Cara menyulitkan cakera penuh semasa memasang ubuntu 22.04

Pengagihan Linux telah melakukan pekerjaan yang hebat untuk mendapatkan perlindungan tambahan dengan membawa penyulitan cakera penuh dan menjadi pemimpin pasaran.

Ubuntu juga dibundel dengan pelbagai ciri dan penyulitan cakera adalah salah satu daripada mereka. Mengaktifkan Penyulitan Cakera Penuh adalah penting bagi mereka yang ingin mendapatkan data peribadi mereka dengan apa -apa kos walaupun peranti anda dicuri kerana ia memerlukan anda memasukkan kod laluan pada setiap boot.

Penyulitan cakera penuh hanya boleh diaktifkan semasa memasang sistem pengendalian sebagai penyulitan cakera penuh akan digunakan untuk setiap partition pemacu anda yang juga termasuk boot dan partition swap. Dan inilah sebabnya mengapa kita dikehendaki membolehkannya dari awal pemasangan.

Tutorial langkah demi langkah ini akan membimbing anda bagaimana anda boleh mengaktifkan penyulitan cakera penuh Ubuntu 22.04 Dan untuk tujuan itu, kita akan menggunakan Lvm (Pengurusan volum logik) dan Luks (untuk tujuan penyulitan).

Prasyarat:

• Pemacu usb bootable.
• Sambungan Internet dengan lebar jalur yang cukup untuk memuat turun fail besar.
• UEFI membolehkan motherboard.

Tetapi sebelum melompat ke proses, mari kita mempunyai idea ringkas mengenai kebaikan dan keburukan Penyulitan cakera.

Kebaikan dan keburukan penyulitan cakera

Setiap ciri dibundel dengan kebaikan dan keburukannya dan ini juga terpakai dalam kes penyulitan cakera. Oleh itu, adalah idea yang baik untuk mengetahui apa yang diharapkan dan apa yang bukan dari langkah -langkah yang akan dibuat.

Kelebihan:

• Melindungi data sensitif anda dari kecurian - Ya, ini adalah ciri penyulitan cakera yang paling menarik kerana data peribadi anda akan sentiasa dijamin walaupun sistem anda dicuri. Titik ini lebih sesuai dalam hal peranti mudah alih seperti komputer riba yang mempunyai lebih banyak peluang untuk dicuri.
• Menjimatkan data anda dari pengawasan - Peluang sistem anda yang digodam adalah minimum pada linux tetapi boleh dilakukan jika pengguna tidak cukup pintar untuk melindungi dirinya dari penipuan yang mencurigakan. Walaupun komputer anda diserang, penggodam tidak dapat mengakses data anda yang merupakan bukti lain yang membolehkannya.

Keburukan:

• Kesan terhadap prestasi - Ini hanya boleh digunakan untuk sistem dengan beberapa sumber kerana komputer moden dapat mengendalikan penyulitan tanpa sebarang masalah tetapi masih anda akan mendapati sedikit kelajuan membaca dan menulis semasa penggunaan.

Menurut kami, penyulitan cakera penuh selalu menjadi pilihan bijak kerana ia menawarkan banyak kebaikan sementara mudah untuk mengatasi keburukan dengan beberapa sumber lagi. Jadi jika anda baik -baik saja dengan sedikit penurunan prestasi untuk keselamatan yang lebih baik, mari kita mulakan proses penyulitan.

Menyulitkan keseluruhan cakera di Ubuntu 22.04

Ini adalah panduan mesra pemula dan sepatutnya membimbing anda melalui setiap langkah sementara pengguna lanjutan masih boleh mendapat manfaat daripadanya.

Langkah 1: Muat turun Ubuntu 22.04 ISO

Lawati halaman muat turun Ubuntu rasmi dan pilih Ubuntu 22.04 Versi LTS, yang akan mula memuat turun secara automatik.

Muat turun desktop Ubuntu

Langkah 2: Buat pemacu USB Ubuntu yang boleh bootable

Untuk memancarkan Ubuntu ISO Imej ke pemacu USB, kami akan menggunakan Balena Etcher, yang secara automatik akan mengesan OS yang sedang anda gunakan. Sebaik sahaja anda selesai memasang Balena Etcher, pasangkannya pada sistem anda.

Untuk membakar fail ISO, buka Balenaetcher dan pilih "Flash dari fail"Pilihan dan pilih yang baru dimuat turun Ubuntu 22.04 ISO fail.

Seterusnya, pilih pemacu yang kami mahu memancarkan fail ISO. Pilih "Pilih Target"Pilihan dan ia akan menyenaraikan semua pemacu yang dipasang pada sistem anda. Dari pilihan yang ada, pilih USB atau DVD memandu.

Flash Ubuntu ISO ke USB

Sebaik sahaja kita berjaya memaparkan kita USB memandu, sudah tiba masanya untuk boot dari pemacu USB. Untuk boot dari USB, but semula sistem dan penggunaan anda F10, F2, F12, F1, atau Del Semasa sistem anda naik. Dari sana, anda harus memilih USB anda sebagai pemacu boot anda.

Langkah 3: Mulakan pemasangan Ubuntu menggunakan pemacu USB

Sebaik sahaja kita dibuang melalui USB, kita boleh meneruskan ke bahagian pembahagian dan penyulitan. Ini mungkin mengatasi beberapa pengguna baru kerana ia mungkin kelihatan rumit tetapi anda hanya perlu mengikuti setiap langkah dan anda akan mendapat sistem anda yang disulitkan dalam masa yang singkat.

CATATAN: Beberapa arahan berbeza untuk Nvme ssd Pengguna Jadi sila baca arahan sebelum memohon arahan seperti yang kita telah memisahkannya apabila diperlukan.

Sebaik sahaja anda boot ke Ubuntu, Anda akan mendapat dua pilihan: Cuba Ubuntu dan Pasang Ubuntu. Seperti yang kita akan menyulitkan partisi, kita dikehendaki menggunakan persekitaran secara langsung. Jadi pilih pilihan pertama yang dilabel "Cuba Ubuntu".

Cuba Ubuntu secara langsung

Klik pada Aktiviti terletak di sebelah kiri atas dan jenis carian Terminal. Tekan masukkan hasil pertama dan ia akan membuka terminal untuk kami. Seterusnya, beralih kepada pengguna root, kerana semua arahan yang akan kami gunakan akan memerlukan keistimewaan pentadbiran.

$ sudo -i 

Oleh kerana perintah yang akan datang akan sangat bergantung pada Bash, Mari beralih dari shell lalai kami ke Bash oleh arahan berikut:

# bash 

Seterusnya, kenal pasti sasaran pemasangan, kami dikehendaki menyenaraikan semua peranti storan yang dipasang dengan arahan berikut:

# lsblk 

Senaraikan peranti penyimpanan

Anda boleh mengenal pasti partition sasaran dengan saiz dan dalam kebanyakan kes, ia akan dinamakan sebagai SDA dan VDA. Dalam kes saya, itu SDA dengan saiz 20GB.

Memperuntukkan nama pembolehubah ke peranti sasaran (untuk HDD dan SATA SSD)

Bahagian ini hanya terpakai untuk anda jika anda menggunakan HDD untuk Sata SSD. Jadi jika anda adalah seseorang yang dilengkapi dengan Nvme ssd, memperuntukkan nama berubah dijelaskan dalam langkah di bawah.

Sebagai peranti sasaran saya dinamakan SDA, Saya dikehendaki menggunakan arahan berikut:

# Export Dev = "/dev/sda" 

Memperuntukkan nama berubah ke peranti sasaran (untuk SSD NVME sahaja)

Sekiranya anda adalah seseorang yang menggunakan Nvme, skim penamaan untuk peranti sasaran anda akan menjadi seperti /dev/nvme $ controller n $ namespace p $ partition Jadi jika hanya ada satu partition, ia mungkin mempunyai nama yang sama dengan arahan yang diberikan:

# Export Dev = "/dev/nvme0n1" 

Sekarang, mari kita konfigurasikan pembolehubah untuk pemetaan peranti yang disulitkan dengan arahan berikut:

#eksport dm = "$ dev ##*/" 

Setiap peranti NVME memerlukan 'P' Dalam akhiran jadi gunakan arahan yang diberikan untuk menambah akhiran:

# eksport devp = "$ dev $ (if [[" $ dev "= ~" nvme "]]; kemudian echo" p "; fi)" # eksport dm = "$ dm $ (if [[" $ Dm "= ~" nvme "]]; kemudian echo" p "; fi)" 

Langkah 4: Buat partition GPT baru

Untuk membuat yang baru Gpt jadual partition, kita akan menggunakan Sgdidk utiliti dengan arahan berikut:

# sgdisk -cetak $ dev 

Buat partition GPT baru

Sekarang kita dapat dengan selamat mengeluarkan semua data yang tersedia tetapi jika anda memasang sistem ini bersama partisi yang ada, sila elakkan langkah ini.

Untuk memformat data, gunakan arahan berikut:

# sgdisk --zap-all $ dev 

Format data pada cakera

Langkah 5: Buat partition baru untuk pemasangan

Kami akan memperuntukkan a 2MB Partition untuk imej teras Bios-Mode Grub, 768MB partition boot, dan 128MB untuk sistem fail EFI, dan ruang yang tinggal akan diperuntukkan kepada pengguna di mana anda boleh menyimpan data yang anda inginkan.

Gunakan arahan yang diberikan satu persatu untuk memisahkan pemacu anda:

# sgdisk --new = 1: 0:+768m $ dev # sgdisk --new = 2: 0:+2m $ dev # sgdisk --new = 3: 0:+128m $ dev # sgdisk --New = 5: 0: 0 $ dev # sgdisk --Typecode = 1: 8301 --Typecode = 2: EF02 --Typecode = 3: EF00 --Typecode = 5: 8301 $ Dev 

Buat partition untuk pemasangan

Untuk menukar nama partition, gunakan arahan yang diberikan:

# sgdisk --change-name = 1:/boot --change-name = 2: grub --change-name = 3: efi-sp --change-name = 5: rootfs $ dev # sgdisk--hybrid 1: 2: 3 $ dev 

Tukar nama partition

Untuk menyenaraikan partisi baru -baru ini, gunakan arahan berikut:

# sgdisk -cetak $ dev 

Senarai partition

Langkah 6: Menyulitkan boot dan partition OS

Untuk HDD dan SATA SSD sahaja

Mari mulakan proses penyulitan kami dengan menyulitkan partition boot. Anda dikehendaki menaip Ya dalam semua topi apabila ia meminta izin anda.

# cryptsetup luksformat --Type = luks1 $ dev 1 

Menyulitkan partition boot

Sekarang, mari kita menyulitkan partition OS dengan arahan berikut:

# cryptsetup luksformat --Type = luks1 $ dev 5 

Menyulitkan partition OS

Untuk pemasangan selanjutnya, kami mesti membuka kunci partisi yang disulitkan dengan menggunakan arahan berikut untuk membuka kunci boot dan partition OS.

# cryptsetup buka $ dev 1 luks_boot # cryptsetup buka $ dev 5 $ dm 5_crypt 

Untuk ssds nvme sahaja

Langkah ini hanya terpakai jika sistem anda dilengkapi dengan Nvme ssd. Gunakan arahan berikut untuk menyulitkan partisi boot dan OS:

# cryptsetup luksformat --Type = luks1 $ devp 1 # cryptsetup luksformat --Type = luks1 $ devp 5 

Sekarang, mari kita buka kunci partition yang disulitkan kerana perlu kita memproses lebih lanjut dalam pemasangan.

# cryptsetup buka $ devp 1 luks_boot # cryptsetup buka $ devp 5 $ dm 5_crypt 

Langkah 7: Partition Format

Ini adalah salah satu langkah paling penting seolah-olah tidak dilakukan, pemasang akan melumpuhkan keupayaan untuk menulis sistem fail. Gunakan arahan berikut untuk memulakan pemformatan:

# mkfs.ext4 -l boot/dev/mapper/luks_boot 

Partition format

Format partition EFI-SP (untuk HDD dan SATA SSD sahaja)

Jika sistem anda dilengkapi dengan HDD dan SATA SSD, gunakan arahan berikut untuk memformatnya dalam FAT16:

# mkfs.vfat -f 16 -n efi -sp $ dev 3 

Format partition EFI-SP (untuk SSD NVME sahaja)

Jadi jika sistem anda menggunakan NVME SSD, anda boleh memformat partition ke -3 dengan mudah menggunakan arahan berikut:

# mkfs.vfat -f 16 -n efi -sp $ devp 3 

Langkah 8: Buat kumpulan kelantangan logik

Lvm adalah salah satu fungsi yang paling saya kagumi. Walaupun anda tidak menggunakan ciri LVM, membolehkan ia tidak akan membahayakan sistem anda dan pada masa akan datang, jika anda memerlukan sebarang ciri yang disediakan oleh LVM, anda boleh menggunakannya tanpa sebarang masalah.

Di sini, kita akan memperuntukkan 4GB kepada bertukar partition yang akan menggunakan ruang cakera apabila sistem kehabisan ingatan. Kami juga memperuntukkan 80% ruang kosong ke akar jadi pengguna boleh menggunakan ruang cakera untuk potensi maksimum.

Sudah tentu, anda boleh mengubahnya mengikut kes penggunaan anda dan juga mengubahnya pada masa akan datang. Gunakan arahan yang diberikan satu demi satu dan sistem anda akan siap LVM dalam masa yang singkat:

# pvcreate/dev/mapper/$ dm 5_crypt # vgcreate ubuntu -vg/dev/mapper/$ dm 5_crypt # lvcreate -l 4g -n swap_1 ubuntu -vg # lvcreat -n 80%free -n Ubuntu-Vg 

Buat kumpulan kelantangan logik

Langkah 9: Mulakan pemasang Ubuntu

Sudah tiba masanya untuk memulakan Ubuntu pemasang. Kurangkan hanya pemasang dan anda akan menemui pemasang di skrin utama.

Pemasang Ubuntu

Sama ada anda pergi dengan pemasangan biasa atau minimum, terpulang kepada anda tetapi beberapa pilihan diperlukan untuk dipilih untuk mendapatkan pengalaman yang lebih baik, dan memasang kemas kini dan pemandu dan codec pihak ketiga yang pasti akan meningkatkan pengalaman pengguna anda dan menyimpan anda masa selepas pemasangan.

Pilih kemas kini Ubuntu

Di bahagian jenis pemasangan, pilih pilihan yang dilabel "Sesuatu yang lain"Yang akan membantu kita menguruskan partisi yang baru saja kita buat secara manual.

Di sini, anda akan menemui beberapa partition dengan nama yang sama. Anda boleh dengan mudah mengenal pasti yang asal kerana pemasang akan menyebut saiz yang diambil. Sekarang, mari kita mulakan dengan Luks_boot.

Pilih Luks_boot dan klik pada butang Tukar.

Pilih Jenis Pemasangan Ubuntu

Sekarang, pilih Ext4 sistem fail jurnal dalam pilihan pertama. Dayakan Format pilihan partition dan di titik gunung, pilih /boot.

Buat partition boot

Begitu juga, pilih Ubuntu-Vg-Root dan klik pada butang Tukar. Di sini, pilih sistem fail jurnal ext4 dalam pilihan pertama. Dayakan format pilihan partition dan pada yang terakhir, pilih "/" pilihan.

Buat partition root

Sekarang, pilih Ubuntu-vg-swap_1 dan klik pada butang Pilihan. Pilih pilihan kawasan swap dan itu sahaja.

Buat partition swap

Memuktamadkan perubahan dan pilih lokasi semasa anda.

Setelah membuat pengguna, jangan klik pada butang Pasang sekarang kerana kami akan memohon beberapa arahan hanya setelah membuat pengguna baru. Buat pengguna dengan kata laluan yang kuat.

Buat Akaun Pengguna

Langkah 10: Aktifkan Penyulitan di GRUB

Hanya selepas anda membuat pengguna, buka terminal anda dan gunakan arahan yang diberikan kerana kami akan membolehkan penyulitan Grub Sebelum pemasangan bermula:

# sementara [ ! -d/sasaran/etc/lalai/grub.d]; tidur 1; dilakukan; echo "grub_enable_cryptodisk = y">/sasaran/etc/lalai/grub.d/tempatan.cfg 

Dayakan penyulitan di grub

Sebaik sahaja pemasangan selesai, klik pada terus menguji kerana kami akan pergi ke beberapa perubahan yang masih memerlukan kami menggunakan pemacu bootable.

Pemasangan Ubuntu selesai

Langkah 11: Konfigurasi pasca pemasangan Ubuntu

Dalam bahagian ini, kami akan melancarkan pemacu, memasang pakej yang diperlukan, dan membuat beberapa perubahan yang diperlukan untuk membuat kerja penyulitan. Oleh itu, buka terminal anda dan ikuti langkah -langkah yang diberikan:

Buat persekitaran chroot

Chroot digunakan untuk mengakses partisi yang baru saja kita pasangkan Ubuntu. Gunakan perintah yang diberikan salah satu yang melibatkan pemacu pemasangan dan penciptaan persekitaran chroot.

# mount/dev/mapper/ubuntu ---- vg-root/sasaran # untuk n dalam proc sys dev dll/resolv.Con; Adakah gunung - -rbind /$ n /sasaran /$ n; selesai # chroot /sasaran # mount -a 

Buat persekitaran chroot

Pasang pakej cryptsetup-initramfs

Cryptsetup Pakej akan bertanggungjawab untuk membuka kunci fail yang disulitkan pada masa boot dan kami dapat dengan mudah memasangnya dengan arahan yang diberikan:

# apt install -y cryptsetup -initramfs 

Tambahkan fail utama dan skrip sokongan

Fail utama akan digunakan untuk menyemak semula kod laluan untuk penyahsulitan dan disimpan di /boot/ yang juga merupakan partisi yang disulitkan. Gunakan arahan yang diberikan untuk meneruskan lagi:

# echo "keyfile_pattern =/etc/luks/*.Keyfile ">>/etc/cryptsetup-initramfs/conf-hook # echo" uMask = 0077 ">>/etc/initramfs-tools/initramfs.Conf 

Buat fail utama dan tambahkannya ke luks

Kami akan membuat fail utama 512 bait, menjadikannya selamat, dan juga akan menambah jumlah yang disulitkan. Anda boleh mencapai itu dengan menggunakan arahan yang diberikan:

# mkdir/etc/luks # dd if =/dev/urandom of =/etc/luks/boot_os.KeyFile BS = 512 Count = 1 # chmod u = rx, go-rwx/etc/luks # chmod u = r, go-rwx/etc/luks/boot_os.Keyfile 

Menambah Kekunci ke Boot_OS.Fail dan Crypttab (untuk HDD dan SATA SSD sahaja)

Ini sepatutnya menjadi salah satu langkah terakhir kerana kami cukup dekat dengan berjaya menyulitkan sistem kami. Gunakan arahan berikut untuk menambah kunci di boot_os.kunci fail.

# cryptsetup luksaddkey $ dev 1/etc/luks/boot_os.Keyfile # CryptSetup Luksaddkey $ dev 5/etc/luks/boot_os.Keyfile 

Untuk menambah kunci ke Crypttab, gunakan arahan berikut:

# echo "luks_boot uuid = $ (blkid -s uuid -o nilai $ dev 1)/etc/luks/boot_os.KeyFile Luks, buang ">>/etc/crypttab # echo" $ dm 5_crypt uuid = $ (blkid -s uuid -o nilai $ dev 5)/etc/luks/boot_os.Keyfile Luks, buang ">> /etc /crypttab 

Menambah Kekunci ke Boot_OS.Fail dan Crypttab (untuk SSD NVME sahaja)

Sekiranya anda menggunakan NVME SSD, anda boleh menggunakan arahan berikut untuk menambah kunci di boot_os.fail:

# cryptsetup luksaddkey $ devp 1/etc/luks/boot_os.Keyfile # CryptSetup Luksaddkey $ Devp 5/etc/luks/boot_os.Keyfile 

Begitu juga, untuk menambah kunci dalam crypttab, gunakan arahan berikut:

# echo "luks_boot uuid = $ (blkid -s uuid -o nilai $ devp 1)/etc/luks/boot_os.KeyFile Luks, buang ">>/etc/crypttab # echo" $ dm 5_crypt uuid = $ (blkid -s uuid -o nilai $ devp 5)/etc/luks/boot_os.Keyfile Luks, buang ">> /etc /crypttab 

Kemas kini fail InitialRamfs

Sekarang mari kita kemas kini Initialramfs Fail kerana ia akan menambah skrip membuka kunci dan fail utama dengan arahan berikut:

# update -initramfs -u -k semua 

Kemas kini fail InitialRamfs

Sekarang, reboot sistem anda dan ia akan membawa anda ke Grub Pass-Frase Prompt untuk boot sistem anda.

Ubuntu Grub laluan frasa

Hasrat utama di sebalik panduan ini adalah untuk membuat prosedur yang mudah diikuti di mana pemula walaupun dapat menjamin sistem mereka dengan membolehkan penyulitan cakera penuh di Ubuntu.