Posso desativar a criptografia de disco completo?

35

Eu instalei recentemente o Ubuntu 12.10 e ele requer uma senha para inicializar (eu o instalei com um sistema de arquivos criptografado).

Preciso reinstalar para mudar para um sistema de arquivos padrão não criptografado?

    
por Zzealdor 19.01.2013 / 21:42

3 respostas

19

Se o Ubuntu solicitar uma frase secreta de criptografia durante a inicialização (ou seja, no console de texto antes de a tela de login ser exibida), isso indica que um método de criptografia de disco completo foi usado. (Há mais de uma maneira de fazer isso, mas vou manter a resposta geral.) A criptografia é tratada por uma camada de software extra entre o sistema de arquivos e o disco rígido físico, e não o próprio sistema de arquivos.

Não há um método ou ferramenta simples para desfazer isso. Com algum conhecimento sobre como os sistemas Linux funcionam, isso pode ser feito. Você teria que mover todo o sistema de arquivos (ou todos os arquivos) para outra partição (com espaço livre suficiente) ou HDD externo. Em seguida, remova o contêiner criptografado e recrie o sistema de arquivos sem criptografia. Por fim, verifique se o novo sistema de arquivos foi reconhecido corretamente pelo carregador de inicialização e mount -a antes de reinicializar.

Se possível, é melhor evitar esse procedimento demorado e propenso a erros. Basta fazer uma nova instalação. Para novos usuários, essa é a opção mais rápida e segura.

PS: É provável que você possa alterar a frase secreta de criptografia, possivelmente para uma string vazia. Em seguida, a descriptografia requer apenas pressionar Enter. Talvez você possa ir mais longe e suprimir o prompt da senha (agora inútil). No entanto, isso não desativa a criptografia. Os dados ainda seriam criptografados, embora a criptografia fosse inútil, já que a chave pode ser adivinhada com facilidade.

    
por Jan 20.01.2013 / 00:22
18

Abaixo está minha solução que funcionou. Tenha em mente que eu não sou especialista em Linux, então talvez não seja a melhor solução. Não foi possível encontrar um melhor de qualquer maneira.

Migrando a instalação do FDE para a partição não criptografada

NOTA : Sempre que eu digo, quero dizer

/dev/sda1 - boot partition
/dev/sda5 - encrypted partition
/dev/sda3 - clean non-encrypted EXT4 partition
/dev/sda2 - my newly created swap partition

Copiando dados do sistema de arquivos raiz criptografado

Inicialize a partir de um CD ao vivo. Eu usei o Ubuntu 13.10 32bit desktop ISO.

Monte sua partição:

sudo cryptsetup luksOpen /dev/sda5 crypt1

Copie seus dados de origem para a partição de destino e salve dd PID na variável pid:

sudo dd if=/dev/ubuntu-vg/root of=/dev/sda3 bs=1M & pid=$!

Isto irá pingar cada segundo dd com o sinal USR1 e o status dos resultados do dd:

while sudo kill -USR $pid; do sleep 1; done

Alternativa para monitorar DD

Se você não gosta de 'while method', use watch. Abra a janela do terminal diferente e obtenha o PID:

pgrep -l '^dd$' | awk '{ print  }'

Substitua por seu ID de processo:

watch kill -USR1 <pid>

Você deve ver a saída no seu terminal dd a cada 2s.

Configurando o novo sistema de arquivos raiz e partições

Quando terminar, você pode montar sua partição não criptografada para ver se está tudo bem:

sudo mount /dev/sda3 /mnt

Depois disso, desmonte sua partição:

sudo umount /dev/sda3

Liberar partição criptográfica:

sudo cryptsetup luksClose /dev/sda5

Execute o gparted. Exclua sua partição LUKS (estendida e lógica). Redimensione seu / dev / sda3 e vá para a esquerda. Crie uma partição de troca.

Nota: Mover seu / dev / sda3 para a esquerda pode demorar muito. Para mim demorou 30min em 120GB de partição e unidade SSD. Se você tiver 500 GB + HDD, prepare-se para algumas horas de espera. Você pode querer criar swap antes de sua partição em vez de mover seu / dev / sda3.

Crie um novo sistema de arquivos swap em sua partição swap:

sudo mkswap /dev/sda2 

e armazene em algum lugar o UUID.

Obtenha seu UUID da partição raiz:

sudo blkid /dev/sda3

Editar fstab:

sudo nano /etc/fstab

Exclua ou comente linhas de sobreposição e tmpfs.

Adicione linha substituindo por resultado blkid:

UUID=<uuid_root> /  ext4 errors=remount-ro 0 1
UUID=<uuid_swap> none swap sw 0 0

Remover arquivo:

rm /etc/crypttab

Atualize seu initramfs para evitar erros como "cryptsetup: evms_activate não está disponível":

sudo -i
mount /dev/sda3 /mnt
mount -t proc none /mnt/proc
mount -o bind /sys /mnt/sys
mount -o bind /dev /mnt/dev
mount /dev/sda1 /mnt/boot
chroot /mnt /bin/bash
apt-get remove --purge cryptsetup
update-initramfs -u -k all

Notas finais e resolução de problemas

Funcionou para mim, no entanto, existe a chance de que fazer acima do passo a passo possa não funcionar para você. Antes de descobrir o método update-initramfs eu estava reinstalando o kernel algumas vezes também estava modificando o grub. No entanto, não deve ser um caso para você. Lembre-se de que as instruções acima podem excluir seus dados, portanto, tome cuidado e faça BACKUP , ANTES de prosseguir.

Apenas no caso de você ter problemas com o kernel (chrooted e / boot):

uname -r
sudo apt-get install --reinstall linux-image-3.X.Y-ZZ-generic

É claro que substitua linux-image-3.X.Y-ZZ pela sua data de kernel do uname.

ou GRUB (fora do chroot):

sudo add-apt-repository ppa:yannubuntu/boot-repair && sudo apt-get update
sudo apt-get install -y boot-repair && (boot-repair &)

Mais detalhes: link

Boa sorte

    
por NeverEndingQueue 29.01.2014 / 21:10
7

Caso seja OK manter a criptografia, mas para desativar o prompt de frase secreta, uma abordagem muito mais simples é simplesmente definir uma senha trivial como "senha" e depois salvar essa senha trivial no initramfs em texto não criptografado. Desativar a senha de criptografia do LUKS .

Essencialmente, adicione um script de gancho que, por sua vez, adiciona um "keycript" ao initramfs. Normalmente, esses scripts são usados para obter a senha via Bletooth, de um pendrive, etc., mas, nesse caso, basta imprimir a senha comum.

    
por Richard A 16.06.2014 / 13:39