Die Ubuntu 13.04-Installationsdiskette bietet die Möglichkeit, Ubuntu mit LUKS-Verschlüsselung zu installieren. Es gibt jedoch keine Möglichkeit, eine verschlüsselte Installation neben vorhandenen Partitionen für ein Dual-Boot-Szenario durchzuführen.

Wie kann ich Ubuntu verschlüsselt neben einer anderen Partition von der Live-Festplatte installieren?

Wenn Sie Ubuntu verschlüsselt auf einer Festplatte installieren und vorhandene Partitionen und Betriebssysteme ersetzen möchten, können Sie dies direkt über das grafische Installationsprogramm tun. Dieser manuelle Vorgang ist nur für das Dual-Booten erforderlich.

Diese Antwort wurde mit Ubuntu 13.04 getestet.

1. Booten Sie von einer Ubuntu Live-DVD oder einem USB-Stick und wählen Sie "Ubuntu testen".

2. Erstellen Sie zwei Partitionen mit GParted, das auf der Live-Festplatte enthalten ist. Die erste Partition sollte unformatiert und groß genug für root und swap sein, in meinem Beispiel ist dies /dev/sda3. Die zweite Partition sollte mehrere hundert Megabyte groß und in ext2 oder ext3 formatiert sein. Sie wird unverschlüsselt und eingehängt /boot(in meinem Beispiel ist dies /dev/sda4).

   In diesem Screenshot habe ich eine vorhandene unverschlüsselte Ubuntu-Installation in zwei Partitionen: /dev/sda1und /dev/sda5, markieren Sie im Kreis links. Ich habe eine unformatierte Partition in /dev/sda3und eine ext3-Partition in erstellt /dev/sda4, die für die verschlüsselte Ubuntu-Installation vorgesehen sind und im Kreis rechts hervorgehoben sind:

   

3. Erstellen Sie mit diesen Befehlen einen LUKS-Container. Ersetzen Sie diese /dev/sda3durch die zuvor erstellte unformatierte Partition und cryptcherrieseinen Namen Ihrer Wahl.

   sudo cryptsetup luksFormat /dev/sda3
   sudo cryptsetup luksOpen /dev/sda3 cryptcherries
   

4. Warnung : Sie werden feststellen, dass der luksFormatSchritt sehr schnell abgeschlossen wurde, da das zugrunde liegende Blockgerät nicht sicher gelöscht wird. Sofern Sie nicht nur experimentieren und sich nicht um die Sicherheit gegen verschiedene Arten von forensischen Angriffen kümmern, ist es wichtig, den neuen LUKS-Container ordnungsgemäß zu initialisieren, bevor Sie darin Dateisysteme erstellen. Durch das Schreiben von Nullen in den zugeordneten Container werden starke Zufallsdaten in das zugrunde liegende Blockgerät geschrieben. Dies kann eine Weile dauern. Verwenden Sie daher am besten den pvBefehl, um den Fortschritt zu überwachen:

   ### Only for older releases, e.g. not for 19.04, `pv` is not included in the repo must be added first
   # sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
   # sudo apt-get update
   
   sudo apt-get install -y pv
   sudo sh -c 'exec pv -tprebB 16m /dev/zero >"$1"' _ /dev/mapper/cryptcherries
   

   oder, wenn Sie eine Offline-Installation durchführen und nicht leicht bekommen pv:

   sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16M
   

5. Erstellen Sie im bereitgestellten LUKS-Container ein physisches LVM-Volume, eine Volume-Gruppe und zwei logische Volumes. Das erste logische Volume wird an gemountet /und das zweite als Swap verwendet. vgcherriesist der Name der Datenträgergruppe, und lvcherriesrootund lvcherriesswapsind die Namen der logischen Datenträger, können Sie Ihre eigenen auswählen.

   sudo pvcreate /dev/mapper/cryptcherries
   sudo vgcreate vgcherries /dev/mapper/cryptcherries
   sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
   sudo lvcreate -n lvcherriesswap -L 1g vgcherries
   

6. Erstellen Sie Dateisysteme für die beiden logischen Volumes: (Sie können diesen Schritt auch direkt vom Installationsprogramm aus ausführen.)

   sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
   sudo mkswap /dev/mapper/vgcherries-lvcherriesswap
   

7. Installieren Sie Ubuntu ohne Neustart mit dem grafischen Installationsprogramm (die Verknüpfung befindet sich in Xubuntu 18.04 auf dem Desktop) und wählen Sie die manuelle Partitionierung. Zuordnen /zu /dev/mapper/vgcherries-lvcherriesrootund /bootauf die unverschlüsselten Partition in Schritt 2 erstellt wird (in diesem Beispiel /dev/sda4).

8. Wenn das grafische Installationsprogramm abgeschlossen ist, wählen Sie "Test fortsetzen" und öffnen Sie ein Terminal.

9. Suchen Sie die UUID der LUKS-Partitionen ( /dev/sda3in diesem Fall). Sie wird später benötigt:

   $ sudo blkid /dev/sda3
   /dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"
   

10. Montieren Sie die entsprechenden Geräte an den entsprechenden Positionen in /mntund chrooten Sie hinein:

    sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
    sudo mount /dev/sda4 /mnt/boot
    sudo mount --bind /dev /mnt/dev
    sudo chroot /mnt
    > mount -t proc proc /proc
    > mount -t sysfs sys /sys
    > mount -t devpts devpts /dev/pts
    

11. Erstellen Sie eine Datei mit dem Namen /etc/crypttabin der Chroot-Umgebung, die diese Zeile enthält, und ersetzen Sie den UUID-Wert durch die UUID der LUKS-Partition und vgcherriesdurch den Namen der Datenträgergruppe:

    # <target name> <source device> <key file> <options>
    cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherries
    

12. Führen Sie den folgenden Befehl in der Chroot-Umgebung aus:

    update-initramfs -k all -c
    

13. Starten Sie das verschlüsselte Ubuntu neu und booten Sie es. Sie sollten aufgefordert werden, ein Kennwort einzugeben.

14. Überprüfen Sie, ob Sie die verschlüsselte Partition verwenden, /indem Sie Folgendes ausführen mount:

    $ mount
    /dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
    /dev/sda4 on /boot type ext3 (rw)
    # rest of output cut for brevity
    

15. Überprüfen Sie, ob Sie die verschlüsselte Swap-Partition verwenden (keine unverschlüsselten Swap-Partitionen aus anderen Installationen), indem Sie den folgenden Befehl ausführen:

    $ swapon -s
    Filename                              Type      Size   Used Priority
    /dev/mapper/vgcherries-lvcherriesswap partition 630780 0    -1
    

16. Stellen Sie sicher, dass Sie in den Wiederherstellungsmodus booten können. Sie möchten später nicht herausfinden, dass der Wiederherstellungsmodus nicht funktioniert. :)

17. Installieren Sie alle Updates, die wahrscheinlich die Ramdisk neu erstellen und die Grub-Konfiguration aktualisieren. Starten Sie den normalen Modus und den Wiederherstellungsmodus neu und testen Sie sie.

Es ist möglich, ein verschlüsseltes Dual-Boot-Setup nur mit den GUI-Tools der Ubuntu LiveCD zu erstellen.

Voraussetzungen

• Ein USB-Stick mit dem 19.04 Ubuntu Installer.
• Wenn Sie ein EFI-Mainboard haben, stellen Sie sicher, dass der Datenträger die GUID-Partitionstabelle (GPT) verwendet. Die Verwendung eines MBR-Datenträgers mit dieser Methode scheint fehlzuschlagen. Sie können einen MBR mit Linux-Tools ( gdisk) in GPT konvertieren , aber Sie sollten zuerst eine Sicherung durchführen. Wenn Sie die Partitionstabelle konvertieren, müssen Sie den Windows-Bootloader anschließend reparieren .

Windows

• Geben Sie in der Startleiste disk partitiondie erste Option ein (öffnen Sie den Partitionsmanager in den Einstellungen).

• Verkleinern Sie Ihre primäre Partition auf die gewünschte Ubuntu-Größe (ich habe gerade die Standard-Partition verwendet und mein 500-GB-Laufwerk in ein 240-GB-Windows-Betriebssystem und 240-GB-Speicherplatz aufgeteilt).

BIOS

• Deaktivieren Sie den sicheren Start (wenn Sie Bitlocker haben, müssen Sie ihn erneut aktivieren, um jedes Mal sicher in Windows zu starten).

Ubuntu LiveCD

Schließlich - Booten Sie den 19.04 Installer USB

• Klicken Sie Enterauf die Standardoption Ubuntu installieren .

• Wenn Sie zu dem Bildschirm mit der Meldung "Gesamte Festplatte löschen" und einigen Kontrollkästchen gelangen, klicken Sie auf die Option " Etwas anderes" (manuelle Partitionierung). Andernfalls verlieren Sie Ihre Windows-Daten!

Sobald der Festplattenpartitions-Manager Ihre Festplatte lädt, haben Sie einen großen nicht zugewiesenen Speicherplatz. Klicken Sie darauf und klicken Sie auf die Schaltfläche Hinzufügen , um Partitionen zu erstellen.

• Erstellen Sie zunächst eine 500-MB- /bootPartition (primär, ext4).
• Zweitens machen Sie mit dem Rest des Speicherplatzes ein verschlüsseltes Volume. Dadurch wird eine einzelne LV-Partition erstellt. Ändern Sie es so, dass es die ausgewählte Root- /Partition ist.
• Der Rest des Installationsvorgangs funktioniert dann wie gewohnt.

Wenn Sie zum ersten Mal starten, melden Sie sich an, öffnen Sie ein Terminal, führen Sie sudo apt-get updateund aus sudo apt dist-upgrade, starten Sie neu und melden Sie sich erneut an.

Eine 2 GB große Auslagerungsdatei wird automatisch erstellt. Wenn Sie stattdessen eine 8-GB-Festplatte benötigen, lesen Sie diese Antwort .

Erstens: Warum ist es möglicherweise nicht sicher genug, nur die Linux-Partition zu verschlüsseln?

1. https://superuser.com/questions/1013944/encrypted-boot-in-a-luks-lvm-ubuntu-installation
2. https://security.stackexchange.com/questions/166075/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil-maid-a
3. https://www.reddit.com/r/linux/comments/6e5qlz/benefits_of_encrypting_the_boot_partition/
4. https://unix.stackexchange.com/questions/422860/why-should-we-encrypt-the-system-partition-and-not-only-home
5. https://www.coolgeeks101.com/howto/infrastructure/full-disk-encryption-ubuntu-usb-detached-luks-header/
6. https://superuser.com/questions/1324389/how-to-avoid-encrypted-boot-partition-password-prompt-in-lvm-arch-linux

Nun folgte ich diesem Tutorial:

1. https://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive
2. http://web.archive.org/web/20160402040105/http://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive

Auf dieser Antwort, präsentiere ich einen Schritt für Schritt (mit Bildern) Installation von Linux Mint 19.1 XFCEund Ubuntu 18.04.2sowohl vollständig in einer einzigen Festplatte verschlüsselte. Zuerst installierte ich Ubuntu 14.04.2auf /dev/sda5und ich habe nicht die Swap - Partitionen erstellen , da Linux Mint 19.1und Ubuntu 18.04.2sie nicht benutzen, das heißt, sie verwenden Auslagerungsdateien.

Ubuntu 18.04.2 Bionic Beaver

Legen Sie zuerst das UbuntuInstallationsmedium ein und starten Sie den Computer in der UbuntuLive-Sitzung neu. Wählen Sie dann Try Ubuntuein Terminal aus und öffnen Sie es

1. sudo su -
2. fdisk /dev/sdaErstellen Sie dann die folgenden Partitionen
   • 
3. cryptsetup luksFormat /dev/sda5
4. cryptsetup luksOpen /dev/sda5 sda5_crypt
5. pvcreate /dev/mapper/sda5_crypt
6. vgcreate vgubuntu /dev/mapper/sda5_crypt
7. lvcreate -L10G -n ubuntu_root vgubuntu
   • lvcreate -l 100%FREE -n ubuntu_root vgubuntu(Optional, anstatt ausgeführt zu werden lvcreate -L10G -n ubuntu_root vgubuntu, können Sie dies ausführen lvcreate -l 100%FREE -n ubuntu_root vgubuntu, um den gesamten freien Speicherplatz anstelle von nur 10 GB zu nutzen.)
   • 
8. Schließen Sie nicht das Terminal und öffnen Sie das Distributions-Installationsprogramm, wählen Sie " Etwas anderes" und installieren Sie es mit
   • /dev/sda1als /bootPartition mit ext2Format gemountet
   • /dev/mapper/vgubuntu-ubuntu_rootmontiert wie /mit ext4format.
   • /dev/sda als Bootloader-Installation
   • Markieren Sie nichts anderes
   • 
   • 
9. Starten Sie nicht neu, klicken Sie auf Continue Using Linux und wählen Sie das offene Terminal aus
10. mkdir /mnt/newroot
11. mount /dev/mapper/vgubuntu-ubuntu_root /mnt/newroot
12. mount -o bind /proc /mnt/newroot/proc
13. mount -o bind /dev /mnt/newroot/dev
14. mount -o bind /dev/pts /mnt/newroot/dev/pts
15. mount -o bind /sys /mnt/newroot/sys
16. cd /mnt/newroot
17. chroot /mnt/newroot
18. mount /dev/sda1 /boot
19. blkid /dev/sda5 (UUID ohne Anführungszeichen kopieren und im nächsten Schritt verwenden)
20. echo sda5_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
21. Erstellen Sie die Datei /etc/grub.d/40_custom
    • 
22. Bearbeiten /etc/default/grubund einstellen
    • GRUB_TIMEOUT_STYLE=menu
    • GRUB_TIMEOUT=10
    • 
23. update-initramfs -u
24. update-grub
    • 
    • 
25. exit
26. reboot
27. Wählen Sie nach dem Neustart Ihres Computers die Option aus, Ubuntuund Sie werden korrekt nach Ihrem Verschlüsselungskennwort gefragt
    • 
28. Nachdem Sie sich angemeldet haben, führen Sie aus
    • sudo apt-get update
    • sudo apt-get install gparted
29. Und wenn gpartedSie es öffnen, werden Sie es finden
    • 

Ausführlichere Anweisungen finden Sie im Original-Tutorial, auf das oben in dieser Frage hingewiesen wurde, oder suchen Sie in Google nach Informationen zur Verwendung dieser Befehle.

Linux Mint 19.1 Cinnamon

Starten Sie für die verbleibenden Linux-Installationen rebootIhren UbuntuComputer mit dem Installationsprogramm Mint 19.1(Live CD) und öffnen Sie ein Terminalfenster

1. sudo su -
2. cryptsetup luksFormat /dev/sda6
3. cryptsetup luksOpen /dev/sda6 sda6_crypt
4. pvcreate /dev/mapper/sda6_crypt
5. vgcreate vgmint /dev/mapper/sda6_crypt
6. lvcreate -L10G -n mint_root vgmint
   • lvcreate -l 100%FREE -n mint_root vgmint(Optional, anstatt ausgeführt zu werden lvcreate -L10G -n mint_root vgmint, können Sie dies ausführen lvcreate -l 100%FREE -n mint_root vgmint, um den gesamten freien Speicherplatz anstelle von nur 10 GB zu nutzen.)
   • 
   • 
7. Schließen Sie nicht das Terminal und öffnen Sie das Distributions-Installationsprogramm, wählen Sie " Etwas anderes" und installieren Sie es mit
   • /dev/sda2als /bootPartition mit ext2Format gemountet
   • /dev/mapper/vgmint-mint_rootmontiert wie /mit ext4format.
   • /dev/sda2als Bootloader-Installation (nicht /dev/sdawie bisher auswählen )
   • Markieren Sie nichts anderes
   • 
   • 
8. Starten Sie nicht neu, klicken Sie auf Continue Using Linux und wählen Sie das offene Terminal aus
9. mkdir /mnt/newroot
10. mount /dev/mapper/vgmint-mint_root /mnt/newroot
11. mount -o bind /proc /mnt/newroot/proc
12. mount -o bind /dev /mnt/newroot/dev
13. mount -o bind /dev/pts /mnt/newroot/dev/pts
14. mount -o bind /sys /mnt/newroot/sys
15. cd /mnt/newroot
16. chroot /mnt/newroot
17. mount /dev/sda2 /boot
18. blkid /dev/sda6 (UUID ohne Anführungszeichen kopieren und im nächsten Schritt verwenden)
19. echo sda6_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
20. update-initramfs -u
21. update-grub
    • 
    • 
22. exit
23. reboot
24. Wählen Sie nach dem Neustart Ihres Computers die Option aus Linux Mint on /dev/sda2
    • 
25. Dann wird es korrekt gestartet Mint 19.1und nach dem Verschlüsselungskennwort gefragt
    • 
26. Nachdem Sie sich angemeldet haben, führen Sie aus
    • sudo apt-get update
    • sudo apt-get install gparted
27. Und wenn gpartedSie es öffnen, werden Sie es finden
    • 

Verwandte Links:

1. Wie kann ich die Größe einer aktiven LVM-Partition ändern?
2. Wie kann ich die Größe einer LVM-Partition ändern? (dh: physisches Volumen)
3. https://www.tecmint.com/extend-and-reduce-lvms-in-linux/
4. Grub Chainloader funktioniert nicht mit Windows 8
5. UEFI-Boot mit verschlüsseltem / Boot unter Ubuntu 14.04 LTS