aptosid Manuals - Encryption Installations

Будь ласка зверніть увагу: деякі застереження даного керівництва є особливими для шифрування розділу root або розділу даних:

Це застосовується релізу aptosid-2010-03-apate.
Це базове керівництво є для Вашої роботи з ним. До Вашої відповідальністі додано щоб дізнатися більше про LUKS, cryptsetup та шифрування. Джерела і ресурси пов'язані в нижній частині цієї сторінки, яка не є вичерпним.
cryptsetup не може зашифрувати існуючі розділи даних, тому Ви повинні створити новий розділ, встановіть його з cryptsetup, а потім перейти в нього свої дані.
Ви можете також використовувати ключові файли і кілька ключів для даних (до 8, у тому числі видалення ключів), який виходить за рамки даного посібника.
Не забудте записати перед зашифруванням розділів даних всі свої паролі іначе потім Ви не зможете востановити пароль!
На початку процесу завантаження вам буде запропоновано для вашого пароля для склепу пристрій і система буде завантажуватися, як очікувалося.

Приклади шифрування

Шифрування всередині груп LVM

Цей приклад Використовує склеп всередині динамічний тому, щоб дозволити Вам дозволить вам розділити ваш розділ даних на / і розділ розмітки без необхідності кілька паролів і застосовується з aptosid-2010-03-apate і Вище.

Перед запуском установки необхідно підготувати файлові системи, яка буде Використовуватися для установки. Для основних принципів LVM розмітку, то вам необхідно звернутися до Управління логічними томами - LVM перегородки.

Вам знадобиться принаймні незашифровані /boot файлової системи і зашифрований / файлової системи, а також створити зашифровані /розділ даних та swap filesystems.

Якщо Ви не плануєте використовувати існуючий тому LVM групу, то створити нормальні обсяги LVM групу. У даному прикладі будемо вважати, що група томів називається vg там де є вже пароль і всі зашифровані дані.
Вам потрібно буде логічний том для / завантаження і зашифрованих даних, так що використовуйте lvcreate для створення логічних томів в vg Група томів з розмірами Ви хочете:
```
lvcreate -n boot --size 250m vg
lvcreate -n crypt --size 300g vg
```
Тут Ви створили відповідно логічних завантажувальних томів і склепів, і зробив їх під розмір 250 Мб та 300 Гб .
Створіть файлову систему для /boot і він буде доступний в програмі установки:
```
mkfs.ext4 /dev/mapper/vg-boot
```
Використовуйте cryptsetup для шифрування vg-cryptякий має швидкий XTS варіант з найбільшою силою та довжиною 512bit ключа, а потім відкрийте його. Це буде питати ваш пароль двічі, щоб встановити його, а потім третій раз, щоб відкрити його. Відкрийте його тут, під час завантаження за замовчуванням CRYPTOPTS цільової ім'я cryptroot:
```
cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/mapper/vg-crypt
```
```
cryptsetup luksOpen /dev/mapper/vg-crypt cryptroot
```
Тепер за допомогою LVM всередині захищеного пристрою для створення другої групи тому, який буде Використовуватися для /swap i /home пристроїв. pvcreate cryptroot, щоб зробити його фізичного обсягу і використовувати його з vgcreate для створення ще однієї групи томів, ми називаємо це cryptvg:
```
pvcreate /dev/mapper/cryptroot
vgcreate cryptvg /dev/mapper/cryptroot
```
Наступна Використаннямlvcreate з новим зашифрованим cryptvg групою томів для створення / , /swap та /home логічних томів з розмірами Ви які хочете:
```
lvcreate -n swap --size 2g cryptvg
lvcreate -n root --size 40g cryptvg
lvcreate -n home --size 80g cryptvg
```
Тут ви назвали логічних томів розмітки, кореневі і вдома і зробив їх 2Gb, 40Gb і 80Gb відповідно.
Створіть файлову систему для cryptvg-swap cryptvg-root та crypt-home щоб вони були в програмі установки:
```
mkswap /dev/mapper/cryptvg-swap
mkfs.ext4 /dev/mapper/cryptvg-root
mkfs.ext4 /dev/mapper/cryptvg-home
```
Тепер Ви готові запустити інсталятор, де Ви повинні використовувати:
vg-boot for /boot,
cryptvg-root for /,
cryptvg-home for /home,
and cryptvg-swap for swap should be automagically recognised.

Встановлена система повинн мати а в кінцевому підсумку з командного рядка ядра в тому числі такі варіанти:

root=/dev/mapper/cryptvg-root cryptopts=source=/dev/mapper/vg-crypt,target=cryptroot,lvm=cryptvg-root

Тепер у вас є склеп і завантажитися під групу томів LVM В.Г. і корінь, розділ даних і свопа в обсязі vgcrypt LVM групу, яка знаходиться всередині захищений паролем зашифрованого пристрою.

cryptsetup luksOpen /dev/mapper/cryptvg-root cryptvg
vgchange -a y

Примітки для склеп з традиційними методами перегородки

Перше, що потрібно вирішити, як Ви хочете, щоб макет вашого диска. Вам знадобиться як мінімум 2 розділу, один звичайний розділ для вашого /boot і один для зашифрованих даних.

Припускаючи, що Ви вимагаєте заміни (які також повинні бути зашифровані), Вам знадобиться третій розділ і там потрібно буде вводити пароль для розмітки окремо під час завантаження (так у вас буде два пароля підказок).

Можна використовувати клавіші для розмітки зсередини зашифровані системи з традиційною розміткою, однак Ви не зможете призупинити це на диск.Через ці проблеми кращим варіантом у довгостроковій перспективі є використання LVM томів з повністю шифрованими розділами і ключамі.

Основні припущення:

Є тільки три рівнини розділів на цьому диску:
/boot, of 250mb
swap, of 2 gig
/ and /home комбіновані (наприклад, баланс).
2 пароля потрібно, 1 для розмітки swap / and /homeкомбінований.

Тепер у вас є перегородки зроблено, вам буде потрібно підготувати зашифрованих розділів так, що вони будуть визнані підчас установки.

Якщо ви вже використовують програми з графічним інтерфейсом розмітки, закрийте його і відрийте термінал,том що шифрування команд повинні бути зроблені в терміналі.

Розділ завантаження

Зробіть/boot ехt4-pозділ якщо ви ще не зробили цього:

/sbin/mkfs.ext4 /dev/sda1

Зашифрований розділ розмітки

Для encrypted swap в першу чергу необхідно форматувати і відкрити сирого пристроїв, /dev/sda2, у вигляді зашифрованого пристрої, як VG-склеп пристрою вище, але відкрити його під іншим ім'ям, swap.

cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda2

```
cryptsetup luksOpen /dev/sda2 swap
```

echo "swap UUID=$(blkid -o value -s UUID /dev/sda2) none luks" >> /etc/crypttab

Форматуйте створенне /dev/mapper/swap так що це буде визнано підчас установки:

/sbin/mkswap /dev/mapper/swap

Зашифрованій / розділ

Для encrypted / в першу чергу необхідно форматувати і відкрити сирі пристрої, /dev/sda3, у вигляді зашифрованого пристрої, як VG-склеп пристрою вище.

cryptsetup --verify-passphrase --cipher aes-xts-plain:sha512 luksFormat /dev/sda3

cryptsetup luksOpen /dev/sda3 cryptroot

Форматуйте створенне /dev/mapper/cryptroot так що це буде визнано підчас установки:

/sbin/mkfs.ext4 /dev/mapper/cryptroot

Відкрийте програму установки

Тепер ви готові запустити інсталятор, де ви повинні використовувати:
sda1 for /boot,
cryptroot for / та /home
swap повинні бути автоматично визнані.

Встановлена система повинна мати в кінцевому підсумку з командного рядка ядра в тому числі такі варіанти (якщо ваш UUID буде використовуватися):

root=/dev/mapper/cryptroot cryptopts=source=UUID=12345678-1234-1234-1234-1234567890AB,target=cryptroot

Ви не повинні завантажуватися в простий розділ, тому що зашифрований пароль захищений обміном разом із зашифрованою кореневої системи та / розділ даних.

Джерела і ресурси:

Обов'язкове читання:

man cryptsetup

LUKS.

Redhat and Fedora .

Захист ваших даних з зашифрованими розділами Linux.

KVM як використовувати зашифровані образи.

aptosid вікі.

Остання редакція сторінкі 06/09/2011 0920 UTC

Установка на cryptroot