volume contendo o PV do LVM.
  • Crie um novo volume lógico LVM para seus rootfs (e provavelmente swap e todas as outras partições que você possa ter ...). Eu mesmo uso btrfs com subvolumes, então eu só tinha btrfs e swap.
  • Mova seus dados para partições criptografadas
  • Excluir partições não criptografadas
  • Desative o LVM e desative seu contêiner LUKS
  • Mover o contêiner LUKS para o início do disco (espaço liberado pela exclusão de dados não criptografados)
  • Abra seu contêiner LUKS novamente.
  • Cresça seu contêiner LUKS para que ele preencha todo o disco.
  • Cresça o LVM LV que contém seu sistema de arquivos raiz.

Então você terá que atualizar as entradas em / etc / fstab, criar / etc / crypttab, chroot em seus rootfs criptografados, atualizar sua configuração initramfs e grub.

Isso ainda deixa / boot não criptografado. Você pode criptografar / boot também, mas isso adiciona alguns passos extras, então primeiro verifique se tudo acima funciona. A fim de criptografar a inicialização, você tem que mover o conteúdo da partição / boot info seu rootfs / boot /. Então, em / etc / default / grub você precisa adicionar GRUB_ENABLE_CRYPTODISK=y e remover o antigo não criptografado / boot. Então, novamente, você terá que atualizar as entradas em / etc / fstab, criar / etc / crypttab, chroot em seus rootfs criptografados, atualizar suas configurações initramfs e grub. Após estes passos, o grub pedirá a senha antes de inicializar, no entanto, ela não passará para o initramfs na inicialização, então o cryptsetup perguntará novamente. Portanto, você precisará adicionar um arquivo de chave luks ao seu contêiner luks e colocá-lo em seu initramfs. Por exemplo. meu arquivo / etc / crypttab contém 

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks
    
por Andrius Štikonas 07.01.2017 / 18:29
terminal 'export PATH' problema Está tudo bem para formatar essas partições no SCSI2?