Kif Kriptaġġ Disk Sħiħ Waqt l-Installazzjoni Ubuntu 22.04

Id-distribuzzjonijiet tal-Linux għamlu xogħol tajjeb ħafna biex jiksbu protezzjoni addizzjonali billi ġabu encryption tad-disk sħiħ u kienu l-mexxej tas-suq.

Ubuntu wkoll huwa miġbura b'ħafna karatteristiċi u l-kriptaġġ tad-disk huwa wieħed minnhom. L-abilitazzjoni tal-kriptaġġ sħiħ tad-disk hija kruċjali għal dawk li jridu jiżguraw id-dejta privata tagħhom bi kwalunkwe spiża anki jekk it-tagħmir tiegħek jinsteraq peress li jeħtieġ li ddaħħal il-passcode f'kull boot.

Il-kriptaġġ sħiħ tad-disk jista 'jiġi attivat biss waqt l-installazzjoni tas-Sistema Operattiva peress li l-encryption tad-disk sħiħ se jiġi applikat għal kull partizzjoni tad-drajv tiegħek li tinkludi wkoll il-boot u l-partizzjoni tal-iskambju. U din hija r-raġuni għaliex aħna meħtieġa li nippermettuha mill-bidu tal-installazzjoni.

Dan it-tutorja pass pass jiggwidak dwar kif tista 'tippermetti encryption tad-diska sħiħa fuq Ubuntu 22.04 u għal dak il-għan, se nużaw l-LVM (Ġestjoni tal-Volum Loġiku) u LUKS (għal skopijiet ta' encryption).

  • USB drive bootable.
  • Konnessjoni tal-Internet b'wisa' ta' frekwenza biżżejjed biex tniżżel fajls kbar.
  • UEFI ppermettiet motherboard.

Iżda qabel ma naqbżu għall-proċess, ejja jkollna idea qasira dwar il-vantaġġi u l-iżvantaġġi tal-Encryption tad-Disk.

Kull karatteristika hija miġbura mal-vantaġġi u l-iżvantaġġi tagħha u dan huwa applikabbli wkoll fil-każ tal-kriptaġġ tad-disk. Għalhekk dejjem tkun idea tajba li tkun taf x'għandek tistenna u x'mhux mill-passi li se jagħmlu.

  • Ipproteġi d-dejta sensittiva tiegħek mis-serq – Iva, din hija l-aktar karatteristika eċċitanti tal-kriptaġġ tad-disk peress li d-dejta privata tiegħek dejjem tkun sigura anki jekk is-sistema tiegħek tkun misruqa. Dan il-punt huwa aktar xieraq fil-każ ta' apparat mobbli bħal Laptops li għandu aktar ċans li jinsteraq.
  • Jiffranka d-dejta tiegħek mis-sorveljanza – Iċ-ċansijiet li s-sistema tiegħek tiġi hacked huma minimi fuq Linux iżda jista 'jsir jekk l-utent ma jkunx intelliġenti biżżejjed biex jipproteġi lilu nnifsu minn scams fishy. Anke jekk il-kompjuter tiegħek ikun taħt attakk, il-hacker ma jkunx jista' jaċċessa d-dejta tiegħek li hija prova oħra li tippermettiha.

  • Impatt fuq il-Prestazzjoni – Dan jista' jiġi applikat biss għas-sistemi bi ftit riżorsi peress li l-kompjuter modern jista' jimmaniġġja l-encryption mingħajr ebda kwistjoni iżda xorta waħda ssib veloċitajiet ta' qari u kitba ftit aktar bil-mod waqt l-użu.

Skontna, il-kriptaġġ sħiħ tad-disk huwa dejjem l-għażla għaqlija peress li joffri ħafna vantaġġi filwaqt li huwa faċli li tegħleb l-iżvantaġġi bi ftit aktar riżorsi. Mela jekk int ok bi ftit tnaqqis fil-prestazzjoni għal sigurtà aħjar, ejja nibdew il-proċess ta 'encryption.

Encrypting Disk Sħiħ f'Ubuntu 22.04

Din hija gwida faċli għall-Bidu u suppost tiggwidak permezz ta 'kull pass sadanittant utenti avvanzati xorta jistgħu jibbenefikaw minnha.

Żur il-paġna uffiċjali tat-tniżżil ta 'Ubuntu u agħżel il-verżjoni Ubuntu 22.04 LTS, li awtomatikament tibda tniżżilha.

Biex flash l-immaġni ISO Ubuntu lill-USB drive, se nużaw Balena Etcher, li awtomatikament tiskopri l-OS li qed tuża bħalissa. Ladarba tkun lest l-installazzjoni ta' Balena Etcher, installaha fis-sistema tiegħek.

Biex taħraq il-fajl ISO, iftaħ balenaEtcher u agħżel l-għażla \Flash mill-fajl u agħżel il-fajl ISO 22.04 Ubuntu li tniżżel dan l-aħħar.

Sussegwentement, agħżel id-drajv li fuqha rridu flash-fajl ISO. Agħżel l-għażla \Agħżel mira u se telenka d-drajvs kollha immuntati fis-sistema tiegħek. Mill-għażliet disponibbli, agħżel il-USB jew DVD drive.

Ladarba nkunu flashed b'suċċess il-USB drive tagħna, wasal iż-żmien li nibdew mill-USB drive. Biex tibbutja mill-USB, reboot is-sistema tiegħek u uża F10, F2, F12, F1, jew DEL waqt li s-sistema tiegħek tibda. Minn hemm, inti għandek tagħżel USB tiegħek bħala boot drive tiegħek.

Ladarba nibdew permezz tal-USB, nistgħu nipproċedu għall-parti tal-qsim u l-encryption. Dan jista 'jgħelbu lil xi utenti ġodda peress li jista' jidher kumpless iżda għandek biss issegwi kull pass u ġġib is-sistema tiegħek encrypted fl-ebda ħin.

NOTA: Xi kmandi huma differenti għall-utenti Nvme SSD għalhekk jekk jogħġbok aqra l-istruzzjoni qabel ma tapplika l-kmand peress li aħna sseparajnahom meta meħtieġ.

Ladarba tibda Ubuntu, ikollok żewġ għażliet: Ipprova Ubuntu u Installa Ubuntu. Hekk kif se nikkriptaw il-ħitan, aħna mitluba nużaw ambjent ħaj. Allura agħżel l-ewwel għażla bit-tikketta \Ipprova Ubuntu.

Ikklikkja fuq Attivitajiet li jinsabu fin-naħa ta' fuq tax-xellug u ikteb tfittxija għal Terminal. Agħfas Enter fuq l-ewwel riżultat u se tiftaħ Terminal għalina. Sussegwentement, aqleb għall-utent root, peress li l-kmandi kollha li se nużaw se jeħtieġu privileġġi amministrattivi.

$ sudo -i

Billi l-kmandi li ġejjin se jiddependu ħafna fuq BASH, ejja naqilbu mill-qoxra awtomatika tagħna għal BASH bil-kmand li ġej:

# bash

Sussegwentement, identifika l-mira tal-installazzjoni, aħna mitluba nielenkaw l-apparati tal-ħażna immuntati kollha bil-kmand li ġej:

# lsblk

Tista 'faċilment tidentifika l-partizzjoni fil-mira skond id-daqs u f'ħafna każijiet, se jiġi msemmi bħala sda u vda. Fil-każ tiegħi, huwa sda bid-daqs ta '20GB.

Din it-taqsima hija applikabbli għalik biss jekk qed tuża HDD għal SSDs SATA. Mela jekk inti xi ħadd mgħammar b'Nvme SSD, l-allokazzjoni ta 'ismijiet varjabbli hija spjegata fil-pass t'hawn taħt.

Peress li l-apparat fil-mira tiegħi jismu sda, jien meħtieġ li nuża l-kmand li ġej:

# export DEV="/dev/sda"

Jekk inti xi ħadd li qed tuża Nvme, l-iskema ta' ismijiet għall-apparat fil-mira tiegħek tkun bħala /dev/nvme$ {CONTROLLER}n$ {NAMESPACE}p$ {PARTITION} għalhekk jekk ikun hemm partizzjoni waħda biss, tkun x'aktarx ikollhom isem simili għall-kmand mogħti:

# export DEV="/dev/nvme0n1"

Issa, ejja kkonfiguraw il-varjabbli għall-mapper tal-apparat ikkodifikat bil-kmand li ġej:

# export DM="${DEV##*/}"

Kull apparat Nvme se jkollu bżonn 'p' fis-suffiss għalhekk uża kmandi mogħtija biex iżżid is-suffiss:

# export DEVP="${DEV}$( if [[ "$DEV" =~ "nvme" ]]; then echo "p"; fi )"
# export DM="${DM}$( if [[ "$DM" =~ "nvme" ]]; then echo "p"; fi )"

Biex noħolqu tabella ta 'partizzjoni GPT ġdida, se nużaw l-utilità sgdidk bil-kmand li ġej:

# sgdisk --print $DEV

Issa nistgħu nneħħu b'mod sikur id-dejta kollha disponibbli imma jekk qed tinstalla din is-sistema flimkien mal-ħitan eżistenti, jekk jogħġbok evita dan il-pass.

Biex tifformattja d-dejta, uża l-kmand li ġej:

# sgdisk --zap-all $DEV

Se nallokaw diviżorju ta '2MB għall-immaġni ċentrali ta' GRUB fil-modalità BIOS, partizzjoni tal-boot 768MB, u 128MB għas-sistema tal-fajls EFI, u l-ispazju li jifdal jiġi allokat lill-utent fejn tista 'taħżen id-dejta mixtieqa tiegħek.

Uża l-kmandi mogħtija wieħed wieħed biex jaqsam id-drajv tiegħek:

# sgdisk --new=1:0:+768M $DEV
# sgdisk --new=2:0:+2M $DEV
# sgdisk --new=3:0:+128M $DEV
# sgdisk --new=5:0:0 $DEV
# sgdisk --typecode=1:8301 --typecode=2:ef02 --typecode=3:ef00 --typecode=5:8301 $DEV

Biex tibdel l-isem tal-ħitan, uża l-kmandi mogħtija:

# sgdisk --change-name=1:/boot --change-name=2:GRUB --change-name=3:EFI-SP --change-name=5:rootfs $DEV
# sgdisk --hybrid 1:2:3 $DEV

Biex telenka diviżorji maħluqa reċentement, uża l-kmand li ġej:

# sgdisk --print $DEV

Ejja nibdew il-proċess ta 'kodifikazzjoni tagħna billi nikkodifikaw il-partizzjoni tal-boot. Int mitlub li ttajpja IVA b'kapsijiet kollha meta titlob il-permess tiegħek.

# cryptsetup luksFormat --type=luks1 ${DEV}1

Issa, ejja nikkriptaw il-partizzjoni tal-OS bil-kmand li ġej:

# cryptsetup luksFormat --type=luks1 ${DEV}5

Għal aktar installazzjoni, irridu nisfruttaw il-ħitan encrypted billi nużaw il-kmandi li ġejjin biex nisfruttaw il-boot u l-diviżorji tal-OS.

# cryptsetup open ${DEV}1 LUKS_BOOT
# cryptsetup open ${DEV}5 ${DM}5_crypt

Dan il-pass huwa applikabbli biss jekk is-sistema tiegħek hija mgħammra b'Nvme SSD. Uża l-kmandi li ġejjin biex tikkodifika l-boot u l-diviżorji tal-OS:

# cryptsetup luksFormat --type=luks1 ${DEVP}1
# cryptsetup luksFormat --type=luks1 ${DEVP}5

Issa, ejja nisfruttaw il-ħitan encrypted peress li huwa meħtieġ għalina li nipproċessaw aktar fl-installazzjoni.

# cryptsetup open ${DEVP}1 LUKS_BOOT
# cryptsetup open ${DEVP}5 ${DM}5_crypt

Dan huwa wieħed mill-aktar passi kruċjali peress li jekk ma jsirx, l-installatur se jiskonnettja l-abbiltà li tikteb fajl-sistema. Uża l-kmand li ġej biex tibda tifformattja:

# mkfs.ext4 -L boot /dev/mapper/LUKS_BOOT

Jekk is-sistema tiegħek hija mgħammra b'HDD u SATA SSD, uża l-kmand li ġej biex tifformatjaha f'FAT16:

# mkfs.vfat -F 16 -n EFI-SP ${DEV}3

Mela jekk is-sistema tiegħek qed tuża Nvme SSD, tista 'faċilment tifformattja t-3 partizzjoni billi tuża l-kmand li ġej:

# mkfs.vfat -F 16 -n EFI-SP ${DEVP}3

LVM hija waħda minn dawk il-funzjonijiet li nammira l-aktar. Anke jekk ma tużax il-karatteristiċi ta 'LVM, li tippermettilha ma tagħmilx ħsara lis-sistema tiegħek u fil-futur, jekk għandek bżonn xi karatteristika li tipprovdi LVM, tista' tużahom mingħajr ebda kwistjoni.

Hawnhekk, se nallokaw 4GB għall-partizzjoni ta 'skambju li se tuża l-ispazju tad-diska meta s-sistema tispiċċa l-memorja. Qed nallokaw ukoll 80% ta 'spazju ħieles għall-għeruq sabiex l-utent ikun jista' jutilizza l-ispazju tad-diska tiegħu għall-potenzjal massimu.

Naturalment, tista 'tbiddilha skond il-każijiet ta' użu tiegħek u anke timmodifikaha fil-futur. Uża l-kmandi mogħtija waħda waħda u s-sistema tiegħek tkun lesta LVM fi ftit ħin:

# pvcreate /dev/mapper/${DM}5_crypt
# vgcreate ubuntu--vg /dev/mapper/${DM}5_crypt
# lvcreate -L 4G -n swap_1 ubuntu—vg
# lvcreate -l 80%FREE -n root ubuntu--vg

Wasal iż-żmien li tibda l-installatur Ubuntu. Imminimizza l-installatur u ssib l-installatur fuq l-iskrin tad-dar.

Kemm jekk tmur b'installazzjoni normali jew minima, huwa f'idejk imma xi għażliet huma meħtieġa li jintgħażlu biex ikollok esperjenza aħjar, u li qed jinstallaw aġġornamenti u sewwieqa u codecs ta 'partijiet terzi li żgur itejbu l-esperjenza tal-utent tiegħek u jiffrankaw. inti ħin wara l-installazzjoni.

Fit-taqsima tat-tip ta' installazzjoni, agħżel l-għażla bit-tikketta \Xi ħaġa oħra li tgħinna niġġestixxu diviżorji li għadna kif ħloqna manwalment.

Hawnhekk, issib diviżorji multipli bl-istess isem. Tista 'faċilment tidentifika dik oriġinali peress li l-installatur se jsemmi d-daqs meħud. Issa, ejja nibdew b'LUKS_BOOT.

Agħżel LUKS_BOOT u kklikkja fuq il-buttuna tal-bidla.

Issa, agħżel is-sistema tal-fajl tal-ġurnaling Ext4 fl-ewwel għażla. Ippermetti Format l-għażla tal-partizzjoni u fil-punt tal-muntaġġ, agħżel /boot.

Bl-istess mod, agħżel ubuntu–vg-root u kklikkja fuq il-buttuna tal-bidla. Hawnhekk, agħżel is-sistema tal-fajl tal-ġurnal Ext4 fl-ewwel għażla. Ippermetti Format l-għażla tal-partizzjoni u fl-aħħar waħda, agħżel l-għażla \/.

Issa, agħżel ubuntu–vg-swap_1 u kklikkja fuq il-buttuna tal-għażliet. Agħżel l-għażla taż-żona tal-iskambju u dak hu.

Iffinalizza l-bidliet u agħżel il-post attwali tiegħek.

Wara li ħoloq l-utent, tikklikkjax fuq il-buttuna Install now peress li se napplikaw xi kmandi eżatt wara li noħolqu utent ġdid. Oħloq l-utent b'password b'saħħitha.

Eżatt wara li ħloqt utent, iftaħ it-terminal tiegħek u uża l-kmandi mogħtija hekk kif se nippermettu l-kriptaġġ fuq GRUB qabel ma tibda l-installazzjoni:

# while [ ! -d /target/etc/default/grub.d ]; do sleep 1; done; echo "GRUB_ENABLE_CRYPTODISK=y" > /target/etc/default/grub.d/local.cfg

Ladarba l-installazzjoni tkun lesta, ikklikkja fuq tkompli l-ittestjar peress li sejrin għal xi bidliet li għadhom jeħtieġu li nużaw drive bootable.

F'din it-taqsima, aħna se mmuntaw drives, ninstallaw pakketti meħtieġa, u nagħmlu xi bidliet meħtieġa biex nagħmlu l-kriptaġġ jaħdem. Allura tiftaħ it-terminal tiegħek u segwi l-passi mogħtija:

Chroot jintuża biex jaċċessa l-ħitan li fuqhom għadna kif installajna Ubuntu. Uża l-kmandi mogħtija li wieħed minnhom jinvolvi l-immuntar tas-sewqan u l-ħolqien ta 'chroot-environment.

# mount /dev/mapper/ubuntu----vg-root /target
# for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done 
# chroot /target
# mount -a

Il-pakkett Cryptsetup se jkun responsabbli li jiftaħ il-fajls ikkodifikati fil-ħin tal-ibbutjar u nistgħu faċilment ninstallawh permezz ta' kmand mogħti:

# apt install -y cryptsetup-initramfs

Il-fajl taċ-ċavetta se jintuża biex jiċċekkja l-passcode għad-decryption u jiġi ffrankat f'/boot/ li huwa wkoll partizzjoni kriptata. Uża l-kmand mogħti biex tipproċedi aktar:

# echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook 
# echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf

Aħna se noħolqu fajl ewlieni ta '512 bytes, nagħmluh sikur, u wkoll se nżidu volumi encrypted. Tista' tikseb dan billi tuża l-kmandi mogħtija:

# mkdir /etc/luks
# dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1
# chmod u=rx,go-rwx /etc/luks
# chmod u=r,go-rwx /etc/luks/boot_os.keyfile

Dan suppost huwa wieħed mill-aħħar passi peress li aħna pjuttost viċin li nikkodifikaw is-sistema tagħna b'suċċess. Uża l-kmand li ġej biex iżżid iċ-ċwievet fil-fajl boot_os.key.

# cryptsetup luksAddKey ${DEV}1 /etc/luks/boot_os.keyfile
# cryptsetup luksAddKey ${DEV}5 /etc/luks/boot_os.keyfile

Biex iżżid ċwievet ma 'crypttab, uża l-kmand li ġej:

# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEV}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
# echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEV}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

Jekk qed tuża Nvme SSD, tista 'tutilizza l-kmand li ġej biex iżżid iċ-ċwievet f'boot_os.file:

# cryptsetup luksAddKey ${DEVP}1 /etc/luks/boot_os.keyfile
# cryptsetup luksAddKey ${DEVP}5 /etc/luks/boot_os.keyfile

Bl-istess mod, biex iżżid ċwievet fi crypttab, uża l-kmand li ġej:

# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEVP}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
# echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEVP}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

Issa ejja naġġornaw il-fajls initialramfs peress li se żżid skripts tal-ftuħ u key-file bil-kmand li ġej:

# update-initramfs -u -k all

Issa, reboot is-sistema tiegħek u se jwasslek għall-pront pass-frażi GRUB biex tibbutja s-sistema tiegħek.

L-intenzjoni ewlenija wara din il-gwida kienet li ssir proċedura faċli biex issegwi fejn anke l-bidu jista 'jiżgura s-sistema tagħhom billi jippermetti encryption tad-diska sħiħa f'Ubuntu.