「他のことをする」を指定してインストールプロセスを実行し、暗号化されたコンテナとして使用するパーティションを選択し、最後にそのコンテナを使用してファイルシステムでフォーマットしました。選択した暗号を使用するオプションが表示されず、デフォルトがsha256
。
使用したいことを伝える方法はありますか?
編集:これは、16.10デスクトップisoを使用していました。
Edit2:以下のAlexPのサンプルテーブルが与えられた場合、上記のようにUbuntuインストーラーを実行した後、実際のデフォルトをリストすると思いました。
Edit3:は、 Archの推奨事項 とUbuntuのデフォルトがおそらくまったく変わらないことを示すと思います。
際立っている唯一のことはペイロードのオフセットであり、逸話的には、ubuntuドライブがより速く開くと感じています。 Ithinkこれは、--iter-time
。デフォルトは2000
(ミリ秒)と指定します5000
手動で。これは、正しく理解できた場合に最終ハッシュに到達するまでの時間です。ロックを解除するたびに、正しいパスワードハッシュを取得するために、これを再度行う必要があります(間違っている場合は正しい)。それ以外は同じです。
### ubuntu default
$ Sudo cryptsetup luksDump
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
### Arch recommendation
$ Sudo cryptsetup luksDump
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 65535
MK bits: 512
### ubuntu default
$ Sudo cryptsetup status /dev/mapper/ubuntu
type: LUKS1
cipher: aes-xts-plain64
keysize: 512 bits
device: /dev/sdb2
offset: 4096 sectors
size: 487393280 sectors
mode: read/write
### Arch recommendation
$ Sudo cryptsetup status /dev/mapper/Arch
type: LUKS1
cipher: aes-xts-plain64
keysize: 512 bits
device: /dev/sda2
offset: 65535 sectors
size: 233262018 sectors
デフォルトの暗号は、256ビットキーとSHA-1チェックサムを使用したaes-xts-plain64
です。これは適切なデフォルトです。非常に良いデフォルトです。資格のある暗号作成者でない限り、そのままにしておく必要があります。知識のある人は、多くの時間と労力を費やしてこのデフォルトを選択しています。
暗号化されたコンテナに使用されている暗号を確認するには、Sudo cryptsetup status
およびSudo cryptsetup luksDump
コマンドを使用できます。例えば:
$ Sudo lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 40G 0 disk
├─sda1 8:1 0 284M 0 part /boot
└─sda2 8:2 0 39.7G 0 part
└─Machinia 252:0 0 39.7G 0 crypt
├─Machinia-Swap 252:1 0 1.2G 0 lvm [SWAP]
├─Machinia-Home 252:2 0 9.5G 0 lvm /home
├─Machinia-System 252:3 0 20G 0 lvm /
└─Machinia-Srv 252:4 0 6G 0 lvm /srv
sr0 11:0 1 1024M 0 rom
$ Sudo cryptsetup status Machinia
/dev/mapper/Machinia is active and is in use.
type: LUKS1
cipher: aes-xts-plain64
keysize: 256 bits
device: /dev/sda2
offset: 4096 sectors
size: 83298304 sectors
mode: read/write
flags: discards
$ Sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
...
言われていることは、絶対に別の暗号を指定したいことです。基本プロセスは、ArchLinuxの良き人々によって システム全体の暗号化 で詳しく説明されています。次のようにしてください:
インストール媒体から起動します。
「Ubuntuを試す」を選択します。
ターミナルを開きます。
fdisk
、parted
、またはグラフィカルなGparted
を使用して、/boot
パーティションを手動で作成します。 (これは、MBRパーティションディスクを使用していることを前提としています。GPTフォーマットのディスクを使用している場合は、alsoEFIシステムパーティションを作成する必要があります。)
手動で暗号化するパーティションを作成します。これが/dev/sda2
だとしましょう。
LUKSコンテナとしてフォーマットします。ここで暗号を指定します:
Sudo cryptsetup luksFormat /dev/sda2 --cipher=<cipherspec> --keysize=<size>
例えば、
Sudo crypsetup luksFormat /dev/sda2 --cipher=aes-cbc-essiv:sha256 --keysize=512
専門的な暗号化の知識がない限り、これを行うべきではないということを繰り返します。しかし、続けましょう。
暗号化されたパーティションを開き、コンテナ名を付けます:
Sudo cryptsetup luksOpen /dev/sda2 <name>
「ペット」コンピューターシステムの場合、適切な選択は、最初の大文字でホスト名を使用することです。たとえば、ホスト名machinia
を使用する予定の場合、
Sudo cryptsetup luksOpen /dev/sda2 Machinia
/dev/mapper/Machinia
(または手順7で選択した名前)をLVM物理ボリュームとしてフォーマットします。
Sudo pvcreate /dev/mapper/Machinia # Use the name chosen in step 7
物理ボリューム上にLVMボリュームグループを作成します。
Sudo vgcreate Machinia /dev/mapper/Machinia # Use the name chosen in step 7
LVMボリュームグループで、/
、/home
、/srv
、/var
、swapなどの論理ボリュームを作成します。 /
用に少なくとも1つの論理ボリュームを作成する必要があります。 /home
用の別のボリュームはオプションですが、推奨されます。 /var
、スワップなどの個別のボリュームの作成はオプションであり、計画によって異なります。
Sudo lvcreate -L 20g -n System Machinia # /
Sudo lvcreate -L 3g -n Swap Machinia # swap
Sudo lvcreate -L 10g -n Home Machinia # /home
LVMスナップショットを使用できるようにするために、一部のスペースを未割り当てのままにしておくことができます。あなたの選択。
ここでインストーラーを実行し、「その他」を選択し、/dev/sda1
(またはその他)を/boot
、/dev/mapper/Machinia-System
(もちろん、選択した名前を使用)/
、/dev/mapper/Machinia-Swap
はスワップスペース、/dev/mapper/Machinia-Home
は/home
に使用します。
/boot
には手順4で作成したパーティションを使用し、/
、swap、/home
などには手順10で作成した論理ボリュームを使用します。
MBRパーティションディスクのダブルチェックを使用し、GRUBが物理ディスクにインストールされることを確認する場合、/dev/sda
(またはシステムに適したもの)。
インストーラーを最後まで進めます。終了したら、「テストを続ける」を選択して、ターミナルに戻ります。
将来のルートボリュームを/target
にマウントし、特別なディレクトリをマウントしてからchroot
を/target
にマウントします。
Sudo mount /dev/mapper/Machinia-System /target
for d in dev proc run sys; do Sudo mount --bind /$d /target/$d; done
chroot /target
これで、将来のルートボリュームのルートになります。 /etc
に移動して、/etc/crypttab
を編集します。
cd /etc
echo Machinia UUID=$(cryptsetup luksUUID /dev/sda2) none luks,discard >crypttab
/etc/crypttab
は次のようになります。
# cat /etc/crypttab
Machinia UUID=016193a0-8a79-416c-95f3-c94bd3745c5c none luks,discard
(Machiniaの代わりに選択した名前と、cryptsetup luksUUID
によって返されるUUIDを使用します。)
初期ルートファイルシステムとGRUBを更新します。
update-initramfs
update-grub
chroot
を終了します。
exit
ステップ13でマウントしたものをアンマウントします。
for d in dev proc run sys; do Sudo umount /target/$d; done
umount /target
再起動して、最高の結果を期待してください。