HOWTO เข้ารหัส Ubuntu 18.04 LTS การติดตั้งด้วยสองไดรฟ์: ระบบปฏิบัติการบน SSD หลัก / home บน HDD สำรองของคุณ
นี่คือคำแนะนำเกี่ยวกับการติดตั้งแบบเต็มดิสก์ของ Ubuntu 18.04 LTS เพื่อไม่ให้สับสนกับการเข้ารหัสของไดเรกทอรี/ homeเพียงอย่างเดียวซึ่งฉันเชื่อว่าถูกลบออกเป็นตัวเลือกระหว่างการติดตั้ง คำแนะนำเหล่านี้สำหรับ Ubuntu 18.04 LTS แต่ควรใช้กับ 16.04 LTS
คู่มือนี้อนุมานว่าคุณคุ้นเคยกับ Ubuntu (Linux) และสามารถติดตั้งระบบปฏิบัติการจากคีย์ USB หรืออย่างน้อยก็เข้าใจวิธีการทำขั้นตอนนี้ - ถ้าคุณไม่สามารถหาคนที่สามารถทำได้และคุณทั้งคู่ผ่านมันไป . คู่มือนี้อนุมานว่าคุณได้สำรองข้อมูลทั้งหมดของคุณก่อนที่จะเริ่มกระบวนการนี้เนื่องจากคุณจะทำลายข้อมูลทั้งหมดในไดรฟ์ทั้งหมดในระหว่างขั้นตอนนี้
คุณได้รับการเตือนแล้ว!
คู่มือนี้ส่วนใหญ่เป็นสองขั้นตอนจากที่นี่ (โพสต์บล็อกของ David Yates) ( https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14-) 10-post-install / ) และ Ask Ask post ( ย้ายโฮมโฟลเดอร์ไปยังไดรฟ์ที่สอง )
สิ่งแรกก่อนทำไมเราต้องการทำเช่นนี้? เพราะหากคุณเป็นเจ้าของแล็ปท็อปหรือข้อมูลที่มีความละเอียดอ่อนอื่น ๆ ในคอมพิวเตอร์และถูกขโมยหรือสูญหายจึงจำเป็นต้องปกป้องข้อมูล คุณอาจต้องรับผิดชอบตามกฎหมายในการปกป้องข้อมูล ประการที่สองระบบ (ส่วนใหญ่) ตอนนี้มาพร้อมกับ SSD ขนาดเล็ก (เร็ว) สำหรับระบบปฏิบัติการและ HDD ที่ใหญ่กว่า (ช้า) สำหรับข้อมูล ประการที่สามการเข้ารหัสเฉพาะไดเรกทอรี/ homeได้รับการยอมรับว่าเป็นความคิดที่ไม่ดีเนื่องจากทำให้คุณมีโอกาสถูกแฮ็ก/ ที่บ้าน (อย่าถามฉันว่าจะทำอย่างไรฉันทำไม่ได้) และการเข้ารหัสบางส่วนจะช้าลง ระบบในระดับใหญ่ FDE ต้องการค่าใช้จ่ายน้อยลงและดังนั้นจึงมีผลกระทบต่อประสิทธิภาพของระบบน้อยที่สุด
ส่วนที่ 1: ติดตั้ง Ubuntu 18.04 LTS บนไดรฟ์หลัก (โดยปกติจะเป็น SSD)
ติดตั้ง Ubuntu 18.04 LTS บนขนาดเล็กลง (โดยปกติจะเป็น SSD) และตรวจสอบ (i) ลบดิสก์ (ii) เข้ารหัสการติดตั้งและ (iii) การจัดการ LVM
สิ่งนี้จะส่งผลให้ SSD ที่เข้ารหัส แต่จะไม่สัมผัสกับไดรฟ์ที่สอง (โดยปกติคือ HDD) ฉันสมมติว่าไดรฟ์ที่สองของคุณเป็นไดรฟ์ใหม่ที่ไม่ฟอร์แมต แต่ไม่สำคัญว่าจะมีอะไรอยู่ในไดรฟ์ก่อนขั้นตอนนี้ เราจะทำลายข้อมูลทั้งหมดในไดรฟ์นี้ เราจะใช้แพคเกจซอฟต์แวร์จากใน Ubuntu เพื่อเตรียมไดรฟ์ (ไม่แน่ใจว่าจำเป็นต้องมีการเตรียมการนี้หรือไม่ แต่เป็นสิ่งที่ฉันได้ทำการทดสอบ) เพื่อเตรียมความพร้อมนี้ได้เร็ว ๆ นี้เพื่อจะย้ายคุณhome /พาร์ทิชัน (โฟลเดอร์) คุณควรจัดรูปแบบการใช้เครื่องมือที่เรียกว่า GUI GParted
sudo apt install gparted
เปิด gParted แล้วไปยัง HDD ตัวที่สองของคุณ (ตรวจสอบอย่างระมัดระวัง/ dev / sd? X ) และลบพาร์ติชั่นที่มีอยู่ & ทั้งหมดที่มีอยู่ทั้งหมดจากนั้นสร้างพาร์ติชั่นหลักใหม่โดยใช้ระบบไฟล์ext4 คุณสามารถติดป้ายกำกับได้ แต่ไม่จำเป็น เลือก "สมัคร" หนึ่ง gParted เสร็จแล้วปิด gParted และตอนนี้คุณก็พร้อมที่จะติดตั้งคอนเทนเนอร์ LUKS บนไดรฟ์ที่สองแล้วฟอร์แมต ในคำสั่งดังต่อไปนี้แทนSD? Xที่มีชื่อของคุณSECONDARYไดรฟ์ (ไม่ได้ไดรฟ์หลักของคุณ) เช่นsda1
sudo cryptsetup -y -v luksFormat /dev/sd?X
จากนั้นคุณจะต้องถอดรหัสพาร์ติชันใหม่เพื่อให้คุณสามารถฟอร์แมตด้วยext4ซึ่งเป็นระบบไฟล์ Linux ที่ทันสมัยที่ Ubuntu ต้องการ
sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt
หากคุณต้องการใช้ HDD ตัวที่สองของคุณเป็นฮาร์ดไดรฟ์ทั่วไปที่เข้าถึงได้บ่อย (เช่นในการย้ายพาร์ติชั่น/ โฮมของคุณไปยังจุดซึ่งเป็นจุดที่ของPart II ) มีวิธีการเมานต์และถอดรหัสฮาร์ดไดรฟ์ที่สอง เมื่อคอมพิวเตอร์แจ้งให้คุณป้อนรหัสผ่านการถอดรหัสฮาร์ดไดรฟ์หลัก นอกเหนือ:ฉันใช้ข้อความรหัสผ่านเดียวกันสำหรับทั้งไดรฟ์ของฉันเพราะฉันเชื่อโชคลางและมองเห็นปัญหามากขึ้นด้วยข้อความรหัสผ่านที่แตกต่างกันสองแบบ
ก่อนอื่นคุณจะต้องสร้าง keyfile ซึ่งทำหน้าที่เป็นรหัสผ่านสำหรับไดรฟ์รองของคุณและเพื่อให้คุณไม่ต้องพิมพ์ทุกครั้งที่เริ่มต้นใช้งาน (เช่นรหัสผ่านการเข้ารหัสฮาร์ดไดรฟ์หลักของคุณ)
sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile
เมื่อสร้าง keyfile แล้วให้เพิ่มบรรทัดต่อไปนี้ใน / etc / crypttab โดยใช้ nano
sudo nano /etc/crypttab
เพิ่มบรรทัดนี้บันทึก & ปิดไฟล์ ( / etc / crypttab )
sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard
ในการรับ UUID ของพาร์ริชั่นเข้าสู่ไฟล์/ etc / crypttabให้ใช้คำสั่งนี้ (คุณต้องใช้sudoเพื่อให้พาร์ติชันทั้งหมดของคุณปรากฏขึ้น):
sudo blkid
ค่าที่คุณต้องการคือ UUID ของ/ dev / SD? Xไม่dev / mapper / SD? X_crypt ตรวจสอบให้แน่ใจว่าได้คัดลอก UUID ไม่ใช่ PARTUUID
ตกลง ณ จุดนี้ (ปิด & บันทึกไฟล์/ etc / crypttab ) คุณควรจะสามารถเข้าสู่การติดตั้ง Ubuntu ของคุณ (ป้อนรหัสผ่านการถอดรหัสไดรฟ์หลักของคุณ) และควรถอดรหัสทั้งไดรฟ์หลักและรองของคุณ คุณควรตรวจสอบเพื่อดูว่านี้เกิดขึ้นมิฉะนั้นSTOP ; และแก้ไขปัญหา หากคุณยังใช้งานไม่ได้และคุณย้าย/ กลับบ้านคุณจะมีระบบที่ไม่ทำงาน
รีบูตและตรวจสอบเพื่อดูว่านี้ (ถอดรหัสเดซี่เชน) ในความเป็นจริงเป็นกรณี หากไดรฟ์รองจะถูกถอดรหัสโดยอัตโนมัติเมื่อคุณเลือก“สถานที่อื่น ๆ” ไดรฟ์ที่สองควรแสดงขึ้นในรายการและมีไอคอนล็อคบน แต่ไอคอนควรจะปลดล็อค
หากไดรฟ์ที่สองถอดรหัสโดยอัตโนมัติ (เท่าที่ควร) ให้ย้ายไปยังส่วนที่ IIกำหนดให้ไดรฟ์ที่สองเป็นตำแหน่งเริ่มต้นของโฟลเดอร์/ homeของคุณ(ด้วยพื้นที่จำนวนมาก)
ส่วนที่สอง: ย้าย / พาร์ติชันของคุณไปยังไดรฟ์รองของคุณ ( เช่น HDD)
เราจำเป็นต้องสร้างจุดเชื่อมต่อสำหรับไดรฟ์รองติดตั้งพาร์ติชันใหม่ชั่วคราว (HDD สำรอง) และย้าย/ กลับบ้านไปที่:
sudo mkdir /mnt/tmp
sudo mount /dev/mapper/sd?X_crypt /mnt/tmp
สมมติว่า/ sd? Xเป็นพาร์ติชั่นใหม่สำหรับ/ home (ตามข้างบน)
ตอนนี้เราคัดลอกโฟลเดอร์/ homeของคุณไปยังตำแหน่งใหม่/ บ้านจากไดรฟ์หลัก (SSD) ไปยังไดรฟ์รอง (HDD)
sudo rsync -avx /home/ /mnt/tmp
จากนั้นเราอาจติดตั้งพาร์ติชันใหม่เป็น/ homeด้วย
sudo mount /dev/mapper/sd?X_crypt /home
เพื่อให้แน่ใจว่ามีโฟลเดอร์ทั้งหมด (ข้อมูล) อยู่
ls
ตอนนี้เราต้องการทำให้ที่ตั้งใหม่/ บ้านบนไดรฟ์รองถาวรเราต้องแก้ไขรายการfstabเพื่อติดตั้งย้าย/ กลับบ้านของคุณโดยอัตโนมัติบน HDD ตัวที่สองที่ถอดรหัส
sudo nano /etc/fstab
และเพิ่มบรรทัดต่อไปนี้ในตอนท้าย:
/dev/mapper/sd?X_crypt /home ext4 defaults 0 2
บันทึกและปิดไฟล์
Reboot หลังจากรีบูตเครื่อง/ บ้านของคุณควรอยู่ในไดรฟ์รองใหม่และคุณควรมีพื้นที่เหลือเฟือสำหรับข้อมูลของคุณ