EFI(/boot/efi
)、ブート(/boot
)、ルート(/
)の3つのパーティションがあります。暗号化したいjust/
。インストーラーを使用して手動でこれを行うことができますが、事前にシードする必要があります。
どうすれば定義できますか?私の(暗号化されていない)レシピは次のようになります。これは、私が見つけたEFIシステムパーティションの提案のごく一部です(明確なガイドは見つかりませんでした)。
boot-root ::
100 100 100 fat32
$primary
$iflabel{ gpt }
$reusemethod( }
use_filesystem{ } filesystem{ vfat }
method{ efi } format{ }
mountpoint{ /boot/efi }
.
300 300 300 ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ /boot }
.
100% 3000 100% ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ / }
.
sda3
をLUKS暗号化の物理パーティションにし、その上にファイルシステムを作成するにはどうすればよいですか?
更新:
以下のようにパーティションを暗号化するように設定できることを発見しましたが、まだ3つの問題があります。
dm-crypt
に暗号化タイプを選択しません。まだまだ苦労している
boot-root ::
100 100 100 fat32
$primary
$iflabel{ gpt }
$reusemethod( }
use_filesystem{ } filesystem{ vfat }
method{ efi } format{ }
mountpoint{ /boot/efi }
.
300 300 300 ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ /boot }
.
100% 3000 100% ext4
method{ crypto } format{ }
.
最初に、ルートターミナルを開きます。
Sudo -i
次に、次のようなコマンドを使用して、暗号化する必要があるパーティションをランダムデータで満たします。
openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > /dev/sdxy
sdxy
を、暗号化されるパーティションに置き換える必要があります。次に入力
cryptsetup luksFormat --cipher twofish-xts-plain64 --key-size 512 --hash sha512 --iter-time 2000 /dev/sdxy
パーティションを暗号化するsdxy
。ボリュームを開き、root
という名前を付けます。
cryptsetup luksOpen /dev/sdxy root
次のコマンドを使用して、内部にext4ファイルシステムを作成します。
mkfs.ext4 /dev/mapper/root
次に、インストーラーを開始できます。何をしたいのか尋ねられたら、「何か他のもの」を選択します。次に、暗号化されていないすべてのパーティションのマウントポイントを選択します。 root
パーティションに対して、/dev/mapper/root
を選択し、[変更]をクリックします。次に、ファイルシステムタイプとしてext4
を選択し、マウントポイントを/
に設定します。次に、「今すぐインストール」をクリックして、Ubuntuを通常どおりインストールします。
インストールが完了したら、[テストを続行]をクリックします。ターミナルを開き、次を入力します。
Sudo -i
cd /mnt
mkdir root
mount /dev/mapper/root root
mount /dev/sdyz root/boot
sdyz
は、boot
パーティションに置き換える必要があります。次に、次を入力します。
chroot root
mount -t proc proc /proc
mount -t sysfs sys /sys
nano /etc/crypttab
2番目のターミナルを開き、Sudo blkid
と入力します。 root
(最後にcrypto_luks
と書かれているもの)のUUIDを見つけて、/etc/crypttab
に貼り付けます。ファイル/etc/crypttab
は次のようになります。
root UUID=d68911dd-172a-4608-86d4-084eb72f409c none luks
でファイルを閉じます Ctrl+x、 y そして Enter。ターミナルにnano /etc/fstab
と入力し、すべてが正しく見えるかどうかを確認します(UUIDなど)。
最後に、chroot環境を終了し、次のように入力します。
cryptsetup luksHeaderBackup /dev/sdxy --header-backup-file /root/root.img
これにより、暗号化されたパーティションのヘッダーのイメージが/root
フォルダーに配置され、root.img
という名前が付けられます。次に、イメージを外部ドライブに移動します(パスワードを忘れた場合)。これで、新しくインストールしたUbuntuを再起動できます。
ソース: http://thesimplecomputer.info/full-disk-encryption-with-ubunt