Kif Kriptaġġ Disk Sħiħ Waqt l-Installazzjoni Ubuntu 22.04
Id-distribuzzjonijiet tal-Linux għamlu xogħol tajjeb ħafna biex jiksbu protezzjoni addizzjonali billi ġabu encryption tad-disk sħiħ u kienu l-mexxej tas-suq.
Ubuntu wkoll huwa miġbura b'ħafna karatteristiċi u l-kriptaġġ tad-disk huwa wieħed minnhom. L-abilitazzjoni tal-kriptaġġ sħiħ tad-disk hija kruċjali għal dawk li jridu jiżguraw id-dejta privata tagħhom bi kwalunkwe spiża anki jekk it-tagħmir tiegħek jinsteraq peress li jeħtieġ li ddaħħal il-passcode f'kull boot.
Il-kriptaġġ sħiħ tad-disk jista 'jiġi attivat biss waqt l-installazzjoni tas-Sistema Operattiva peress li l-encryption tad-disk sħiħ se jiġi applikat għal kull partizzjoni tad-drajv tiegħek li tinkludi wkoll il-boot u l-partizzjoni tal-iskambju. U din hija r-raġuni għaliex aħna meħtieġa li nippermettuha mill-bidu tal-installazzjoni.
Dan it-tutorja pass pass jiggwidak dwar kif tista 'tippermetti encryption tad-diska sħiħa fuq Ubuntu 22.04 u għal dak il-għan, se nużaw l-LVM (Ġestjoni tal-Volum Loġiku) u LUKS (għal skopijiet ta' encryption).
- USB drive bootable.
- Konnessjoni tal-Internet b'wisa' ta' frekwenza biżżejjed biex tniżżel fajls kbar.
- UEFI ppermettiet motherboard.
Iżda qabel ma naqbżu għall-proċess, ejja jkollna idea qasira dwar il-vantaġġi u l-iżvantaġġi tal-Encryption tad-Disk.
Kull karatteristika hija miġbura mal-vantaġġi u l-iżvantaġġi tagħha u dan huwa applikabbli wkoll fil-każ tal-kriptaġġ tad-disk. Għalhekk dejjem tkun idea tajba li tkun taf x'għandek tistenna u x'mhux mill-passi li se jagħmlu.
- Ipproteġi d-dejta sensittiva tiegħek mis-serq – Iva, din hija l-aktar karatteristika eċċitanti tal-kriptaġġ tad-disk peress li d-dejta privata tiegħek dejjem tkun sigura anki jekk is-sistema tiegħek tkun misruqa. Dan il-punt huwa aktar xieraq fil-każ ta' apparat mobbli bħal Laptops li għandu aktar ċans li jinsteraq.
- Jiffranka d-dejta tiegħek mis-sorveljanza – Iċ-ċansijiet li s-sistema tiegħek tiġi hacked huma minimi fuq Linux iżda jista 'jsir jekk l-utent ma jkunx intelliġenti biżżejjed biex jipproteġi lilu nnifsu minn scams fishy. Anke jekk il-kompjuter tiegħek ikun taħt attakk, il-hacker ma jkunx jista' jaċċessa d-dejta tiegħek li hija prova oħra li tippermettiha.
- Impatt fuq il-Prestazzjoni – Dan jista' jiġi applikat biss għas-sistemi bi ftit riżorsi peress li l-kompjuter modern jista' jimmaniġġja l-encryption mingħajr ebda kwistjoni iżda xorta waħda ssib veloċitajiet ta' qari u kitba ftit aktar bil-mod waqt l-użu.
Skontna, il-kriptaġġ sħiħ tad-disk huwa dejjem l-għażla għaqlija peress li joffri ħafna vantaġġi filwaqt li huwa faċli li tegħleb l-iżvantaġġi bi ftit aktar riżorsi. Mela jekk int ok bi ftit tnaqqis fil-prestazzjoni għal sigurtà aħjar, ejja nibdew il-proċess ta 'encryption.
Encrypting Disk Sħiħ f'Ubuntu 22.04
Din hija gwida faċli għall-Bidu u suppost tiggwidak permezz ta 'kull pass sadanittant utenti avvanzati xorta jistgħu jibbenefikaw minnha.
Żur il-paġna uffiċjali tat-tniżżil ta 'Ubuntu u agħżel il-verżjoni Ubuntu 22.04 LTS, li awtomatikament tibda tniżżilha.
Biex flash l-immaġni ISO Ubuntu lill-USB drive, se nużaw Balena Etcher, li awtomatikament tiskopri l-OS li qed tuża bħalissa. Ladarba tkun lest l-installazzjoni ta' Balena Etcher, installaha fis-sistema tiegħek.
Biex taħraq il-fajl ISO, iftaħ balenaEtcher u agħżel l-għażla \Flash mill-fajl u agħżel il-fajl ISO 22.04 Ubuntu li tniżżel dan l-aħħar.
Sussegwentement, agħżel id-drajv li fuqha rridu flash-fajl ISO. Agħżel l-għażla \Agħżel mira u se telenka d-drajvs kollha immuntati fis-sistema tiegħek. Mill-għażliet disponibbli, agħżel il-USB jew DVD drive.
Ladarba nkunu flashed b'suċċess il-USB drive tagħna, wasal iż-żmien li nibdew mill-USB drive. Biex tibbutja mill-USB, reboot is-sistema tiegħek u uża F10, F2, F12, F1, jew DEL waqt li s-sistema tiegħek tibda. Minn hemm, inti għandek tagħżel USB tiegħek bħala boot drive tiegħek.
Ladarba nibdew permezz tal-USB, nistgħu nipproċedu għall-parti tal-qsim u l-encryption. Dan jista 'jgħelbu lil xi utenti ġodda peress li jista' jidher kumpless iżda għandek biss issegwi kull pass u ġġib is-sistema tiegħek encrypted fl-ebda ħin.
NOTA: Xi kmandi huma differenti għall-utenti Nvme SSD għalhekk jekk jogħġbok aqra l-istruzzjoni qabel ma tapplika l-kmand peress li aħna sseparajnahom meta meħtieġ.
Ladarba tibda Ubuntu, ikollok żewġ għażliet: Ipprova Ubuntu u Installa Ubuntu. Hekk kif se nikkriptaw il-ħitan, aħna mitluba nużaw ambjent ħaj. Allura agħżel l-ewwel għażla bit-tikketta \Ipprova Ubuntu.
Ikklikkja fuq Attivitajiet li jinsabu fin-naħa ta' fuq tax-xellug u ikteb tfittxija għal Terminal. Agħfas Enter fuq l-ewwel riżultat u se tiftaħ Terminal għalina. Sussegwentement, aqleb għall-utent root, peress li l-kmandi kollha li se nużaw se jeħtieġu privileġġi amministrattivi.
$ sudo -i
Billi l-kmandi li ġejjin se jiddependu ħafna fuq BASH, ejja naqilbu mill-qoxra awtomatika tagħna għal BASH bil-kmand li ġej:
# bash
Sussegwentement, identifika l-mira tal-installazzjoni, aħna mitluba nielenkaw l-apparati tal-ħażna immuntati kollha bil-kmand li ġej:
# lsblk
Tista 'faċilment tidentifika l-partizzjoni fil-mira skond id-daqs u f'ħafna każijiet, se jiġi msemmi bħala sda u vda. Fil-każ tiegħi, huwa sda bid-daqs ta '20GB.
Din it-taqsima hija applikabbli għalik biss jekk qed tuża HDD għal SSDs SATA. Mela jekk inti xi ħadd mgħammar b'Nvme SSD, l-allokazzjoni ta 'ismijiet varjabbli hija spjegata fil-pass t'hawn taħt.
Peress li l-apparat fil-mira tiegħi jismu sda, jien meħtieġ li nuża l-kmand li ġej:
# export DEV="/dev/sda"
Jekk inti xi ħadd li qed tuża Nvme, l-iskema ta' ismijiet għall-apparat fil-mira tiegħek tkun bħala /dev/nvme$ {CONTROLLER}n$ {NAMESPACE}p$ {PARTITION} għalhekk jekk ikun hemm partizzjoni waħda biss, tkun x'aktarx ikollhom isem simili għall-kmand mogħti:
# export DEV="/dev/nvme0n1"
Issa, ejja kkonfiguraw il-varjabbli għall-mapper tal-apparat ikkodifikat bil-kmand li ġej:
# export DM="${DEV##*/}"
Kull apparat Nvme se jkollu bżonn 'p'
fis-suffiss għalhekk uża kmandi mogħtija biex iżżid is-suffiss:
# export DEVP="${DEV}$( if [[ "$DEV" =~ "nvme" ]]; then echo "p"; fi )" # export DM="${DM}$( if [[ "$DM" =~ "nvme" ]]; then echo "p"; fi )"
Biex noħolqu tabella ta 'partizzjoni GPT ġdida, se nużaw l-utilità sgdidk bil-kmand li ġej:
# sgdisk --print $DEV
Issa nistgħu nneħħu b'mod sikur id-dejta kollha disponibbli imma jekk qed tinstalla din is-sistema flimkien mal-ħitan eżistenti, jekk jogħġbok evita dan il-pass.
Biex tifformattja d-dejta, uża l-kmand li ġej:
# sgdisk --zap-all $DEV
Se nallokaw diviżorju ta '2MB għall-immaġni ċentrali ta' GRUB fil-modalità BIOS, partizzjoni tal-boot 768MB, u 128MB għas-sistema tal-fajls EFI, u l-ispazju li jifdal jiġi allokat lill-utent fejn tista 'taħżen id-dejta mixtieqa tiegħek.
Uża l-kmandi mogħtija wieħed wieħed biex jaqsam id-drajv tiegħek:
# sgdisk --new=1:0:+768M $DEV # sgdisk --new=2:0:+2M $DEV # sgdisk --new=3:0:+128M $DEV # sgdisk --new=5:0:0 $DEV # sgdisk --typecode=1:8301 --typecode=2:ef02 --typecode=3:ef00 --typecode=5:8301 $DEV
Biex tibdel l-isem tal-ħitan, uża l-kmandi mogħtija:
# sgdisk --change-name=1:/boot --change-name=2:GRUB --change-name=3:EFI-SP --change-name=5:rootfs $DEV # sgdisk --hybrid 1:2:3 $DEV
Biex telenka diviżorji maħluqa reċentement, uża l-kmand li ġej:
# sgdisk --print $DEV
Ejja nibdew il-proċess ta 'kodifikazzjoni tagħna billi nikkodifikaw il-partizzjoni tal-boot. Int mitlub li ttajpja IVA b'kapsijiet kollha meta titlob il-permess tiegħek.
# cryptsetup luksFormat --type=luks1 ${DEV}1
Issa, ejja nikkriptaw il-partizzjoni tal-OS bil-kmand li ġej:
# cryptsetup luksFormat --type=luks1 ${DEV}5
Għal aktar installazzjoni, irridu nisfruttaw il-ħitan encrypted billi nużaw il-kmandi li ġejjin biex nisfruttaw il-boot u l-diviżorji tal-OS.
# cryptsetup open ${DEV}1 LUKS_BOOT # cryptsetup open ${DEV}5 ${DM}5_crypt
Dan il-pass huwa applikabbli biss jekk is-sistema tiegħek hija mgħammra b'Nvme SSD. Uża l-kmandi li ġejjin biex tikkodifika l-boot u l-diviżorji tal-OS:
# cryptsetup luksFormat --type=luks1 ${DEVP}1 # cryptsetup luksFormat --type=luks1 ${DEVP}5
Issa, ejja nisfruttaw il-ħitan encrypted peress li huwa meħtieġ għalina li nipproċessaw aktar fl-installazzjoni.
# cryptsetup open ${DEVP}1 LUKS_BOOT # cryptsetup open ${DEVP}5 ${DM}5_crypt
Dan huwa wieħed mill-aktar passi kruċjali peress li jekk ma jsirx, l-installatur se jiskonnettja l-abbiltà li tikteb fajl-sistema. Uża l-kmand li ġej biex tibda tifformattja:
# mkfs.ext4 -L boot /dev/mapper/LUKS_BOOT
Jekk is-sistema tiegħek hija mgħammra b'HDD u SATA SSD, uża l-kmand li ġej biex tifformatjaha f'FAT16:
# mkfs.vfat -F 16 -n EFI-SP ${DEV}3
Mela jekk is-sistema tiegħek qed tuża Nvme SSD, tista 'faċilment tifformattja t-3 partizzjoni billi tuża l-kmand li ġej:
# mkfs.vfat -F 16 -n EFI-SP ${DEVP}3
LVM hija waħda minn dawk il-funzjonijiet li nammira l-aktar. Anke jekk ma tużax il-karatteristiċi ta 'LVM, li tippermettilha ma tagħmilx ħsara lis-sistema tiegħek u fil-futur, jekk għandek bżonn xi karatteristika li tipprovdi LVM, tista' tużahom mingħajr ebda kwistjoni.
Hawnhekk, se nallokaw 4GB għall-partizzjoni ta 'skambju li se tuża l-ispazju tad-diska meta s-sistema tispiċċa l-memorja. Qed nallokaw ukoll 80% ta 'spazju ħieles għall-għeruq sabiex l-utent ikun jista' jutilizza l-ispazju tad-diska tiegħu għall-potenzjal massimu.
Naturalment, tista 'tbiddilha skond il-każijiet ta' użu tiegħek u anke timmodifikaha fil-futur. Uża l-kmandi mogħtija waħda waħda u s-sistema tiegħek tkun lesta LVM fi ftit ħin:
# pvcreate /dev/mapper/${DM}5_crypt # vgcreate ubuntu--vg /dev/mapper/${DM}5_crypt # lvcreate -L 4G -n swap_1 ubuntu—vg # lvcreate -l 80%FREE -n root ubuntu--vg
Wasal iż-żmien li tibda l-installatur Ubuntu. Imminimizza l-installatur u ssib l-installatur fuq l-iskrin tad-dar.
Kemm jekk tmur b'installazzjoni normali jew minima, huwa f'idejk imma xi għażliet huma meħtieġa li jintgħażlu biex ikollok esperjenza aħjar, u li qed jinstallaw aġġornamenti u sewwieqa u codecs ta 'partijiet terzi li żgur itejbu l-esperjenza tal-utent tiegħek u jiffrankaw. inti ħin wara l-installazzjoni.
Fit-taqsima tat-tip ta' installazzjoni, agħżel l-għażla bit-tikketta \Xi ħaġa oħra li tgħinna niġġestixxu diviżorji li għadna kif ħloqna manwalment.
Hawnhekk, issib diviżorji multipli bl-istess isem. Tista 'faċilment tidentifika dik oriġinali peress li l-installatur se jsemmi d-daqs meħud. Issa, ejja nibdew b'LUKS_BOOT.
Agħżel LUKS_BOOT u kklikkja fuq il-buttuna tal-bidla.
Issa, agħżel is-sistema tal-fajl tal-ġurnaling Ext4 fl-ewwel għażla. Ippermetti Format l-għażla tal-partizzjoni u fil-punt tal-muntaġġ, agħżel /boot.
Bl-istess mod, agħżel ubuntu–vg-root u kklikkja fuq il-buttuna tal-bidla. Hawnhekk, agħżel is-sistema tal-fajl tal-ġurnal Ext4 fl-ewwel għażla. Ippermetti Format l-għażla tal-partizzjoni u fl-aħħar waħda, agħżel l-għażla \/.
Issa, agħżel ubuntu–vg-swap_1 u kklikkja fuq il-buttuna tal-għażliet. Agħżel l-għażla taż-żona tal-iskambju u dak hu.
Iffinalizza l-bidliet u agħżel il-post attwali tiegħek.
Wara li ħoloq l-utent, tikklikkjax fuq il-buttuna Install now peress li se napplikaw xi kmandi eżatt wara li noħolqu utent ġdid. Oħloq l-utent b'password b'saħħitha.
Eżatt wara li ħloqt utent, iftaħ it-terminal tiegħek u uża l-kmandi mogħtija hekk kif se nippermettu l-kriptaġġ fuq GRUB qabel ma tibda l-installazzjoni:
# while [ ! -d /target/etc/default/grub.d ]; do sleep 1; done; echo "GRUB_ENABLE_CRYPTODISK=y" > /target/etc/default/grub.d/local.cfg
Ladarba l-installazzjoni tkun lesta, ikklikkja fuq tkompli l-ittestjar peress li sejrin għal xi bidliet li għadhom jeħtieġu li nużaw drive bootable.
F'din it-taqsima, aħna se mmuntaw drives, ninstallaw pakketti meħtieġa, u nagħmlu xi bidliet meħtieġa biex nagħmlu l-kriptaġġ jaħdem. Allura tiftaħ it-terminal tiegħek u segwi l-passi mogħtija:
Chroot jintuża biex jaċċessa l-ħitan li fuqhom għadna kif installajna Ubuntu. Uża l-kmandi mogħtija li wieħed minnhom jinvolvi l-immuntar tas-sewqan u l-ħolqien ta 'chroot-environment.
# mount /dev/mapper/ubuntu----vg-root /target # for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done # chroot /target # mount -a
Il-pakkett Cryptsetup se jkun responsabbli li jiftaħ il-fajls ikkodifikati fil-ħin tal-ibbutjar u nistgħu faċilment ninstallawh permezz ta' kmand mogħti:
# apt install -y cryptsetup-initramfs
Il-fajl taċ-ċavetta se jintuża biex jiċċekkja l-passcode għad-decryption u jiġi ffrankat f'/boot/ li huwa wkoll partizzjoni kriptata. Uża l-kmand mogħti biex tipproċedi aktar:
# echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook # echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf
Aħna se noħolqu fajl ewlieni ta '512 bytes, nagħmluh sikur, u wkoll se nżidu volumi encrypted. Tista' tikseb dan billi tuża l-kmandi mogħtija:
# mkdir /etc/luks # dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1 # chmod u=rx,go-rwx /etc/luks # chmod u=r,go-rwx /etc/luks/boot_os.keyfile
Dan suppost huwa wieħed mill-aħħar passi peress li aħna pjuttost viċin li nikkodifikaw is-sistema tagħna b'suċċess. Uża l-kmand li ġej biex iżżid iċ-ċwievet fil-fajl boot_os.key.
# cryptsetup luksAddKey ${DEV}1 /etc/luks/boot_os.keyfile # cryptsetup luksAddKey ${DEV}5 /etc/luks/boot_os.keyfile
Biex iżżid ċwievet ma 'crypttab, uża l-kmand li ġej:
# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEV}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab # echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEV}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
Jekk qed tuża Nvme SSD, tista 'tutilizza l-kmand li ġej biex iżżid iċ-ċwievet f'boot_os.file:
# cryptsetup luksAddKey ${DEVP}1 /etc/luks/boot_os.keyfile # cryptsetup luksAddKey ${DEVP}5 /etc/luks/boot_os.keyfile
Bl-istess mod, biex iżżid ċwievet fi crypttab, uża l-kmand li ġej:
# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEVP}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab # echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEVP}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
Issa ejja naġġornaw il-fajls initialramfs peress li se żżid skripts tal-ftuħ u key-file bil-kmand li ġej:
# update-initramfs -u -k all
Issa, reboot is-sistema tiegħek u se jwasslek għall-pront pass-frażi GRUB biex tibbutja s-sistema tiegħek.
L-intenzjoni ewlenija wara din il-gwida kienet li ssir proċedura faċli biex issegwi fejn anke l-bidu jista 'jiżgura s-sistema tagħhom billi jippermetti encryption tad-diska sħiħa f'Ubuntu.