Aktivieren Sie die Festplattenverschlüsselung nach der Installation

61

Ich laufe 13.10 Saucy. Wenn ich die Festplattenverschlüsselung während der Installation nicht aktiviert habe, gibt es eine Möglichkeit, sie post facto zu aktivieren?

Ich habe dies gefunden , was besagt, dass die Verschlüsselung zum Zeitpunkt der Installation erfolgen muss, aber es bezieht sich auch auf Fedora. Ich kann leicht von einer Live-Festplatte booten, wenn es eine Möglichkeit gibt, dies von dort aus zu tun.

Isaac Dontje Lindell
quelle
Vollständige Disc-Verschlüsselung oder nur Ihr / Home-Ordner?
Joren
Volle Festplatte. (Folgefrage: Was sind die
Vor-
Die / home-Festplattenverschlüsselung enthält keinen Auslagerungsspeicher. Sensible Daten können in unverschlüsselten Swap geschrieben werden, wenn nur / home verschlüsselt ist. Dies kann wiederhergestellt werden. Ubuntu hat die automatische Entschlüsselung von / home während der Anmeldung. Für die vollständige Festplattenverschlüsselung ist sowohl beim Starten als auch beim Anmelden ein Kennwort erforderlich. Das Ändern der Größe eines verschlüsselten Laufwerks ist ein mühsamer Prozess. Wenn Sie ein externes Laufwerk haben, ist es nach der Installation in 13.10 Saucy Salamander einfach zu verschlüsseln: Sichern Sie Ihre Daten, starten Sie "Disks" über das Dashboard, wählen Sie Ihr externes Laufwerk aus, klicken Sie auf das Zahnrad, wählen Sie "Verschlüsseln" und entsperren Sie Ihr neu verschlüsseltes Laufwerk Kopieren Sie die Daten zurück.
User75798

Antworten:

57

Wenn Sie die Verschlüsselung Ihres Basisordners aktivieren möchten, müssen Sie die folgenden Pakete installieren und verwenden: ecryptfs-utilsund cryptsetup. Außerdem benötigen Sie ein anderes Benutzerkonto mit Administratorrechten (sudo). Die vollständige Dokumentation finden Sie hier:

Wenn Sie nach der Installation die vollständige Festplattenverschlüsselung aktivieren möchten, lautet die kurze Antwort vorerst wahrscheinlich: Nein, das können Sie nicht . Wie auch immer, wenn Sie daran interessiert sind, ist Ihre Frage ein Duplikat von:

Radu Rădeanu
quelle
8
Bitte geben Sie hier mindestens die grundlegenden Schritte für Ihr verlinktes Howto an. Nur für den Fall, dass Ihr Link offline geht, sich ändert oder vorübergehend nicht erreichbar ist.
Con-F-Use
1
@ con-f-use Wenn Sie sorgfältig lesen (ohne Verwirrung), sind die grundlegenden Schritte in der Antwort enthalten.
Radu Rădeanu
1
Was passiert, wenn sich in Ihrem Home-Ordner eine Samba-Freigabe befindet, die verschlüsselt ist? Können Netzwerkbenutzer die Dateien nicht mehr lesen oder werden sie über die Freigabe entschlüsselt?
Rush Frisby
21

Folgefrage: Was sind die Vor- und Nachteile von Full Disk vs. Just / Home?

Die Verschlüsselung in / home erfolgt mit einem Dateisystem für den Benutzerbereich namens ecryptfs. Es ist sehr gut gemacht und fest in das Standardauthentifizierungssystem eingebunden, sodass Sie keine Usability-Nachteile haben: Wenn Sie Ihr Konto eingeben (entweder über eine Remote-Shell oder über den Standard-Anmeldebildschirm), wird Ihr Passwort zum Entpacken eines sicheren Schlüssels verwendet , der dann verwendet wird, um Ihre Dateien in Ihrem Home-Verzeichnis im Handumdrehen zu verschlüsseln / entschlüsseln (das gemountete Dateisystem befindet sich direkt in / home / username). Wenn Sie sich abmelden, wird / home / username abgemeldet und nur die verschlüsselten Dateien bleiben im System sichtbar (normalerweise in /home/.ecryptfs/username/.Private/). Sie sehen aus wie ein Haufen verschlüsselter / zufälliger Dateien, da die Dateinamen ebenfalls verschlüsselt sind. Das einzige Informationsleck ist: Dateigröße, Zeitstempel und Anzahl der Dateien (bei voller Festplattenverschlüsselung sind diese ebenfalls verborgen).

Wenn Ihr System von mehreren Benutzern gemeinsam genutzt werden soll, ist dies eine sehr schöne Funktion, auch wenn Sie sich dazu entschließen, die vollständige Festplattenverschlüsselung hinzuzufügen: Die Sicherheit der vollständigen Festplattenverschlüsselung ist deaktiviert, wenn der Computer zu Hause in Betrieb ist ( ecryptfs) -Verschlüsselung ist aktiviert, solange Sie abgemeldet sind.

Die vollständige Festplattenverschlüsselung und die Heimverschlüsselung schließen sich also nicht unbedingt gegenseitig aus.

Hier ist eine Liste der möglichen Einstellungen, abhängig von den verschiedenen Sicherheitsanforderungen:

  • NUR VOLLVERSCHLÜSSELUNG: Wenn Sie der einzige sind, der Ihren Computer verwendet, und Ihr Computer den Overhead der vollständigen Festplattenverschlüsselung bewältigt (alle modernen Desktops können dies tun, ohne dass der Benutzer es bemerkt, Netbooks und alte Laptops können nicht so häufig verwendet werden), können Sie die Vollversion verwenden Festplattenverschlüsselung und in der gleichen Partition wie Ihr Betriebssystem (/) nach Hause setzen.
  • VOLLVERSCHLÜSSELUNG UND VERSCHLÜSSELUNG VON HEIMVERSCHLÜSSELUNGEN : Wenn Sie befürchten, dass Ihre privaten Daten gelesen werden, während Ihr PC eingeschaltet ist, oder wenn Sie Ihren Computer für andere Benutzer freigeben, können Sie sich in einer anderen Partition als / befinden und Ecryptfs auf der gesamten Festplatte verwenden Verschlüsselung (dh Verschlüsselung von / durch LUKS)
  • NUR HEIME ECRYPTFS-VERSCHLÜSSELUNG : Wenn Sie nicht zu besorgt sind, dass jemand Ihr System manipuliert, während Sie nicht da sind, aber dennoch Ihre privaten Daten sicher aufbewahren möchten, überspringen Sie die vollständige Festplattenverschlüsselung und verwenden Sie einfach ecryptfs (Verschlüsselung von zu Hause). Ein zusätzlicher Vorteil dieses Szenarios ist, dass dies auch nach dem Einrichten recht einfach istSie haben Ubuntu mit ecryptfs-migrate-home installiert. Auch dies war das Standard-Ubuntu-Setup, bevor es einige Releases zurück änderte, und fügte die Möglichkeit der vollständigen Festplattenverschlüsselung hinzu. Da die meisten modernen Desktops die vollständige Festplattenverschlüsselung ohne Probleme verarbeiten können und eine dünne Schicht an Sicherheit gegen das Einfügen von Offline-Code bieten, wurde dem Installationsprogramm die vollständige Festplattenverschlüsselung hinzugefügt. Beachten Sie jedoch, dass für die meisten Benutzer die Verschlüsselung ihres Heims mit ecryptfs für ihre Bedürfnisse ausreicht: Halten Sie Ihre Freunde und die üblichen Laptop-Diebe von ihren privaten Daten fern. Wenn Sie von einer Organisation mit den richtigen Mitteln gezielt angesprochen wurden, wird die vollständige Festplattenverschlüsselung oder die reine Heimverschlüsselung keinen großen Unterschied machen, es sei denn, Sie haben auch viele andere paranoide Verhaltensweisen festgestellt (wie z. B .: Bewahren Sie den Kernel auf einem separaten Stick auf, der immer bei Ihnen ist. ständige Überprüfung auf Hardware-Manipulationen / Keylogger usw.)

Wenn ich die Festplattenverschlüsselung während der Installation nicht aktiviert habe, gibt es eine Möglichkeit, sie post facto zu aktivieren?

Ja, und es wird einfacher, wenn Sie derzeit LVM verwenden und auf Ihrem System genügend Speicherplatz haben, um alle Ihre unverschlüsselten Systemdateien in eine verschlüsselte LUKS-Partition zu kopieren. Ich werde im Moment nicht auf die Details eingehen, da ich nicht weiß, ob Sie LVM verwenden und ob Sie im Moment lieber nicht nur Ecrypfs verwenden und den Aufwand der vollständigen Festplattenverschlüsselung bis zur nächsten Neuinstallation überspringen möchten.

user824924
quelle
3

Nun, Sie könnten eine Sicherungskopie aller wichtigen Verzeichnisse und der installierten Software erstellen. Stellen Sie sicher, dass Ihr 13.10 vollständig aktualisiert ist, um Versionskonflikte zu vermeiden. Normalerweise sind die Dinge, die Sie sichern müssen:

Danach installieren Sie das System erst wieder verschlüsselt. Aktualisieren Sie es vollständig. Dann bewegen Sie die Sicherung auf das verschlüsselte System und installieren Sie die gesamte Software aus der vorherigen Version.

Nur sicher sein , nicht zu überschreiben Dateien wichtig für die Verschlüsselung, wenn die Rückseite setzen wieder nach oben (zB /etc/fstab, /etc/cryptabeinige graben bezogenes und einige Sachen in der /bootnicht mit den gesicherten Dateien ersetzt werden).

verwechseln
quelle
1

Unter Ubuntu 16.04 gelang es mir, die Root-Partition nach der Installation zu verschlüsseln, wobei die Root-Partition alles außer / boot enthielt. Ich lege / boot auf einem separaten entfernbaren USB. Insbesondere habe ich dies vor dem Upgrade auf Ubuntu 18 getan, und das Upgrade funktionierte auf der verschlüsselten Festplattenversion einwandfrei.

Die Verschlüsselung wurde nicht "an Ort und Stelle" durchgeführt, was für mich in Ordnung war, da ich die Arbeitsversion sowieso nicht überschreiben wollte, bis das neue Setup funktionierte.

Das korrekte Verfahren ist äußerst einfach und schnell durchzuführen. (Obwohl es sehr zeitaufwändig war, das richtige Verfahren herauszufinden, da ich einigen falschen Hinweisen gefolgt bin.)

GLIEDERUNG

  1. Erstellen Sie ein Live-Linux-USB-Laufwerk - es ist praktisch, die Persistenz zu aktivieren. Booten Sie auf diesem Live-USB-Laufwerk.
  2. Erstellen Sie eine luks-verschlüsselte Volume-Gruppe auf einer leeren Partition. (In meinem Fall befand es sich auf demselben Datenträger wie das ursprüngliche Linux, es könnte sich jedoch auch um einen anderen Datenträger handeln.) Erstellen Sie / (root) und tauschen Sie logische Volumes auf dieser verschlüsselten Partition aus. Diese fungieren für das kopierte Linux als virtuelle Partitionen.
  3. Kopieren Sie die Dateien vom alten Stamm in den neuen Stamm.
  4. Richten Sie einen anderen USB-Stick als Wechseldatenträger ein und partitionieren Sie ihn.
  5. Richten Sie einige Dateien im neuen Stammverzeichnis ein, zaubern Sie und chrooten Sie in das neue Stammverzeichnis und installieren Sie dann grub von der neuen chroot-Stammumgebung auf der Bootdiskette.

EINZELHEITEN

1 - Booten Sie mit einem Live-Linux-USB-Laufwerk. Es ist praktisch, die Persistenz zu aktivieren.

Installierte Ubuntu 16 auf einem USB mit Unetboot. Über die GUI kann "Persistenz" angegeben werden. Es ist jedoch ein weiterer Schritt erforderlich, um die Persistenz zum Funktionieren zu bringen. Ändern Sie dies /boot/grub/grub.cfg, um --- persistentFolgendes hinzuzufügen :

menuentry "Try Ubuntu without installing" {
    set gfxpayload=keep
    linux   /casper/vmlinuz  file=/cdrom/preseed/ubuntu.seed boot=casper quiet splash --- persistent
    initrd  /casper/initrd
}

Booten Sie mit dem Live-USB

2- Erstellen Sie eine luks-verschlüsselte Volume-Gruppe auf einer leeren Partition. Erstellen Sie / (root) und tauschen Sie logische Volumes auf dieser verschlüsselten Partition aus.

Angenommen, die nicht verwendete zu verschlüsselnde Partition ist /dev/nvme0n1p4.

Optional möchten Sie vor der Verschlüsselung und Formatierung verbergen , wenn Sie alte Daten auf der Partition haben, können Sie zufällig wischen Sie die Partition. Siehe Diskussion hier .

dd if=/dev/urandom of=/dev/nvme0n1p4 bs=4096 status=progress

Richten Sie die Verschlüsselung ein.

cryptsetup -y -v luksFormat /dev/nvme0n1p4

Sie werden aufgefordert, ein Passwort festzulegen.

cryptsetup luksOpen /dev/nvme0n1p4 crypt1

Sie werden aufgefordert, das Passwort einzugeben. Beachten Sie, dass dies crypt1ein beliebiger vom Benutzer festgelegter Name ist. Erstellen Sie nun die Volumes und das Format.

pvcreate /dev/mapper/crypt1
vgcreate crypt1-vg /dev/mapper/crypt1

lvcreate -L 8G crypt1-vg -n swap
mkswap /dev/crypt1-vg/swap

lvcreate -l 100%FREE crypt1-vg -n root
mkfs.ext4 /dev/crypt1-vg/root

Verwenden Sie diese Dienstprogramme, um die Volumes anzuzeigen und die Hierarchie zu verstehen.

pvscan
vgscan
lvscan
ls -l /dev/mapper
ls -l /dev/crypt1

3- Kopieren Sie Dateien von der alten Wurzel zur neuen Wurzel

mkdir /tmp/old-root 
mount /dev/ubuntu-vg/root /tmp/old-root/
mkdir /tmp/new-root
mount /dev/crypt1-vg/root /tmp/new-root/
cp -a /tmp/old-root/. /tmp/new-root/

umount /tmp/old-root
umount /tmp/new-root

cp -a ... kopiert im Archivmodus, wobei alle Dateimodi und Flags erhalten bleiben.

4- Richten Sie einen anderen USB-Stick als Wechseldatenträger ein und partitionieren Sie ihn.

Ich habe dafür gparted verwendet. Richten Sie zwei Partitionen ein. Die erste Partition ist vfatdie zweite ext2. Jede war 512 MB, Sie könnten mit weniger davonkommen. Gerät annehmen /dev/sdf.

# The first partition: (will be /dev/sdf1)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: fat32
Label: (leave)

# The second partition: (will be /dev/sdf2)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: ext4
Label: (leave) 

5- Richten Sie einige Dateien im neuen Stammverzeichnis ein, zaubern Sie und chrooten Sie in das neue Stammverzeichnis und installieren Sie dann grub auf der Bootdiskette aus der chroot-Umgebung für das neue Stammverzeichnis.

Suchen Sie einige UUIDs für die spätere Verwendung. Beachten Sie die Ausgaben der folgenden Befehle:

blkid /dev/sdf1
blkid /dev/sdf2
blkid /dev/nvme0n1p4

Hängen Sie die Root-Partition und die Boot-Partitionen ein

sudo mount /dev/mapper/crypt1--vg-root /mnt
sudo mount /dev/sdf2 /mnt/boot
sudo mount /dev/sdf1 /mnt/boot/efi

Richten Sie die Datei ein /mnt/etc/fstab

/dev/mapper/crypt1--vg-root /               ext4    errors=remount-ro 0       1
/dev/mapper/crypt1--vg-swap none    swap    sw              0       0
UUID=[uuid of /dev/sdf2] /boot           ext2    defaults        0       2
UUID=[uuid of /dev/sdf1]  /boot/efi       vfat    umask=0077      0       1

Wobei "[uuid of ...]" nur eine Buchstaben-Zahlen-Bindestrich-Kombination ist.

Erstellen Sie die Datei /mnt/etc/cryptab

# <target name> <source device>     <key file>  <options>
crypt1 UUID=[uuid of /dev/nvme0n1p4] none luks,discard,lvm=crypt1--vg-root

Ein bisschen Magie ist erforderlich, um in die Root-Verzeichnis-Umgebung zu gelangen:

sudo mount --bind /dev /mnt/dev
sudo mount --bind /proc /mnt/proc
sudo mount --bind /sys /mnt/sys
chroot /mnt

Richten Sie nun das Boot-USB-Laufwerk ein mit grub:

apt install --reinstall grub-efi-amd64
grub-install --efi-directory=/boot/efi --boot-directory=/boot --removable
update-initramfs -k all -c
update-grub

Jetzt sollten Sie in der Lage sein, mit der neu erstellten USB-Bootdiskette neu zu starten und zu booten.

Fehlersuche-

(a) Das Netzwerk muss für den apt install --reinstall grub-efi-amd64Befehl verbunden sein. Wenn das Netzwerk verbunden ist, DNS jedoch fehlschlägt, versuchen Sie es

echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf > /dev/null

(b) Vor dem Aufruf initramfsmuss die vmlinuz...im ursprünglichen Linux verwendete aktuelle Datei im neuen Stammverzeichnis vorhanden sein. Wenn nicht, finden Sie es und platzieren Sie es dort.

(c) Der grub-installBefehl durchsucht standardmäßig alle anderen Linux-Festplatten, die er findet, auch wenn sie nicht mountbearbeitet wurden, und legt sie im Boot-Menü auf dem neuen Boot-USB ab. In der Regel ist dies nicht erwünscht. Sie können dies vermeiden, indem Sie diese Zeile hinzufügen zu /boot/default/grub.cfg:

GRUB_DISABLE_OS_PROBER=true

HINWEIS: Eine Textdatei mit dem Verschlüsselungsschlüssel kann zum entfernbaren Boot-USB hinzugefügt werden.

Craig Hicks
quelle
0

Einfache Antwort: Nein.

Komplizierte Antwort:

Durch das Verschlüsseln eines Datenträgers oder einer Partition wird alles gelöscht, was sich derzeit auf diesem Datenträger oder dieser Partition befindet. Um einen Datenträger zu verschlüsseln, sollten Sie auch den Inhalt des Datenträgers entfernen. Sie sollten vor dem Start entsprechende Datensicherungen durchführen. Dies bedeutet natürlich, dass Sie das System neu installieren sollten, um die vollständige Festplattenverschlüsselung zu verwenden. Dies liegt daran, dass zufällige Daten über die gesamte Festplatte geschrieben werden, um die Wiederherstellung der Daten zu erschweren.

Aber heutzutage müssen Sie Ihre Root-Partition nicht mehr verschlüsseln. Denken Sie daran, dass Sie aus Ihrem System herauskommen, wenn etwas verdrahtet ist, ohne die Möglichkeit, die Daten wiederherzustellen. Sie sollten stattdessen nur Ihre persönlichen Daten verschlüsseln.

Siehe verwandte Frage Wie verschlüsselt man nach der Installation die gesamte Festplatte?

Braiam
quelle
"Sind aus Ihrem System ohne Möglichkeiten, die Daten wiederherzustellen" <--- Das ist falsch. Solange man den Verschlüsselungsschlüssel hat, können die Daten mit einem Live-Medium wiederhergestellt werden.
con-f-use
@ con-f-use berücksichtigen, dass es eine Bedingung gab, dass "Wenn etwas verkabelt", was bedeutet, dass, wenn etwas unglaublich Schlimmes mit dem Laufwerk / der Partition passiert, diese verschlüsselt ist.
Braiam
Nun ja, wenn Sie nicht pingelig sind, sollten Sie auch eine aktuelle Sicherung des LUKS-Headers auf der verschlüsselten Festplatte aufbewahren. Aber ich würde das in "Verschlüsselungsschlüssel" aufnehmen. Davon abgesehen ist die vollständige Verschlüsselung unter dem Gesichtspunkt der Datenwiederherstellung nicht schädlich. Die Tatsache, dass Sie feststellen können, welche Ubuntu-Version vorhanden ist, welche Programme installiert sind und so weiter, bietet einen möglichen Angriffsvektor auf nicht vollständig verschlüsselten Festplatten. Auch SSDs im Allgemeinen. Für die Paranoiden führt also immer noch kein Weg an einer vollständigen Festplattenverschlüsselung vorbei.
con-f-use
"Aber heutzutage müssen Sie Ihre Root-Partition nicht mehr verschlüsseln." Bitte sprechen Sie für sich selbst, ich bin völlig anderer Meinung. "Durch das Verschlüsseln eines Datenträgers oder einer Partition werden alle Daten auf diesem Datenträger oder dieser Partition gelöscht. Um einen Datenträger zu verschlüsseln, sollten Sie auch den Inhalt des Datenträgers entfernen." Wieder nicht einverstanden. Truecrypt ist ein sehr schönes Beispiel für die Ausführung von FDE unter Windows mit vorhandenen Datenträgern. Tatsächlich handelt es sich hierbei um die De-facto-Installationsmethode - unverschlüsselt und nach Abschluss der Installation verschlüsselt. Es ändert nichts an der Antwort, dass es unter Ubuntu nicht möglich ist, aber Ihre Aussagen sind sehr kategorisch und falsch.
Cookie
@Cookie, warum sollten Sie eine Partition verschlüsseln, die Dinge enthält, die Sie später installieren können? (und bitte, ich spreche von einem normalen Benutzersystem, das nichts mit Unternehmens- / Unternehmensservern zu tun hat, auf denen möglicherweise Dinge installiert sind.) Fenster bis zum Zeitpunkt , und wenn Sie nicht ein Linux - Verschlüsselungssystem finden , die eine Partition nach der Installation verschlüsseln kann, sind meine Aussage korrekt , da jetzt es nicht möglich ist.
Braiam