Comment installer Ubuntu crypté avec LUKS avec un double démarrage?

54

Le disque d'installation d'Ubuntu 13.04 dispose d'une option permettant d'installer Ubuntu chiffré à l'aide de LUKS. Cependant, il n’existe aucune option pour effectuer une installation chiffrée avec des partitions existantes pour un scénario à double démarrage.

Comment puis-je installer Ubuntu crypté à côté d'une autre partition à partir du disque live?

    
posée Flimm 09.05.2013 - 14:44
la source

1 réponse

70

Tout d’abord, si vous souhaitez installer Ubuntu chiffré sur un disque dur, en remplacement des partitions et des systèmes d’exploitation existants, vous pouvez le faire directement à partir du programme d’installation graphique. Ce processus manuel est uniquement requis pour le double démarrage.

Cette réponse a été testée avec Ubuntu 13.04.

  1. Démarrez à partir d’un DVD ou d’une clé USB Ubuntu et sélectionnez "Try Ubuntu".

  2. Créez deux partitions en utilisant GParted inclus dans le disque en direct. La première partition doit être non formatée et doit être assez grande pour root et swap. Dans mon exemple, il s'agit de /dev/sda3 . La deuxième partition doit avoir plusieurs centaines de mégaoctets et être formatée en ext2 ou ext3, elle sera non cryptée et montée sur /boot (dans mon exemple, il s'agit de /dev/sda4 ).

    Dans cette capture d’écran, j’ai une installation Ubuntu non chiffrée dans deux partitions: /dev/sda1 et /dev/sda5 , surligner dans le cercle à gauche. J'ai créé une partition non formatée dans /dev/sda3 et une partition ext3 dans /dev/sda4 , destinée à l'installation Ubuntu chiffrée, mise en évidence dans le cercle à droite:

  3. Créez un conteneur LUKS à l’aide de ces commandes. Remplacez /dev/sda3 par la partition non mise en forme créée précédemment et cryptcherries par le nom de votre choix.

    sudo cryptsetup luksFormat /dev/sda3
    sudo cryptsetup luksOpen /dev/sda3 cryptcherries
    
  4. Avertissement : vous remarquerez que l’étape luksFormat s’est terminée très rapidement, car elle n’efface pas de manière sécurisée le périphérique sous-jacent. À moins d'expérimenter et de ne pas se soucier de la sécurité contre les différents types d'attaques judiciaires, il est essentiel d'initialiser correctement le nouveau conteneur LUKS avant d'y créer des systèmes de fichiers. L'écriture de zéros dans le conteneur mappé entraînera l'écriture de données aléatoires fortes sur le périphérique de bloc sous-jacent. Cela peut prendre un certain temps, il est donc préférable d'utiliser la commande pv pour surveiller la progression:

    sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
    sudo apt-get update
    sudo apt-get install -y pv
    sudo sh -c 'exec pv -tprebB 16m /dev/zero >""' _ /dev/mapper/cryptcherries
    

    ou, si vous effectuez une installation hors connexion et que vous ne pouvez pas facilement obtenir pv :

    sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16M
    
  5. Dans le conteneur LUKS monté, créez un volume physique LVM, un groupe de volumes et deux volumes logiques. Le premier volume logique sera monté sur / et le second sera utilisé comme échange. vgcherries est le nom du groupe de volumes et lvcherriesroot et lvcherriesswap sont les noms des volumes logiques, vous pouvez choisir le vôtre.

    sudo pvcreate /dev/mapper/cryptcherries
    sudo vgcreate vgcherries /dev/mapper/cryptcherries
    sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
    sudo lvcreate -n lvcherriesswap -L 1g vgcherries
    
  6. Créez des systèmes de fichiers pour les deux volumes logiques: (Vous pouvez également effectuer cette étape directement à partir du programme d'installation.)

    sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
    sudo mkswap /dev/mapper/vgcherries-lvcherriesswap
    
  7. Sans redémarrer , installez Ubuntu à l’aide du programme d’installation graphique (le raccourci est sur le bureau dans Xubuntu 18.04), en choisissant le partitionnement manuel. Affectez / à /dev/mapper/vgcherries-lvcherriesroot et /boot à la partition non chiffrée créée à l'étape 2 (dans cet exemple, /dev/sda4 ).

  8. Une fois l’installation graphique terminée, sélectionnez "continuer à tester" et ouvrez un terminal.

  9. Trouvez l'UUID des partitions LUKS ( /dev/sda3 dans ce cas), vous en aurez besoin plus tard:

    $ sudo blkid /dev/sda3
    /dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"
    
  10. Montez les périphériques appropriés aux emplacements appropriés dans /mnt et chrootez-y:

    sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
    sudo mount /dev/sda4 /mnt/boot
    sudo mount --bind /dev /mnt/dev
    sudo chroot /mnt
    > mount -t proc proc /proc
    > mount -t sysfs sys /sys
    > mount -t devpts devpts /dev/pts
    
  11. Créez un fichier nommé /etc/crypttab dans l'environnement chrooté pour contenir cette ligne, en remplaçant la valeur UUID par l'UUID de la partition LUKS et vgcherries par le nom du groupe de volumes:

    # <target name> <source device> <key file> <options>
    cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherries
    
  12. Exécutez la commande suivante dans l'environnement chrooté:

    update-initramfs -k all -c
    
  13. Redémarrez et démarrez Ubuntu crypté. Vous devriez être invité à entrer un mot de passe.

  14. Vérifiez que vous utilisez la partition chiffrée pour / en exécutant mount :

    $ mount
    /dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
    /dev/sda4 on /boot type ext3 (rw)
    # rest of output cut for brevity
    
  15. Vérifiez que vous utilisez la partition de swap cryptée (pas de partition swap non cryptée provenant d’autres installations) en exécutant cette commande:

    $ swapon -s
    Filename                              Type      Size   Used Priority
    /dev/mapper/vgcherries-lvcherriesswap partition 630780 0    -1
    
  16. Vérifiez que vous pouvez démarrer en mode de récupération, vous ne voulez pas savoir plus tard en cas d’urgence que le mode de récupération ne fonctionne pas:)

  17. Installez les mises à jour susceptibles de reconstruire le disque virtuel et de mettre à jour la configuration grub. Redémarrez et testez le mode normal et le mode de récupération.

réponse donnée Flimm 09.05.2013 - 14:44
la source

Lire d'autres questions sur les étiquettes