web-dev-qa-db-ja.com

インストール中に使用する暗号化方式を指定しますか?

「他のことをする」を指定してインストールプロセスを実行し、暗号化されたコンテナとして使用するパーティションを選択し、最後にそのコンテナを使用してファイルシステムでフォーマットしました。選択した暗号を使用するオプションが表示されず、デフォルトがsha256

使用したいことを伝える方法はありますか?

編集:これは、16.10デスクトップisoを使用していました。


Edit2:以下のAlexPのサンプルテーブルが与えられた場合、上記のようにUbuntuインストーラーを実行した後、実際のデフォルトをリストすると思いました。

Edit3:は、 Archの推奨事項 とUbuntuのデフォルトがおそらくまったく変わらないことを示すと思います。

際立っている唯一のことはペイロードのオフセットであり、逸話的には、ubuntuドライブがより速く開くと感じています。 Ithinkこれは、--iter-time。デフォルトは2000(ミリ秒)と指定します5000手動で。これは、正しく理解できた場合に最終ハッシュに到達するまでの時間です。ロックを解除するたびに、正しいパスワードハッシュを取得するために、これを再度行う必要があります(間違っている場合は正しい)。それ以外は同じです。

### ubuntu default
$ Sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        512

### Arch recommendation
$ Sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 65535
MK bits:        512


### ubuntu default
$ Sudo cryptsetup status /dev/mapper/ubuntu

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sdb2
  offset:  4096 sectors
  size:    487393280 sectors
  mode:    read/write

### Arch recommendation
$ Sudo cryptsetup status /dev/mapper/Arch

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sda2
  offset:  65535 sectors
  size:    233262018 sectors
1
Hendy

デフォルトの暗号は、256ビットキーとSHA-1チェックサムを使用したaes-xts-plain64です。これは適切なデフォルトです。非常に良いデフォルトです。資格のある暗号作成者でない限り、そのままにしておく必要があります。知識のある人は、多くの時間と労力を費やしてこのデフォルトを選択しています。

暗号化されたコンテナに使用されている暗号を確認するには、Sudo cryptsetup statusおよびSudo cryptsetup luksDumpコマンドを使用できます。例えば:

$ Sudo lsblk
NAME                  MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                     8:0    0   40G  0 disk  
├─sda1                  8:1    0  284M  0 part  /boot
└─sda2                  8:2    0 39.7G  0 part  
  └─Machinia          252:0    0 39.7G  0 crypt 
    ├─Machinia-Swap   252:1    0  1.2G  0 lvm   [SWAP]
    ├─Machinia-Home   252:2    0  9.5G  0 lvm   /home
    ├─Machinia-System 252:3    0   20G  0 lvm   /
    └─Machinia-Srv    252:4    0    6G  0 lvm   /srv
sr0                    11:0    1 1024M  0 rom   

$ Sudo cryptsetup status Machinia
/dev/mapper/Machinia is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 256 bits
  device:  /dev/sda2
  offset:  4096 sectors
  size:    83298304 sectors
  mode:    read/write
  flags:   discards

$ Sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
...

言われていることは、絶対に別の暗号を指定したいことです。基本プロセスは、ArchLinuxの良き人々によって システム全体の暗号化 で詳しく説明されています。次のようにしてください:

  1. インストール媒体から起動します。

  2. 「Ubuntuを試す」を選択します。

  3. ターミナルを開きます。

  4. fdiskparted、またはグラフィカルなGpartedを使用して、/bootパーティションを手動で作成します。 (これは、MBRパーティションディスクを使用していることを前提としています。GPTフォーマットのディスクを使用している場合は、alsoEFIシステムパーティションを作成する必要があります。)

  5. 手動で暗号化するパーティションを作成します。これが/dev/sda2だとしましょう。

  6. LUKSコンテナとしてフォーマットします。ここで暗号を指定します:

    Sudo cryptsetup luksFormat /dev/sda2 --cipher=<cipherspec> --keysize=<size>
    

    例えば、

    Sudo crypsetup luksFormat /dev/sda2 --cipher=aes-cbc-essiv:sha256 --keysize=512
    

    専門的な暗号化の知識がない限り、これを行うべきではないということを繰り返します。しかし、続けましょう。

  7. 暗号化されたパーティションを開き、コンテナ名を付けます:

    Sudo cryptsetup luksOpen /dev/sda2 <name>
    

    「ペット」コンピューターシステムの場合、適切な選択は、最初の大文字でホスト名を使用することです。たとえば、ホスト名machiniaを使用する予定の場合、

    Sudo cryptsetup luksOpen /dev/sda2 Machinia
    
  8. /dev/mapper/Machinia(または手順7で選択した名前)をLVM物理ボリュームとしてフォーマットします。

    Sudo pvcreate /dev/mapper/Machinia # Use the name chosen in step 7
    
  9. 物理ボリューム上にLVMボリュームグループを作成します。

    Sudo vgcreate Machinia /dev/mapper/Machinia # Use the name chosen in step 7
    
  10. LVMボリュームグループで、//home/srv/var、swapなどの論理ボリュームを作成します。 /用に少なくとも1つの論理ボリュームを作成する必要があります。 /home用の別のボリュームはオプションですが、推奨されます。 /var、スワップなどの個別のボリュームの作成はオプションであり、計画によって異なります。

    Sudo lvcreate -L 20g -n System Machinia # /
    Sudo lvcreate -L 3g  -n Swap   Machinia # swap
    Sudo lvcreate -L 10g -n Home   Machinia # /home
    

    LVMスナップショットを使用できるようにするために、一部のスペースを未割り当てのままにしておくことができます。あなたの選択。

  11. ここでインストーラーを実行し、「その他」を選択し、/dev/sda1(またはその他)を/boot/dev/mapper/Machinia-System(もちろん、選択した名前を使用)//dev/mapper/Machinia-Swapはスワップスペース、/dev/mapper/Machinia-Home/homeに使用します。

    /bootには手順4で作成したパーティションを使用し、/、swap、/homeなどには手順10で作成した論理ボリュームを使用します。

    MBRパーティションディスクのダブルチェックを使用し、GRUBが物理ディスクにインストールされることを確認する場合、/dev/sda(またはシステムに適したもの)。

  12. インストーラーを最後まで進めます。終了したら、「テストを続ける」を選択して、ターミナルに戻ります。

  13. 将来のルートボリュームを/targetにマウントし、特別なディレクトリをマウントしてからchroot/targetにマウントします。

    Sudo mount /dev/mapper/Machinia-System /target
    for d in dev proc run sys; do Sudo mount --bind /$d /target/$d; done
    chroot /target
    
  14. これで、将来のルートボリュームのルートになります。 /etcに移動して、/etc/crypttabを編集します。

    cd /etc
    echo Machinia UUID=$(cryptsetup luksUUID /dev/sda2) none luks,discard >crypttab
    

    /etc/crypttabは次のようになります。

    # cat /etc/crypttab
    Machinia UUID=016193a0-8a79-416c-95f3-c94bd3745c5c none luks,discard
    

    (Machiniaの代わりに選択した名前と、cryptsetup luksUUIDによって返されるUUIDを使用します。)

  15. 初期ルートファイルシステムとGRUBを更新します。

    update-initramfs
    update-grub
    
  16. chrootを終了します。

    exit
    
  17. ステップ13でマウントしたものをアンマウントします。

    for d in dev proc run sys; do Sudo umount /target/$d; done
    umount /target
    
  18. 再起動して、最高の結果を期待してください。

3
AlexP