Cara menyulitkan cakera penuh semasa memasang ubuntu 22.04
- 1014
- 153
- Clarence Tromp
Pengagihan Linux telah melakukan pekerjaan yang hebat untuk mendapatkan perlindungan tambahan dengan membawa penyulitan cakera penuh dan menjadi pemimpin pasaran.
Ubuntu juga dibundel dengan pelbagai ciri dan penyulitan cakera adalah salah satu daripada mereka. Mengaktifkan Penyulitan Cakera Penuh adalah penting bagi mereka yang ingin mendapatkan data peribadi mereka dengan apa -apa kos walaupun peranti anda dicuri kerana ia memerlukan anda memasukkan kod laluan pada setiap boot.
Penyulitan cakera penuh hanya boleh diaktifkan semasa memasang sistem pengendalian sebagai penyulitan cakera penuh akan digunakan untuk setiap partition pemacu anda yang juga termasuk boot dan partition swap. Dan inilah sebabnya mengapa kita dikehendaki membolehkannya dari awal pemasangan.
Tutorial langkah demi langkah ini akan membimbing anda bagaimana anda boleh mengaktifkan penyulitan cakera penuh Ubuntu 22.04 Dan untuk tujuan itu, kita akan menggunakan Lvm (Pengurusan volum logik) dan Luks (untuk tujuan penyulitan).
Prasyarat:
- Pemacu usb bootable.
- Sambungan Internet dengan lebar jalur yang cukup untuk memuat turun fail besar.
- UEFI membolehkan motherboard.
Tetapi sebelum melompat ke proses, mari kita mempunyai idea ringkas mengenai kebaikan dan keburukan Penyulitan cakera.
Kebaikan dan keburukan penyulitan cakera
Setiap ciri dibundel dengan kebaikan dan keburukannya dan ini juga terpakai dalam kes penyulitan cakera. Oleh itu, adalah idea yang baik untuk mengetahui apa yang diharapkan dan apa yang bukan dari langkah -langkah yang akan dibuat.
Kelebihan:
- Melindungi data sensitif anda dari kecurian - Ya, ini adalah ciri penyulitan cakera yang paling menarik kerana data peribadi anda akan sentiasa dijamin walaupun sistem anda dicuri. Titik ini lebih sesuai dalam hal peranti mudah alih seperti komputer riba yang mempunyai lebih banyak peluang untuk dicuri.
- Menjimatkan data anda dari pengawasan - Peluang sistem anda yang digodam adalah minimum pada linux tetapi boleh dilakukan jika pengguna tidak cukup pintar untuk melindungi dirinya dari penipuan yang mencurigakan. Walaupun komputer anda diserang, penggodam tidak dapat mengakses data anda yang merupakan bukti lain yang membolehkannya.
Keburukan:
- Kesan terhadap prestasi - Ini hanya boleh digunakan untuk sistem dengan beberapa sumber kerana komputer moden dapat mengendalikan penyulitan tanpa sebarang masalah tetapi masih anda akan mendapati sedikit kelajuan membaca dan menulis semasa penggunaan.
Menurut kami, penyulitan cakera penuh selalu menjadi pilihan bijak kerana ia menawarkan banyak kebaikan sementara mudah untuk mengatasi keburukan dengan beberapa sumber lagi. Jadi jika anda baik -baik saja dengan sedikit penurunan prestasi untuk keselamatan yang lebih baik, mari kita mulakan proses penyulitan.
Menyulitkan keseluruhan cakera di Ubuntu 22.04
Ini adalah panduan mesra pemula dan sepatutnya membimbing anda melalui setiap langkah sementara pengguna lanjutan masih boleh mendapat manfaat daripadanya.
Langkah 1: Muat turun Ubuntu 22.04 ISO
Lawati halaman muat turun Ubuntu rasmi dan pilih Ubuntu 22.04 Versi LTS, yang akan mula memuat turun secara automatik.
Muat turun desktop UbuntuLangkah 2: Buat pemacu USB Ubuntu yang boleh bootable
Untuk memancarkan Ubuntu ISO Imej ke pemacu USB, kami akan menggunakan Balena Etcher, yang secara automatik akan mengesan OS yang sedang anda gunakan. Sebaik sahaja anda selesai memasang Balena Etcher, pasangkannya pada sistem anda.
Untuk membakar fail ISO, buka Balenaetcher dan pilih "Flash dari fail"Pilihan dan pilih yang baru dimuat turun Ubuntu 22.04 ISO fail.
Seterusnya, pilih pemacu yang kami mahu memancarkan fail ISO. Pilih "Pilih Target"Pilihan dan ia akan menyenaraikan semua pemacu yang dipasang pada sistem anda. Dari pilihan yang ada, pilih USB atau DVD memandu.
Flash Ubuntu ISO ke USBSebaik sahaja kita berjaya memaparkan kita USB memandu, sudah tiba masanya untuk boot dari pemacu USB. Untuk boot dari USB, but semula sistem dan penggunaan anda F10, F2, F12, F1, atau Del Semasa sistem anda naik. Dari sana, anda harus memilih USB anda sebagai pemacu boot anda.
Langkah 3: Mulakan pemasangan Ubuntu menggunakan pemacu USB
Sebaik sahaja kita dibuang melalui USB, kita boleh meneruskan ke bahagian pembahagian dan penyulitan. Ini mungkin mengatasi beberapa pengguna baru kerana ia mungkin kelihatan rumit tetapi anda hanya perlu mengikuti setiap langkah dan anda akan mendapat sistem anda yang disulitkan dalam masa yang singkat.
CATATAN: Beberapa arahan berbeza untuk Nvme ssd Pengguna Jadi sila baca arahan sebelum memohon arahan seperti yang kita telah memisahkannya apabila diperlukan.
Sebaik sahaja anda boot ke Ubuntu, Anda akan mendapat dua pilihan: Cuba Ubuntu dan Pasang Ubuntu. Seperti yang kita akan menyulitkan partisi, kita dikehendaki menggunakan persekitaran secara langsung. Jadi pilih pilihan pertama yang dilabel "Cuba Ubuntu".
Cuba Ubuntu secara langsungKlik pada Aktiviti terletak di sebelah kiri atas dan jenis carian Terminal. Tekan masukkan hasil pertama dan ia akan membuka terminal untuk kami. Seterusnya, beralih kepada pengguna root, kerana semua arahan yang akan kami gunakan akan memerlukan keistimewaan pentadbiran.
$ sudo -i
Oleh kerana perintah yang akan datang akan sangat bergantung pada Bash, Mari beralih dari shell lalai kami ke Bash oleh arahan berikut:
# bash
Seterusnya, kenal pasti sasaran pemasangan, kami dikehendaki menyenaraikan semua peranti storan yang dipasang dengan arahan berikut:
# lsblkSenaraikan peranti penyimpanan
Anda boleh mengenal pasti partition sasaran dengan saiz dan dalam kebanyakan kes, ia akan dinamakan sebagai SDA dan VDA. Dalam kes saya, itu SDA dengan saiz 20GB.
Memperuntukkan nama pembolehubah ke peranti sasaran (untuk HDD dan SATA SSD)
Bahagian ini hanya terpakai untuk anda jika anda menggunakan HDD untuk Sata SSD. Jadi jika anda adalah seseorang yang dilengkapi dengan Nvme ssd, memperuntukkan nama berubah dijelaskan dalam langkah di bawah.
Sebagai peranti sasaran saya dinamakan SDA, Saya dikehendaki menggunakan arahan berikut:
# Export Dev = "/dev/sda"
Memperuntukkan nama berubah ke peranti sasaran (untuk SSD NVME sahaja)
Sekiranya anda adalah seseorang yang menggunakan Nvme, skim penamaan untuk peranti sasaran anda akan menjadi seperti /dev/nvme $ controller n $ namespace p $ partition Jadi jika hanya ada satu partition, ia mungkin mempunyai nama yang sama dengan arahan yang diberikan:
# Export Dev = "/dev/nvme0n1"
Sekarang, mari kita konfigurasikan pembolehubah untuk pemetaan peranti yang disulitkan dengan arahan berikut:
#eksport dm = "$ dev ##*/"
Setiap peranti NVME memerlukan 'P'
Dalam akhiran jadi gunakan arahan yang diberikan untuk menambah akhiran:
# eksport devp = "$ dev $ (if [[" $ dev "= ~" nvme "]]; kemudian echo" p "; fi)" # eksport dm = "$ dm $ (if [[" $ Dm "= ~" nvme "]]; kemudian echo" p "; fi)"
Langkah 4: Buat partition GPT baru
Untuk membuat yang baru Gpt jadual partition, kita akan menggunakan Sgdidk utiliti dengan arahan berikut:
# sgdisk -cetak $ devBuat partition GPT baru
Sekarang kita dapat dengan selamat mengeluarkan semua data yang tersedia tetapi jika anda memasang sistem ini bersama partisi yang ada, sila elakkan langkah ini.
Untuk memformat data, gunakan arahan berikut:
# sgdisk --zap-all $ devFormat data pada cakera
Langkah 5: Buat partition baru untuk pemasangan
Kami akan memperuntukkan a 2MB Partition untuk imej teras Bios-Mode Grub, 768MB partition boot, dan 128MB untuk sistem fail EFI, dan ruang yang tinggal akan diperuntukkan kepada pengguna di mana anda boleh menyimpan data yang anda inginkan.
Gunakan arahan yang diberikan satu persatu untuk memisahkan pemacu anda:
# sgdisk --new = 1: 0:+768m $ dev # sgdisk --new = 2: 0:+2m $ dev # sgdisk --new = 3: 0:+128m $ dev # sgdisk --New = 5: 0: 0 $ dev # sgdisk --Typecode = 1: 8301 --Typecode = 2: EF02 --Typecode = 3: EF00 --Typecode = 5: 8301 $ DevBuat partition untuk pemasangan
Untuk menukar nama partition, gunakan arahan yang diberikan:
# sgdisk --change-name = 1:/boot --change-name = 2: grub --change-name = 3: efi-sp --change-name = 5: rootfs $ dev # sgdisk--hybrid 1: 2: 3 $ devTukar nama partition
Untuk menyenaraikan partisi baru -baru ini, gunakan arahan berikut:
# sgdisk -cetak $ devSenarai partition
Langkah 6: Menyulitkan boot dan partition OS
Untuk HDD dan SATA SSD sahaja
Mari mulakan proses penyulitan kami dengan menyulitkan partition boot. Anda dikehendaki menaip Ya dalam semua topi apabila ia meminta izin anda.
# cryptsetup luksformat --Type = luks1 $ dev 1Menyulitkan partition boot
Sekarang, mari kita menyulitkan partition OS dengan arahan berikut:
# cryptsetup luksformat --Type = luks1 $ dev 5Menyulitkan partition OS
Untuk pemasangan selanjutnya, kami mesti membuka kunci partisi yang disulitkan dengan menggunakan arahan berikut untuk membuka kunci boot dan partition OS.
# cryptsetup buka $ dev 1 luks_boot # cryptsetup buka $ dev 5 $ dm 5_crypt
Untuk ssds nvme sahaja
Langkah ini hanya terpakai jika sistem anda dilengkapi dengan Nvme ssd. Gunakan arahan berikut untuk menyulitkan partisi boot dan OS:
# cryptsetup luksformat --Type = luks1 $ devp 1 # cryptsetup luksformat --Type = luks1 $ devp 5
Sekarang, mari kita buka kunci partition yang disulitkan kerana perlu kita memproses lebih lanjut dalam pemasangan.
# cryptsetup buka $ devp 1 luks_boot # cryptsetup buka $ devp 5 $ dm 5_crypt
Langkah 7: Partition Format
Ini adalah salah satu langkah paling penting seolah-olah tidak dilakukan, pemasang akan melumpuhkan keupayaan untuk menulis sistem fail. Gunakan arahan berikut untuk memulakan pemformatan:
# mkfs.ext4 -l boot/dev/mapper/luks_bootPartition format
Format partition EFI-SP (untuk HDD dan SATA SSD sahaja)
Jika sistem anda dilengkapi dengan HDD dan SATA SSD, gunakan arahan berikut untuk memformatnya dalam FAT16:
# mkfs.vfat -f 16 -n efi -sp $ dev 3
Format partition EFI-SP (untuk SSD NVME sahaja)
Jadi jika sistem anda menggunakan NVME SSD, anda boleh memformat partition ke -3 dengan mudah menggunakan arahan berikut:
# mkfs.vfat -f 16 -n efi -sp $ devp 3
Langkah 8: Buat kumpulan kelantangan logik
Lvm adalah salah satu fungsi yang paling saya kagumi. Walaupun anda tidak menggunakan ciri LVM, membolehkan ia tidak akan membahayakan sistem anda dan pada masa akan datang, jika anda memerlukan sebarang ciri yang disediakan oleh LVM, anda boleh menggunakannya tanpa sebarang masalah.
Di sini, kita akan memperuntukkan 4GB kepada bertukar partition yang akan menggunakan ruang cakera apabila sistem kehabisan ingatan. Kami juga memperuntukkan 80% ruang kosong ke akar jadi pengguna boleh menggunakan ruang cakera untuk potensi maksimum.
Sudah tentu, anda boleh mengubahnya mengikut kes penggunaan anda dan juga mengubahnya pada masa akan datang. Gunakan arahan yang diberikan satu demi satu dan sistem anda akan siap LVM dalam masa yang singkat:
# pvcreate/dev/mapper/$ dm 5_crypt # vgcreate ubuntu -vg/dev/mapper/$ dm 5_crypt # lvcreate -l 4g -n swap_1 ubuntu -vg # lvcreat -n 80%free -n Ubuntu-VgBuat kumpulan kelantangan logik
Langkah 9: Mulakan pemasang Ubuntu
Sudah tiba masanya untuk memulakan Ubuntu pemasang. Kurangkan hanya pemasang dan anda akan menemui pemasang di skrin utama.
Pemasang UbuntuSama ada anda pergi dengan pemasangan biasa atau minimum, terpulang kepada anda tetapi beberapa pilihan diperlukan untuk dipilih untuk mendapatkan pengalaman yang lebih baik, dan memasang kemas kini dan pemandu dan codec pihak ketiga yang pasti akan meningkatkan pengalaman pengguna anda dan menyimpan anda masa selepas pemasangan.
Pilih kemas kini UbuntuDi bahagian jenis pemasangan, pilih pilihan yang dilabel "Sesuatu yang lain"Yang akan membantu kita menguruskan partisi yang baru saja kita buat secara manual.
Di sini, anda akan menemui beberapa partition dengan nama yang sama. Anda boleh dengan mudah mengenal pasti yang asal kerana pemasang akan menyebut saiz yang diambil. Sekarang, mari kita mulakan dengan Luks_boot.
Pilih Luks_boot dan klik pada butang Tukar.
Pilih Jenis Pemasangan UbuntuSekarang, pilih Ext4 sistem fail jurnal dalam pilihan pertama. Dayakan Format pilihan partition dan di titik gunung, pilih /boot.
Buat partition bootBegitu juga, pilih Ubuntu-Vg-Root dan klik pada butang Tukar. Di sini, pilih sistem fail jurnal ext4 dalam pilihan pertama. Dayakan format pilihan partition dan pada yang terakhir, pilih "/" pilihan.
Buat partition rootSekarang, pilih Ubuntu-vg-swap_1 dan klik pada butang Pilihan. Pilih pilihan kawasan swap dan itu sahaja.
Buat partition swapMemuktamadkan perubahan dan pilih lokasi semasa anda.
Setelah membuat pengguna, jangan klik pada butang Pasang sekarang kerana kami akan memohon beberapa arahan hanya setelah membuat pengguna baru. Buat pengguna dengan kata laluan yang kuat.
Buat Akaun PenggunaLangkah 10: Aktifkan Penyulitan di GRUB
Hanya selepas anda membuat pengguna, buka terminal anda dan gunakan arahan yang diberikan kerana kami akan membolehkan penyulitan Grub Sebelum pemasangan bermula:
# sementara [ ! -d/sasaran/etc/lalai/grub.d]; tidur 1; dilakukan; echo "grub_enable_cryptodisk = y">/sasaran/etc/lalai/grub.d/tempatan.cfgDayakan penyulitan di grub
Sebaik sahaja pemasangan selesai, klik pada terus menguji kerana kami akan pergi ke beberapa perubahan yang masih memerlukan kami menggunakan pemacu bootable.
Pemasangan Ubuntu selesaiLangkah 11: Konfigurasi pasca pemasangan Ubuntu
Dalam bahagian ini, kami akan melancarkan pemacu, memasang pakej yang diperlukan, dan membuat beberapa perubahan yang diperlukan untuk membuat kerja penyulitan. Oleh itu, buka terminal anda dan ikuti langkah -langkah yang diberikan:
Buat persekitaran chroot
Chroot digunakan untuk mengakses partisi yang baru saja kita pasangkan Ubuntu. Gunakan perintah yang diberikan salah satu yang melibatkan pemacu pemasangan dan penciptaan persekitaran chroot.
# mount/dev/mapper/ubuntu ---- vg-root/sasaran # untuk n dalam proc sys dev dll/resolv.Con; Adakah gunung - -rbind /$ n /sasaran /$ n; selesai # chroot /sasaran # mount -aBuat persekitaran chroot
Pasang pakej cryptsetup-initramfs
Cryptsetup Pakej akan bertanggungjawab untuk membuka kunci fail yang disulitkan pada masa boot dan kami dapat dengan mudah memasangnya dengan arahan yang diberikan:
# apt install -y cryptsetup -initramfs
Tambahkan fail utama dan skrip sokongan
Fail utama akan digunakan untuk menyemak semula kod laluan untuk penyahsulitan dan disimpan di /boot/ yang juga merupakan partisi yang disulitkan. Gunakan arahan yang diberikan untuk meneruskan lagi:
# echo "keyfile_pattern =/etc/luks/*.Keyfile ">>/etc/cryptsetup-initramfs/conf-hook # echo" uMask = 0077 ">>/etc/initramfs-tools/initramfs.Conf
Buat fail utama dan tambahkannya ke luks
Kami akan membuat fail utama 512 bait, menjadikannya selamat, dan juga akan menambah jumlah yang disulitkan. Anda boleh mencapai itu dengan menggunakan arahan yang diberikan:
# mkdir/etc/luks # dd if =/dev/urandom of =/etc/luks/boot_os.KeyFile BS = 512 Count = 1 # chmod u = rx, go-rwx/etc/luks # chmod u = r, go-rwx/etc/luks/boot_os.Keyfile
Menambah Kekunci ke Boot_OS.Fail dan Crypttab (untuk HDD dan SATA SSD sahaja)
Ini sepatutnya menjadi salah satu langkah terakhir kerana kami cukup dekat dengan berjaya menyulitkan sistem kami. Gunakan arahan berikut untuk menambah kunci di boot_os.kunci fail.
# cryptsetup luksaddkey $ dev 1/etc/luks/boot_os.Keyfile # CryptSetup Luksaddkey $ dev 5/etc/luks/boot_os.Keyfile
Untuk menambah kunci ke Crypttab, gunakan arahan berikut:
# echo "luks_boot uuid = $ (blkid -s uuid -o nilai $ dev 1)/etc/luks/boot_os.KeyFile Luks, buang ">>/etc/crypttab # echo" $ dm 5_crypt uuid = $ (blkid -s uuid -o nilai $ dev 5)/etc/luks/boot_os.Keyfile Luks, buang ">> /etc /crypttab
Menambah Kekunci ke Boot_OS.Fail dan Crypttab (untuk SSD NVME sahaja)
Sekiranya anda menggunakan NVME SSD, anda boleh menggunakan arahan berikut untuk menambah kunci di boot_os.fail:
# cryptsetup luksaddkey $ devp 1/etc/luks/boot_os.Keyfile # CryptSetup Luksaddkey $ Devp 5/etc/luks/boot_os.Keyfile
Begitu juga, untuk menambah kunci dalam crypttab, gunakan arahan berikut:
# echo "luks_boot uuid = $ (blkid -s uuid -o nilai $ devp 1)/etc/luks/boot_os.KeyFile Luks, buang ">>/etc/crypttab # echo" $ dm 5_crypt uuid = $ (blkid -s uuid -o nilai $ devp 5)/etc/luks/boot_os.Keyfile Luks, buang ">> /etc /crypttab
Kemas kini fail InitialRamfs
Sekarang mari kita kemas kini Initialramfs Fail kerana ia akan menambah skrip membuka kunci dan fail utama dengan arahan berikut:
# update -initramfs -u -k semuaKemas kini fail InitialRamfs
Sekarang, reboot sistem anda dan ia akan membawa anda ke Grub Pass-Frase Prompt untuk boot sistem anda.
Ubuntu Grub laluan frasaHasrat utama di sebalik panduan ini adalah untuk membuat prosedur yang mudah diikuti di mana pemula walaupun dapat menjamin sistem mereka dengan membolehkan penyulitan cakera penuh di Ubuntu.
- « 5 Platform Terbaik Untuk Mengadakan Projek Pembangunan Web Anda
- Cara mengubah suai pembolehubah kernel linux menggunakan arahan sysctl »