Je cours 13.10 Saucy. Si je n'ai pas activé le chiffrement de disque lors de l'installation, y a-t-il un moyen de l'activer après coup?
J'ai trouvé ceci , qui indique que le cryptage doit être effectué au moment de l'installation, mais il fait également référence à Fedora. Je peux facilement démarrer sur un disque live s'il existe un moyen de le faire à partir de là.
encryption
Isaac Dontje Lindell
la source
la source
Réponses:
Si vous souhaitez activer le cryptage de votre dossier de base, vous devez installer et utiliser ces packages:
ecryptfs-utils
etcryptsetup
. Vous aurez également besoin d'un autre compte utilisateur avec des privilèges d'administrateur (sudo). La documentation complète est ici:Si vous souhaitez activer le chiffrement intégral du disque après l'installation, la réponse courte pour le moment est probablement: non, vous ne pouvez pas . Quoi qu'il en soit, si cela vous intéresse, votre question est la suivante:
la source
Le cryptage dans / home est effectué à l'aide d'un système de fichiers de l'espace utilisateur appelé ecryptfs.. C’est très bien fait et bien intégré dans le système d’authentification par défaut afin que vous n’ayez aucun inconvénient en termes d’utilisabilité: lorsque vous entrez votre compte (depuis un shell distant ou depuis l’écran de connexion par défaut), votre mot de passe est utilisé pour dérouler une clé sécurisée. , qui est ensuite utilisé pour chiffrer / déchiffrer vos fichiers dans votre répertoire personnel à la volée (le système de fichiers monté résidera directement dans / home / nomutilisateur). Lorsque vous vous déconnectez, / home / nom d'utilisateur est démonté et seuls les fichiers chiffrés restent visibles dans le système (généralement dans /home/.ecryptfs/nomutilisateur/.Private/). Ils ressemblent à un tas de fichiers scrabbled / random puisque les noms de fichiers sont également cryptés. La seule fuite d'informations est la suivante: taille du fichier, horodatage et nombre de fichiers (avec chiffrement intégral du disque, ceux-ci sont également masqués).
Si votre système doit être partagé entre plusieurs utilisateurs, c’est une fonctionnalité très intéressante, même si vous décidez d’ajouter le cryptage intégral du disque: la sécurité du cryptage intégral du disque est désactivée lorsque la machine est en marche à la maison ( Le cryptage ecryptfs est activé aussi longtemps que vous êtes déconnecté.
Ainsi, le chiffrement intégral du disque et le chiffrement à domicile ne s’excluent pas nécessairement.
Voici une liste des configurations possibles, en fonction de différents besoins de sécurité:
Oui, ce sera plus facile si vous utilisez actuellement LVM et que vous avez suffisamment d’espace sur votre système pour copier tous vos fichiers système non chiffrés sur une partition LUKS chiffrée. Pour le moment, je ne vais pas entrer dans les détails, car je ne sais pas si vous utilisez LVM et si vous préférez ne pas utiliser ecrypfs pour le moment et éviter le chiffrement intégral du disque jusqu'à la prochaine installation.
la source
Eh bien, vous pouvez faire une sauvegarde de tous les répertoires importants et des logiciels installés. Assurez-vous que votre 13.10 est entièrement mis à jour pour éviter les conflits de version. Habituellement, les choses à sauvegarder seraient:
/boot
/etc
home
var
/usr/local
/bin
,/lib
,lib64
).Après cela, vous ne réinstallez le système que maintenant chiffré. Mettez-le à jour. Déplacez ensuite la sauvegarde sur le système crypté et installez tous les logiciels de la version précédente.
Juste être sûr de ne pas écraser les fichiers importants du cryptage, lors de remettre la sauvegarde (par exemple
/etc/fstab
,/etc/cryptab
, des trucs liés grub et quelques trucs en/boot
ne doivent pas être remplacés par les fichiers sauvegardés).la source
À partir d’une Ubuntu 16.04 opérationnelle, j’ai réussi à chiffrer la partition racine après l’installation, la partition racine contenant tout, à l’exception de / boot. Je mets / boot sur un usb amovible séparé. Je l'ai notamment fait avant de passer à Ubuntu 18, et la mise à niveau a bien fonctionné avec la version de disque chiffrée.
Le cryptage n'a pas été effectué "en place", ce qui me convenait parfaitement, car je ne voulais pas écraser la version opérationnelle tant que la nouvelle configuration ne fonctionnait pas.
Effectuer la procédure correcte est extrêmement simple et rapide. (Bien que déterminer la procédure correcte prenait énormément de temps, car je suivais de fausses pistes.)
CONTOUR
DÉTAILS
1 - Démarrez avec un disque USB Linux en direct - il est pratique d’activer la persistance.
Ubuntu 16 installé sur un usb avec unetbootin. L’interface graphique permet de spécifier la "persistance", mais une autre étape est également nécessaire pour que la persistance fonctionne: modifiez
/boot/grub/grub.cfg
pour ajouter--- persistent
comme suit:Démarrer avec le live USB
2- Créez un groupe de volumes luks sur une partition vide. Créez / (racine) et permutez les volumes logiques sur cette partition chiffrée.
Supposons que la partition inutilisée à chiffrer est
/dev/nvme0n1p4
.En option , si vous avez des anciennes données sur la partition que vous voulez cacher avant le cryptage et le formatage, vous pouvez essuyer au hasard la partition. Voir la discussion ici .
Configurez le cryptage.
Vous serez invité à définir un mot de passe.
Vous serez invité à entrer le mot de passe. Notez qu'il
crypt1
s'agit d'un nom d'utilisateur arbitraire. Maintenant, créez les volumes et le format.Utilisez ces utilitaires pour afficher les volumes et comprendre la hiérarchie.
3- Copier les fichiers de l'ancienne racine vers la nouvelle racine
cp -a ...
copies en mode archive, en préservant tous les modes de fichiers et les indicateurs.4- Configurez et partitionnez une autre clé USB pour qu'elle serve de disque de démarrage amovible.
J'ai utilisé gparted pour cela. Configurez deux partitions. La première partition est
vfat
, la secondeext2
. Chacun faisait 512 Mo, vous pourriez vous en tirer avec moins. Suppose que l'appareil/dev/sdf
.5- Configurez des fichiers dans la nouvelle racine, faites un peu de magie et chrootez dans la nouvelle racine, puis installez grub sur le disque de démarrage à partir du nouvel environnement racine chrooté.
Trouvez des UUID pour une utilisation ultérieure. Notez les résultats des commandes suivantes:
Montez la partition racine et les partitions de démarrage
Configurer le fichier
/mnt/etc/fstab
où "[uuid of ...]" est juste une combinaison lettre-nombre-trait d'union.
Créer le fichier
/mnt/etc/cryptab
Un peu de magie est nécessaire pour entrer dans l’environnement du répertoire racine:
Maintenant, configurez le disque USB de démarrage avec
grub
:Vous devriez maintenant pouvoir redémarrer et démarrer à l’aide du nouveau disque de démarrage USB.
Le dépannage
(a) Le réseau doit être connecté pour la
apt install --reinstall grub-efi-amd64
commande. Si le réseau est connecté mais que le DNS échoue, essayez(b) Avant d'appeler
initramfs
, levmlinuz...
fichier actuel utilisé dans le linux d'origine doit être présent dans le nouveau répertoire racine. Si ce n'est pas le cas, trouvez-le et placez-le là.(c) La
grub-install
commande par défaut rechercher tous les autres disques de Linux , il peut trouver même si elles ne sont pasmount
ed, et les mettre dans le menu de démarrage sur le nouveau USB de démarrage. Généralement, cela n'est pas souhaité, vous pouvez donc l'éviter en ajoutant cette ligne à/boot/default/grub.cfg
:REMARQUE: Un fichier texte avec la clé de cryptage peut être ajouté à la clé USB de démarrage amovible.
la source
Réponse simple: non
Réponse compliquée:
Le chiffrement d'un disque ou d'une partition effacera tout ce qui se trouve actuellement sur ce disque ou cette partition. Par conséquent, pour chiffrer un disque, vous devez également en supprimer le contenu. Vous devez effectuer les sauvegardes de données appropriées avant de commencer. Évidemment, cela signifie que vous devez réinstaller le système pour utiliser le chiffrement intégral du disque, sans autre moyen. Cela est dû au fait que des données aléatoires seront écrites sur tout le disque pour rendre plus difficile la récupération des données.
Mais, de nos jours, vous n'avez pas besoin de chiffrer votre partition racine. N'oubliez pas que si quelque chose se connecte, vous êtes hors de votre système sans possibilité de récupérer les données. Vous devriez plutôt envisager uniquement de chiffrer vos informations personnelles.
Voir la question associée. Comment chiffrer le disque complet après l’installation?
la source