Como obter criptografia de qualidade no disco Debian após a instalação?

1

Eu gostaria de ativar a opção de criptografia de disco no Debian, mas não encontro nenhuma opção que possa ser colocada após a instalação do sistema, já que eu não escolhi a criptografia de disco inicialmente. Eu sei que o segmento Existe alguma maneira de criptografar totalmente o meu disco rígido após uma instalação do Linux Mint? É salientado que a reinstalação com opção de criptografia é o melhor caminho a percorrer. No entanto, estou pensando que se esta é uma abordagem estável, faça isso depois no Debian. Eu tenho alguns aplicativos (Matlab, Mathematica, ...) que eu deveria reinstalar também, o que eu gostaria de evitar.

Eu não gosto da criptografia de partições depois por ecryptfs-migrate-home , que é uma desvantagem máxima de 2.5x maior espaço em disco rígido (Dustin Kirkland no tópico É possível criptografar Home drive após a instalação sem o espaço de 2,5x?) . A capacidade do meu HDD não será suficiente (170 * 2,5 > 250) em tal configuração. Eu nunca experimentei esse efeito na instalação do Debian com a opção de criptografia inicialmente. Este fato me propõe que a reinstalação é a melhor opção, mas ...

OS: Debian 8.7
HDD: 250 GB, com 170 GB agora

    
por Léo Léopold Hertz 준영 11.03.2017 / 22:46

1 resposta

2

Depende muito da maneira como seu disco é particionado, mas deve ser viável se você puder emprestar um disco grande o suficiente para realizar a migração (pelo menos ≥170 GB, idealmente ≥250 GB, possivelmente um disco externo).

As coisas são muito mais fáceis se você já usa o LVM, o que permite a migração ao vivo. Sugiro também que você use uma partição /boot não criptografada separada. (Parece que o grub2 pode manipular /boot criptografada, mas eu nunca usei isso sozinho).

Aqui estão os passos que eu sugeriria:

  1. (supondo que você não tenha uma partição / volume /boot separada) Use um sistema ativo para reduzir sua partição / volume / (ou qualquer outra partição) e crie espaço suficiente para uma nova partição /boot / volume (com resize2fs ou uma ferramenta equivalente); crie uma nova partição / volume /boot e algum sistema de arquivos nela; monte sua nova partição em algum lugar e mova o conteúdo do seu antigo /boot para sua nova partição; atualize seu /etc/fstab para montar a nova partição em /boot ; realmente monte a nova partição para /boot ; atualize seu ramdisk (com update-initramfs ) e configuração do grub (com update-grub ).
  2. (supondo que você ainda não esteja usando o LVM) Em seu segundo disco, crie um volume físico, um grupo de volumes e tantos volumes lógicos quanto as partições (exceto /boot ) no primeiro disco; use um sistema ativo para copiar o conteúdo de cada partição do primeiro disco para o volume lógico correspondente no segundo disco; (ainda usando seu sistema ativo) atualize seu /etc/fstab para montar os novos volumes lógicos em vez das partições antigas; (ainda usando seu sistema live) atualize seu /boot/grub/grub.cfg para dizer ao kernel onde encontrar a nova partição.
  3. Reparticione seu primeiro disco com uma pequena partição para / boot e um grande para a criptografia. Você pode ter que atualizar sua configuração do grub se o UUID do seu sistema de arquivos /boot foi alterado; Se você não tiver certeza, atualize-o com update-grub .
  4. Configure a criptografia em sua nova partição dedicada.
  5. Transforme seu novo volume criptografado em um volume físico para o LVM, torne-o parte de seu grupo de volumes e mova seus volumes lógicos para o novo volume físico (usando pvmove ). Atualize seu initrd e garanta que ele ofereça suporte à criptografia.
  6. Remova o volume físico no segundo disco do seu grupo de volumes.
  7. Aproveite!

Cuidado, isso é complexo e existem muitas armadilhas, provavelmente algumas que eu esqueci. Se você quiser experimentar, peço que tente primeiro com um sistema falso, possivelmente usando o qemu.

    
por 12.03.2017 / 00:12