Hvernig á að dulkóða allan diskinn meðan þú setur upp Ubuntu 22.04

Linux dreifingar hafa gert frábært starf til að fá aukna vernd með því að koma með fulla dulkóðun á diskum og vera leiðandi á markaði.

Ubuntu er einnig búnt með fjölmörgum eiginleikum og dulkóðun á diskum er einn af þeim. Að virkja dulkóðun á fullum diski er mikilvægt fyrir þá sem vilja tryggja einkagögn sín hvað sem það kostar, jafnvel þótt tækinu þínu sé stolið þar sem það krefst þess að þú slærð inn lykilorðið við hverja ræsingu.

Aðeins er hægt að virkja dulkóðun á fullum diski á meðan stýrikerfið er sett upp þar sem dulkóðun á fullum diski verður beitt á hverja skiptingu á drifinu þínu sem inniheldur einnig ræsingar- og skiptisneiðinguna. Og þetta er ástæðan fyrir því að við þurfum að virkja það frá upphafi uppsetningar.

Þessi skref-fyrir-skref kennsla mun leiða þig um hvernig þú getur virkjað dulkóðun á fullum diskum á Ubuntu 22.04 og í þeim tilgangi ætlum við að nota LVM (Rökræn bindistjórnun) og LUKS (í dulkóðunartilgangi).

  • Ræsanlegt USB drif.
  • Internettenging með nægri bandbreidd til að hlaða niður stórum skrám.
  • UEFI virkt móðurborð.

En áður en farið er í ferlið skulum við hafa stutta hugmynd um kosti og galla diska dulkóðunar.

Hver eiginleiki er búntaður með sínum kostum og göllum og þetta á einnig við þegar um er að ræða dulkóðun diska. Þannig að það er alltaf góð hugmynd að vita við hverju má búast og hverju ekki af þeim skrefum sem eru að fara að gera.

  • Verndar viðkvæm gögn þín gegn þjófnaði – Já, þetta er mest spennandi eiginleiki dulkóðunar disks þar sem einkagögnin þín verða alltaf tryggð jafnvel þótt kerfinu þínu sé stolið. Þetta atriði á betur við þegar um er að ræða fartæki eins og fartölvur sem eiga meiri möguleika á að vera stolið.
  • Vissar gögnin þín frá eftirliti – Líkurnar á að kerfið þitt verði tölvusnápur eru í lágmarki á Linux en hægt er að gera það ef notandinn er ekki nógu klár til að verja sig fyrir svívirðilegum svindli. Jafnvel þótt tölvan þín sé undir árás, mun tölvuþrjóturinn ekki geta nálgast gögnin þín sem er önnur sönnun sem gerir það kleift.

  • Áhrif á afköst – Þetta er aðeins hægt að nota á kerfin með fáum tilföngum þar sem nútímatölvan ræður við dulkóðunina án nokkurra vandræða en samt finnurðu aðeins hægari les- og skrifhraða meðan á notkun stendur.

Samkvæmt okkur er dulkóðun á fullum diskum alltaf skynsamur kostur þar sem hún býður upp á marga kosti á meðan það er auðvelt að vinna bug á göllunum með nokkrum fleiri úrræðum. Svo ef þú ert í lagi með smá frammistöðufall fyrir betra öryggi, skulum við hefja dulkóðunarferlið.

Dulkóða allan diskinn í Ubuntu 22.04

Þetta er byrjendavæn handbók og hún á að leiðbeina þér í gegnum hvert skref á meðan háþróaðir notendur geta enn notið góðs af henni.

Farðu á opinberu Ubuntu niðurhalssíðuna og veldu Ubuntu 22.04 LTS útgáfuna, sem mun sjálfkrafa byrja að hlaða henni niður.

Til að flassa Ubuntu ISO myndinni á USB drifið ætlum við að nota Balena Etcher, sem mun sjálfkrafa uppgötva stýrikerfið sem þú ert að nota. Þegar þú ert búinn að setja upp Balena Etcher skaltu setja það upp á vélinni þinni.

Til að brenna ISO skrána, opnaðu balenaEtcher og veldu \Flash from file valkostinn og veldu nýlega niðurhalaða Ubuntu 22.04 ISO skrá.

Næst skaltu velja drifið sem við viljum flassa ISO skrána á. Veldu \Veldu miða valmöguleikann og hann mun skrá öll uppsett drif á vélinni þinni. Veldu USB- eða DVD-drifið úr tiltækum valkostum.

Þegar okkur hefur tekist að blikka USB drifið okkar er kominn tími til að ræsa af USB drifinu. Til að ræsa frá USB skaltu endurræsa kerfið þitt og nota F10, F2, F12, F1 eða DEL á meðan kerfið þitt ræsir sig. Þaðan þarftu að velja USB sem ræsidrifið þitt.

Þegar við höfum ræst í gegnum USB getum við haldið áfram í skiptinguna og dulkóðunarhlutann. Þetta gæti gagntekið suma nýja notendur þar sem það gæti litið flókið út en þú verður bara að fylgja hverju skrefi og þú munt fá kerfið þitt dulkóðað á skömmum tíma.

ATH: Sumar skipanir eru mismunandi fyrir Nvme SSD notendur svo vinsamlegast lestu leiðbeiningarnar áður en þú notar skipunina þar sem við höfum aðskilið þær þegar þess er krafist.

Þegar þú hefur ræst í Ubuntu færðu tvo valkosti: Prófaðu Ubuntu og Settu upp Ubuntu. Þar sem við ætlum að dulkóða skipting þurfum við að nota lifandi umhverfi. Svo veldu fyrsta valkostinn merktan „Prófaðu Ubuntu“.

Smelltu á Activities efst til vinstri og sláðu inn leit að Terminal. Smelltu á Enter í fyrstu niðurstöðunni og það mun opna Terminal fyrir okkur. Næst skaltu skipta yfir í rótnotanda, þar sem allar skipanir sem við ætlum að nota munu krefjast stjórnunarréttinda.

$ sudo -i

Þar sem komandi skipanir munu treysta mjög á BASH, skulum við skipta úr sjálfgefna skelinni okkar yfir í BASH með eftirfarandi skipun:

# bash

Næst skaltu auðkenna uppsetningarmarkmiðið, við verðum að skrá öll uppsett geymslutæki með eftirfarandi skipun:

# lsblk

Þú getur auðveldlega borið kennsl á marksneiðina eftir stærð og í flestum tilfellum mun hún heita sda og vda. Í mínu tilfelli er það sda með stærðinni 20GB.

Þessi hluti á aðeins við fyrir þig ef þú ert að nota HDD fyrir SATA SSD diska. Svo ef þú ert einhver búinn Nvme SSD, þá er úthlutun breytuheita útskýrð í skrefinu hér að neðan.

Þar sem marktækið mitt er nefnt sda, þarf ég að nota eftirfarandi skipun:

# export DEV="/dev/sda"

Ef þú ert einhver sem notar Nvme verður nafnakerfið fyrir marktækið þitt sem /dev/nvme$ {CONTROLLER}n$ {NAMESPACE}p$ {PARTITION} þannig að ef það er aðeins ein skipting, myndi það hafa líklega svipað nafn og gefin skipun:

# export DEV="/dev/nvme0n1"

Nú skulum við stilla breytuna fyrir dulkóðaða tækjakortara með eftirfarandi skipun:

# export DM="${DEV##*/}"

Hvert Nvme tæki þarf ‘p’ í viðskeyti svo notaðu gefnar skipanir til að bæta við viðskeyti:

# export DEVP="${DEV}$( if [[ "$DEV" =~ "nvme" ]]; then echo "p"; fi )"
# export DM="${DM}$( if [[ "$DM" =~ "nvme" ]]; then echo "p"; fi )"

Til að búa til nýja GPT skiptingartöflu ætlum við að nota sgdidk tólið með eftirfarandi skipun:

# sgdisk --print $DEV

Nú getum við örugglega fjarlægt öll tiltæk gögn en ef þú ert að setja þetta kerfi upp ásamt núverandi skiptingum skaltu forðast þetta skref.

Til að forsníða gögnin skaltu nota eftirfarandi skipun:

# sgdisk --zap-all $DEV

Við ætlum að úthluta 2MB skipting fyrir kjarnamynd GRUB í BIOS-stillingu, 768MB ræsingarsneið og 128MB fyrir EFI skráarkerfið, og því plássi sem eftir er verður úthlutað til notandans þar sem þú getur geymt gögnin sem þú vilt.

Notaðu tilgreindar skipanir eina í einu til að skipta drifinu þínu:

# sgdisk --new=1:0:+768M $DEV
# sgdisk --new=2:0:+2M $DEV
# sgdisk --new=3:0:+128M $DEV
# sgdisk --new=5:0:0 $DEV
# sgdisk --typecode=1:8301 --typecode=2:ef02 --typecode=3:ef00 --typecode=5:8301 $DEV

Til að breyta heiti skiptinganna, notaðu tilgreindar skipanir:

# sgdisk --change-name=1:/boot --change-name=2:GRUB --change-name=3:EFI-SP --change-name=5:rootfs $DEV
# sgdisk --hybrid 1:2:3 $DEV

Til að skrá nýlega búnar skipting, notaðu eftirfarandi skipun:

# sgdisk --print $DEV

Við skulum hefja dulkóðunarferlið okkar með því að dulkóða ræsiskiptinguna. Þú þarft að slá inn JÁ með öllum hástöfum þegar það biður um leyfi þitt.

# cryptsetup luksFormat --type=luks1 ${DEV}1

Nú skulum við dulkóða OS skiptinguna með eftirfarandi skipun:

# cryptsetup luksFormat --type=luks1 ${DEV}5

Fyrir frekari uppsetningu verðum við að opna dulkóðuðu skiptingarnar með því að nota eftirfarandi skipanir til að opna ræsi- og stýrikerfisskiptin.

# cryptsetup open ${DEV}1 LUKS_BOOT
# cryptsetup open ${DEV}5 ${DM}5_crypt

Þetta skref á aðeins við ef kerfið þitt er búið Nvme SSD. Notaðu eftirfarandi skipanir til að dulkóða ræsi- og OS skiptingarnar:

# cryptsetup luksFormat --type=luks1 ${DEVP}1
# cryptsetup luksFormat --type=luks1 ${DEVP}5

Nú skulum við opna dulkóðuðu skiptingarnar þar sem það er nauðsynlegt fyrir okkur að vinna frekar í uppsetningu.

# cryptsetup open ${DEVP}1 LUKS_BOOT
# cryptsetup open ${DEVP}5 ${DM}5_crypt

Þetta er eitt mikilvægasta skrefið eins og ef það er ekki gert mun uppsetningarforritið slökkva á getu til að skrifa skráarkerfi. Notaðu eftirfarandi skipun til að byrja að forsníða:

# mkfs.ext4 -L boot /dev/mapper/LUKS_BOOT

Ef kerfið þitt er búið HDD og SATA SSD skaltu nota eftirfarandi skipun til að forsníða það í FAT16:

# mkfs.vfat -F 16 -n EFI-SP ${DEV}3

Svo ef kerfið þitt notar Nvme SSD geturðu auðveldlega forsniðið 3. skiptinguna með því að nota eftirfarandi skipun:

# mkfs.vfat -F 16 -n EFI-SP ${DEVP}3

LVM er ein af þeim aðgerðum sem ég dáist mest að. Jafnvel þó þú notir ekki LVM eiginleika, mun það ekki skaða kerfið þitt að virkja það og í framtíðinni, ef þú þarft einhvern eiginleika sem LVM býður upp á, geturðu notað þá án vandræða.

Hér ætlum við að úthluta 4GB til skiptisneiðarinnar sem mun nota pláss þegar kerfið verður uppiskroppa með minni. Við erum líka að úthluta 80% af lausu plássi til að róta svo notandinn geti nýtt diskplássið sitt sem mest.

Auðvitað geturðu breytt því í samræmi við notkunartilvik og jafnvel breytt því í framtíðinni. Notaðu tilgreindar skipanir eina í einu og kerfið þitt verður LVM tilbúið á skömmum tíma:

# pvcreate /dev/mapper/${DM}5_crypt
# vgcreate ubuntu--vg /dev/mapper/${DM}5_crypt
# lvcreate -L 4G -n swap_1 ubuntu—vg
# lvcreate -l 80%FREE -n root ubuntu--vg

Það er kominn tími til að ræsa Ubuntu uppsetningarforritið. Lágmarkaðu bara uppsetningarforritið og þú munt finna uppsetningarforritið á heimaskjánum.

Hvort sem þú ferð með venjulega uppsetningu eða lágmarksuppsetningu, þá er það undir þér komið en það þarf að velja nokkra valkosti til að fá þér betri upplifun, og það eru að setja upp uppfærslur og þriðja aðila rekla og merkjamál sem mun örugglega bæta notendaupplifun þína og spara þú tíma eftir uppsetningu.

Í hlutanum um uppsetningargerð, veldu valkostinn merktan „Eitthvað annað“ sem mun hjálpa okkur að stjórna skiptingum sem við höfum búið til handvirkt.

Hér finnur þú margar skiptingar með sama nafni. Þú getur auðveldlega borið kennsl á upprunalega þar sem uppsetningarforritið mun nefna tekin stærð. Nú skulum við byrja með LUKS_BOOT.

Veldu LUKS_BOOT og smelltu á breytingahnappinn.

Veldu nú Ext4 dagbókarskráarkerfið í fyrsta valkostinum. Virkjaðu Forsníða skiptingarmöguleikann og í mount point, veldu /boot.

Á sama hátt, veldu ubuntu–vg-root og smelltu á breytingahnappinn. Veldu hér Ext4 dagbókarskráarkerfið í fyrsta valkostinum. Virkjaðu Forsníða skiptingarmöguleikann og í þeim síðasta skaltu velja \/ valkostinn.

Veldu nú ubuntu–vg-swap_1 og smelltu á valkostahnappinn. Veldu skiptasvæðisvalkostinn og það er það.

Ljúktu við breytingarnar og veldu núverandi staðsetningu þína.

Eftir að hafa búið til notandann skaltu ekki smella á setja upp núna hnappinn þar sem við ætlum að beita nokkrum skipunum rétt eftir að nýjan notanda er búinn til. Búðu til notanda með sterku lykilorði.

Rétt eftir að þú hefur búið til notanda skaltu opna flugstöðina þína og nota tilgreindar skipanir þar sem við ætlum að virkja dulkóðun á GRUB áður en uppsetningin hefst:

# while [ ! -d /target/etc/default/grub.d ]; do sleep 1; done; echo "GRUB_ENABLE_CRYPTODISK=y" > /target/etc/default/grub.d/local.cfg

Þegar uppsetningunni er lokið, smelltu á halda áfram að prófa þar sem við erum að fara í nokkrar breytingar sem krefjast þess að við notum ræsanlegt drif.

Í þessum hluta ætlum við að setja upp drif, setja upp nauðsynlega pakka og gera nokkrar nauðsynlegar breytingar til að dulkóðun virki. Svo opnaðu flugstöðina þína og fylgdu tilgreindum skrefum:

Chroot er notað til að fá aðgang að skiptingunum sem við höfum nýlega sett upp Ubuntu á. Notaðu tilgreindar skipanir þar sem ein felur í sér að setja upp drif og búa til chroot-umhverfi.

# mount /dev/mapper/ubuntu----vg-root /target
# for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done 
# chroot /target
# mount -a

Cryptsetup pakkinn mun bera ábyrgð á að opna dulkóðaðar skrár við ræsingu og við getum auðveldlega sett hann upp með tiltekinni skipun:

# apt install -y cryptsetup-initramfs

Lykilskráin verður notuð til að kanna aðgangskóðann fyrir afkóðun og hún er vistuð á /boot/ sem er einnig dulkóðuð skipting. Notaðu tilgreinda skipun til að halda áfram:

# echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook 
# echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf

Við ætlum að búa til lykilskrá upp á 512 bæti, gera hana örugga og ætlum líka að bæta við dulkóðuðu bindi. Þú getur náð því með því að nota tilgreindar skipanir:

# mkdir /etc/luks
# dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1
# chmod u=rx,go-rwx /etc/luks
# chmod u=r,go-rwx /etc/luks/boot_os.keyfile

Þetta á að vera eitt af síðustu skrefunum þar sem við erum frekar nálægt því að dulkóða kerfið okkar. Notaðu eftirfarandi skipun til að bæta við lyklum á boot_os.key skránni.

# cryptsetup luksAddKey ${DEV}1 /etc/luks/boot_os.keyfile
# cryptsetup luksAddKey ${DEV}5 /etc/luks/boot_os.keyfile

Til að bæta lyklum við crypttab, notaðu eftirfarandi skipun:

# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEV}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
# echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEV}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

Ef þú ert að nota Nvme SSD geturðu notað eftirfarandi skipun til að bæta við lyklum á boot_os.file:

# cryptsetup luksAddKey ${DEVP}1 /etc/luks/boot_os.keyfile
# cryptsetup luksAddKey ${DEVP}5 /etc/luks/boot_os.keyfile

Á sama hátt, til að bæta við lyklum í crypttab, notaðu eftirfarandi skipun:

# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEVP}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
# echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEVP}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

Nú skulum við uppfæra initialramfs skrár þar sem það mun bæta við opnunarforskriftum og lyklaskrá með eftirfarandi skipun:

# update-initramfs -u -k all

Nú skaltu endurræsa kerfið þitt og það mun koma þér í GRUB lykilorðasamsetninguna til að ræsa kerfið þitt.

Megintilgangurinn á bak við þessa handbók var að búa til aðferð sem auðvelt er að fylgja eftir þar sem jafnvel byrjendur geta tryggt kerfið sitt með því að virkja dulkóðun á fullum diskum í Ubuntu.