web-dev-qa-db-ja.com

完全なハードドライブ暗号化とプリブート認証を備えたマルチブート

完全なハードドライブ暗号化と起動前認証をサポートするマルチブートシステムをどのようにセットアップしますか?.

Ubuntu、Windows 7、Windows XPを搭載したシステムを使用していて、Red Hatをインストールしたい。私はgrub 2ブートローダーを使用しています。起動前認証を伴う完全なドライブ暗号化のために、このセットアップをサポートするソフトウェアは何ですか? TrueCrypt for Windowsのプリブート認証がありますが、GRUB 2でニースを果たしますか? Linux側で使用できる他のディスク暗号化ソフトウェアは何ですか?

26
dabest1

これをすべて読む前に、この手法は少なくとも5年前のものであることを覚えておいてください-今ではおそらくはるかに簡単です(他の回答を参照)。 (しかし、これをすべて理解するのは確かに楽しかったです。)

私はこれを数年前にFedora 10とWindows Vistaで行って、すべての複雑さがどのように組み合わさるかを示しました。少し複雑でしたが(主にWindows Vistaは「他の人とうまくいかない」ため、2番目にインストールするのが嫌いです)、結局、自分に合った方法を見つけました。 3つの既存のOSがあり、ドライブに別のOSを追加する必要があるため、ケースはさらに複雑になります。

4つのオペレーティングシステムでこれを試したことがないので、大部分はあなたに任せ(実際のパーティション分割など)、私の経験から一般的なセキュリティ原則を取り入れ、それらに適用しようとします。あなたの状況。また、私の場合、消去したドライブをゼロから始めたことにも注意してください。これはエキスパートのエクスポーズよりも実験的なものだったので、 "塩"の粒(しゃれは意図されていません)をいくつか使用して、責任を負わないでください。 :)


これらは私のメモにすぎません。状況に合わせて調整する必要があります。だからここに行きます:

ここで説明する方法によって克服される問題

  • 私のノートブックのハードディスクには、4つのプライマリパーティションしか含めることができませんでした。

  • OSをインストールできるのはプライマリパーティションのみです(とにかくWindows)。

  • プライマリパーティションは、システムが起動できる唯一のパーティションです

  • 各拡張パーティションは、プライマリパーティションとしてカウントされます。

  • 6または7つのパーティションが必要になる場合があります。

  • TrueCryptは、複数のパーティション、OS、さまざまなファイルシステムを持つドライブ全体を1つのドライブでのみ実行する場合は暗号化できません

  • TrueCryptは、GrubやWindows以外のブートローダーではうまく機能しません。

  • Windowsは、最初に「起動可能」とフラグが設定されているパーティションにのみインストールすることを好みます(または「起動可能」とフラグが設定されているパーティションがない場合)

最後にメリット

  • 最初のブートローダープロンプトの後、さまざまな暗号化パーティションのマウントをスクリプトで自動化できます。 (<3 Truecrypt)

  • 暗号化されたオペレーティングシステム間でファイルを共有できます(パスワード付き)。

  • すべてのパーティションが暗号化され、スワップファイルも暗号化されます。

ブートローダーがどのように連携するか

  • WindowsのデフォルトのブートローダーをMBRにインストールして使用します。これは、コンピュータが最初に起動するものです。

  • GRUB(Fedoraのブートローダー))をインストールしますが、MBRにはインストールしません。これは、後で起動するために使用できるだけです。

  • Windowsブートローダーを引き継ぐTrueCryptをインストールします。 TrueCryptのブートローダーがMBRに入ります。ブート時に、ユーザーはTrueCryptで認証され、次にオプションのVistaまたはLinux(実際にはGRUB)が使用可能になるWindowsブートローダーに移動します。

  • 結局、私のブートプロセスは次のようになりました。

Diagram of full-disk encrypted dual-boot process

フルディスク暗号化デュアルブートプロセスの図(黄色のボックスは暗号化されたパーティション、南京錠はセキュリティの別のレイヤーです)

状況に応じて可能な調整

  • Windowsパーティションをマウントする以外は、Linux側でTruecryptを使用しませんでした。 Linuxで暗号化されたネイティブパーティションをWindowsからマウントする方法がわからないため、セットアップは一方向でした。 Truecryptを使用して、少なくともLinuxを暗号化することを検討してください/homeディレクトリを使用して、ネイティブLinux暗号化で/swapパーティションなど。これにより、Windows側のTruecryptがLinuxファイルをマウントできるようになります。

  • ハードドライブを同じ場所に再分割するか、Red Hat用に別のドライブを追加します。 SuperUser にいる人たちはおそらくこれについてもっと知っているでしょう。

  • 事前にハードドライブをどのようにパーティション分割するかを理解します...使用するパーティションの数は必要ありません。

必要条件

  • 完全に消去しても問題ないハードディスクが1つ以上あるコンピュータ(もちろん、最初にデータをバックアップしてください...)

  • インストールしたいOSのインストールディスク

  • Gparted LiveCDまたはLiveUSB

  • TrueCrypt

  • EasyBCD Windowsブートローダーを変更します(無料バージョンがあります...)


指示

データをバックアップします。ハードディスクを完全に消去して、すぐに再フォーマットします。

ドライブ全体を再フォーマットします。これを行うには、Gparted LiveCDを使用します。 Gpartedを使用したくない場合は、Fedora 10のインストーラーにパーティションエディターが付属しています。しかし、それは少しトリッキーです。 Fedoraを最初にインストールする必要がないため、Fedoraのセットアップを部分的に完了して、変更をディスクに適用し、セットアップを終了する必要があります。 (Windows Vistaのパーティションエディターは強力ではありません。これには使用できません。)Gparted LiveCDまたはLiveUSBの使用を強くお勧めします。

私はドライブを分割する方法を考えました、そしてしばらくして、私はこれを思いつきました:

Partition map

TrueCryptを使用したFedora 10とWindows Vistaのデュアルブート用のパーティションレイアウト

後から別の方法でサイズを変更したいのですが、好きなようにできます。各南京錠は暗号化されたパーティションを示します。 「TC」が付いた黄色の南京錠は、WindowsのTrueCryptで暗号化されています。青いものはFedoraによって暗号化されています。ご覧のとおり、すべてのパーティション(もちろん、/ bootパーティションを除く)は暗号化されています。赤でラベル付けされたパーティションはWindows用です。黒はLinux用です。

さて、これは私のために働くセットアップです。基本的に、次のものが必要です。

  • Grubを配置するプライマリブートパーティション(Fedoraがインストールできるブートローダー)-約50〜100メガバイトをお勧めします。パーティショニング時にこれを「起動可能」としてフラグを立てないでください-Windowsは文句を言うでしょう。

  • すべての「データ」または「その他」のパーティションを保持する拡張パーティション。これはFedora/homeディレクトリ(基本的にLinuxの「マイドキュメント」フォルダー)、Windowsバックアップパーティション(オプション)、およびLinuxスワップファイル(強く推奨)を保持します。スワップファイルは、少なくともRAMの容量と同じ大きさにする必要があります。

  • インストールするWindows Vistaのプライマリパーティション。

  • インストールするFedora 10のプライマリパーティション。

ドライブをパーティション化し、適切なファイルシステムでフォーマットしてください。上記の表を参考にしてください。

パーティションのサイズとそのファイルシステムを書き留めます。これは、OSのインストール時に必要になります。

Windows Vistaのインストールを開始します。カスタムインストールを行う必要があります。 Windowsインストール用に予約したプライマリNTFSパーティションを選択します。特にラップトップでは、ハードディスクドライバをロードすることを忘れないでください。 Windowsのインストールが約70%ハングする場合は、ラップトップ用のSATAドライバーをインストールする必要があります。ドライバーが読み込まれ、適切なパーティションを選択したら、Windowsをインストールします。

Windowsのインストール後、通常の方法で起動してセットアップを終了します。まだカスタマイズにあまり時間をかけないでください。実行したら、シャットダウンしてFedora 10 DVDを挿入します。そこから起動してFedoraをインストールします。ただし、次の点に注意してください。

  • パーティション設定にカスタムレイアウトを実行することを選択してください。 Fedoraはデフォルトで物事をワイプし、優先するパーティションレイアウトを作成するでしょう。これをさせないでください。現在のパーティション情報を表示および変更できる部分に直接進んでください。

  • NTFSパーティションをフォーマットしないでください。 Windowsはそのうちの1つにあります。

  • 小さいパーティション(100 MB?)のマウントポイントは必ず/ bootに設定してください。 -[形式]をオンにし、[ext3]を選択します。このパーティションは暗号化できません。

  • / homeディレクトリのパーティションのマウントポイントを…に設定しました:/ home。 「形式」にチェックを入れ、「ext3」を選択してから、「暗号化」オプションを選択します。

  • スワップファイルのパーティションのマウントポイントを/ swapに設定します。 Linuxでフォーマットする必要があるので、もちろん、「暗号化」を選択する必要があります。

  • メインのFedoraインストールのパーティションのマウントポイントを「/」に設定します。 「形式」にチェックを入れ、「ext3」を選択して、「暗号化」オプションを選択します。

続行する前に、NTFSパーティションの横にチェックマークがないことを確認してください。含まれている場合はフォーマットされているため、最初からやり直す必要があります。継続する。 Fedoraは、変更されたパーティション上のすべてのデータを削除することを警告します。大丈夫。ここでもパスワードを設定する必要がある場合があります。どうぞ。

すぐにブートローダーについて尋ねられます。ここを注意深く踏んでください。 GRUBブートローダーをMBRに書き込まないでください。「ブートローダーを/ dev/sda1にインストールする」(「sda1」は異なる場合があります)と表示されたら、ボックスをオンのままにして、 「デバイスの変更」を選択し、代わりに「ブートパーティションの最初のセクター」を選択します。

そのステップの後、あなたは家から解放されます。インストールを完了し、コンピュータを再起動します。 Windowsで直接起動します。

Windowsが読み込まれたら、EasyBCDをダウンロードしてインストールします。 Windowsブートローダーを簡単に変更できるようにする必要があります。エントリをブートローダーに追加します。「エントリの追加/削除」をクリックします。「Linux」タブを選択し、ドロップダウンから「GRUB」を選択して、わかりやすい名前を付けます。 Fedoraではなく、GRUBを含むパーティションを選択します。チェックボックスをオフのままにします。

エントリを追加して、再起動してください。これで、FedoraまたはWindowsのどちらかで起動できるはずです。次のように、Windowsを再度起動して暗号化します。

TrueCryptをインストールし、新しいボリュームを作成します。 「システムパーティションまたはシステムドライブ全体を暗号化する」を選択します。この時点から、適切なオプションを選択する必要があります。それらを注意深く読んでください!正確な順序は覚えていませんが、ある時点で「マルチブート」を指定する必要があります。最後に、WindowsのブートローダーがMBRにあるかどうか、または別のブートローダー(GRUBなど)が使用されているかどうかを尋ねます。覚えておいてください。私たちはWindowsのブートローダーを使用しています(Truecryptにそれを「追い越す」必要があります)。

ボリューム作成ウィザードを完了すると、システムを「テスト」するように求められます。再起動します。 TrueCryptブートローダーが起動し、パスワードを入力します。その後、LinuxまたはWindowsのどちらかで起動できるWindowsブートローダーをロードします。

ここから、Windowsシステムパーティションの暗号化を完了し、Windows用に作成した他のNTFSパーティションを暗号化することを忘れないでください。

完了したら、Linuxで起動してみてください。 GRUBブートメニューに移動します。ここでFedoraを選択するか、変更してWindowsに戻ることができます。Fedoraが起動すると、暗号化されたパーティションをマウントするときにパスワードの入力を求められます。


Tl; dr(長すぎる;読みませんでした)

2つのOSでそれを正しく行うために数回の試行を要し、EasyBCD、Truecrypt、Gpartedなどのソフトウェアを使用しましたが、最終的には2つのOSで成功しました。 4.キーは効果的に計画することです。パーティションのサイズとフォーマットを適切に設定し、オペレーティングシステムを正しい順序でインストールします。 (通常、Windowsが最初になります。)

PS。ええと、単純な解決策として、要求したものではありませんが、仮想マシンで4つのオペレーティングシステムのうち3つを実行することを検討しましたか?ホストマシンを暗号化して、他の3つを同時に保護することができます。 (そして、VHDファイルの紛失が心配な場合は、ゲストOSも完全に暗号化できることを覚えておいてください。)

25
Matt

更新のためにネクロされました:

これは今やはるかに簡単になりました。 TrueCryptの最新バージョンはLinux対応であり、複数のパーティションとGRUBを含むデュアルブートスキームを可能にします。

完全な手順 ここ

6
Steve

起動前認証(PBA)は、次の2つの方法で提供されます。

  1. ソフトウェアを介して

ソフトウェアのみに依存し、起動前認証が必要な場合、つまり、1つのソフトウェアが暗号化を実行し(OSのインストール前またはインストール前)、起動前認証環境(PBA)をインストールして管理する場合、そのようなセットアップとソフトウェア名は here で見つかります。記事が述べているように、

FDEシステムは、オンザフライの暗号化と復号化を実行するために、プロセッサ(したがって電力)のオーバーヘッドを伴い、これの影響は、個々のアプリケーションがディスクI/Oの量に依存します要求する。一般的な電子メールおよびオフィスの生産性活動を実行するユーザーにとって、パフォーマンスへの影響はほとんどありません。ただし、コンピューターのメインプロセッサとFDE製品の両方がIntelのAESをサポートしている場合を除き、ビデオ処理などの非常にデータを集中的に使用する活動では重大な影響を与える可能性があります。ハードウェアアクセラレーションによる暗号化と復号化に関するNIの手順

したがって、別の解決策は、ハードウェア暗号化を利用することです。

。 2.ハードウェアを介して

ここでは、自己暗号化ドライブ(SED)を使用して、ATAセキュリティ機能(TPMモジュールのようなプリブート認証を可能にする)を使用するか、TCGのOPAL(2.0)準拠のSEDを使用して、それらを活用できる(主にWindowsのみの)ソフトウェア。 Microsoftはそのようなドライブについて仕様を作成しました。 ここ を参照してください。Windows8にアップグレードして要件を満たしている場合、BitLockerはドライブを初期化してPBAをインストールし、暗号化キーを管理します。

したがって、たとえば、Crucial M500 SSDにOSをコピー/再インストールして、WinMagicのSecureDocスタンドアロンソフトウェアを使用したり、Windows 8 BitLockerにアップグレードした場合などです。次に、好きな方法で他のOSをインストールできます。

ただし、ハードウェア暗号化は一種のブラックボックスであり、実装した製造元を信頼する必要があるため、注意が必要です。 libreソフトウェアはまだOPAL準拠ドライブを管理することができないため、非libreソフトウェアにも同じことが言えます。

1
neitsab

Linuxは、拡張パーティション内の論理パーティションにインストールできます(Windowsは、拡張内の論理からの起動を拒否するウィンドウです)。

プライマリパーティションの内容に触れずに、拡張内部の論理内部から起動する方法:

仮説:拡張パーティション内にパーティション化されていないスペースがあり)、SystemRescueCDのようなLiveCDからブートして作業を行います。HDDが拡張パーティション内の論理パーティションからブートした後で、トリックを実行できるGrub2ブートローダーのおかげです。 、拡張パーティションから起動できます。

  • Grub2とGPartedを持つSystemRescueCdのようなLiveCDを起動します(パーティション作成のGUIインターフェイス用)
  • 拡張パーティション内で、ext4(またはGrub2がサポートするその他のフォーマット)の論理パーティションを作成(GPartedを使用)します。
  • / bootなどのパーティションをコンソールからマウントし、grub2-install/dev/sda#(#はパーティションの番号)を使用してgrub2をインストールします。
  • テキストエディタで/boot/grub/grub.cfgを作成します(サンプルについてはインターネットを参照してください)
  • 再起動、LiveCDを抽出
  • PCはMBRから起動し(ここでは拡張パーティションについて話していますが、GPTにはここでは何の意味もありません)、拡張内のその論理パーティションからGrub2をロードし、そこからLinuxをロードできます/拡張内の別の論理パーティションにあるパーティション。

さらに、Windowsがない場合(Linuxが1つ以上ある場合に最適です)、プライマリパーティションは必要ありません。100%を占める拡張パーティションが1つしかない論理パーティション内にすべてのLinuxを配置できます。 HDD。

注:BSDや他のOSも論理パーティション内にある可能性があります。私はそれらの経験がないため、申し訳ありません。

大きなトリック:Grub2ブートローダーは、0、1、2、または3つのプライマリパーティションを持つ論理パーティション内から起動でき、2番目のHDDが存在する場合は2番目のHDDにチェーンロードでき、2番目のHDDをOSに表示することもできます。最初(drivemapコマンドを使用)など.

欠点:TrueCrypt/VeraCryptで暗号化されたWindowsは、起動方法を吸引します...独自のデータでディスクのトラック0を強制するため、2つ以上のWindowsやGrub2とは互換性がありません。 MBRトラックの代わりにPBRトラックを使用してプログラムしないのですか?暗号化されたウィンドウ(ディスクあたり1つ以上のウィンドウ)でマルチブートを実行できるように!!!

0
Anonimo