Ist es möglich, ein 16.04 LTS-Laptop auf eine vollständige Festplattenverschlüsselung (LUKS) zu migrieren?

Question

Ich habe eine solche Migration ein- oder zweimal durchgeführt, aber Sie müssen in der Lage sein, Google zu verwenden, um auftretende Probleme zu lösen. Dies ist keine vollständige Antwort, sondern nur eine grobe Anleitung dessen, was Sie tun müssen. Diese Schritte müssen von einer Live-CD aus durchgeführt werden und umfassen Vorgänge mit LUKS und LVM. Sie können sich also auch eine Live-CD mit der neuesten Version von KDE Partition Manager 3.0 besorgen und diese für LUKS- und LVM-Vorgänge verwenden.

Wenn Sie genügend freien Speicherplatz haben (mehr als 50%), können Sie einfach

Ändern Sie die Größe Ihrer aktuellen Partition.
Erstellen Sie ein neues, mit LUKS verschlüsseltes LVM2 Physical Volume (PV).
Erstellen Sie eine neue Volume-Gruppe, die LVM PV enthält.
Erstellen Sie ein neues logisches LVM-Volume für Ihr Root-FS (und wahrscheinlich auch für den Swap und alle anderen Partitionen, die Sie möglicherweise haben ...). Ich selbst verwende BTRFS mit Subvolumes, also hatte ich nur BTRFS und Swap.
Verschieben Sie Ihre Daten auf verschlüsselte Partitionen
Löschen Sie unverschlüsselte Partitionen
Deaktivieren Sie LVM und deaktivieren Sie Ihren LUKS-Container
LUKS-Container an den Anfang der Festplatte verschieben (Speicherplatz wird durch Löschen unverschlüsselter Daten freigegeben)
Öffnen Sie Ihren LUKS-Container erneut.
Erweitern Sie Ihren LUKS-Container, sodass er die gesamte Festplatte ausfüllt.
Erweitern Sie LVM LV, das Ihr Root-Dateisystem enthält.

Anschließend müssen Sie die Einträge in /etc/fstab aktualisieren, /etc/crypttab erstellen, ein Chroot-Verfahren in Ihr verschlüsseltes Root-Dateisystem durchführen und Ihr Initramfs und Ihre Grub-Konfiguration aktualisieren.

Dies lässt /boot immer noch unverschlüsselt. Sie können /boot auch verschlüsseln, aber das erfordert ein paar zusätzliche Schritte, also stellen Sie zuerst sicher, dass alles oben genannte funktioniert. Um Boot zu verschlüsseln, müssen Sie den Inhalt der Partitionsinfo /boot in Ihr Root-FS/boot/ verschieben. Dann müssen Sie in /etc/default/grub GRUB_ENABLE_CRYPTODISK=yaltes unverschlüsseltes /boot hinzufügen und entfernen. Dann müssen Sie erneut Einträge in /etc/fstab aktualisieren, /etc/crypttab erstellen, in Ihr verschlüsseltes Root-FS chrooten, Ihr Initramfs und Ihre Grub-Konfiguration aktualisieren. Nach diesen Schritten wird Grub vor dem Booten nach einer Passphrase fragen, diese jedoch beim Booten nicht an Initramfs weitergeben, sodass Cryptsetup sie erneut abfragen wird. Daher müssen Sie Ihrem Luks-Container eine Luks-Schlüsseldatei hinzufügen und sie in Ihr Initramfs einfügen. Beispielsweise enthält meine Datei /etc/crypttab

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

Answer 1

Ich habe eine solche Migration ein- oder zweimal durchgeführt, aber Sie müssen in der Lage sein, Google zu verwenden, um auftretende Probleme zu lösen. Dies ist keine vollständige Antwort, sondern nur eine grobe Anleitung dessen, was Sie tun müssen. Diese Schritte müssen von einer Live-CD aus durchgeführt werden und umfassen Vorgänge mit LUKS und LVM. Sie können sich also auch eine Live-CD mit der neuesten Version von KDE Partition Manager 3.0 besorgen und diese für LUKS- und LVM-Vorgänge verwenden.

Wenn Sie genügend freien Speicherplatz haben (mehr als 50%), können Sie einfach

Ändern Sie die Größe Ihrer aktuellen Partition.
Erstellen Sie ein neues, mit LUKS verschlüsseltes LVM2 Physical Volume (PV).
Erstellen Sie eine neue Volume-Gruppe, die LVM PV enthält.
Erstellen Sie ein neues logisches LVM-Volume für Ihr Root-FS (und wahrscheinlich auch für den Swap und alle anderen Partitionen, die Sie möglicherweise haben ...). Ich selbst verwende BTRFS mit Subvolumes, also hatte ich nur BTRFS und Swap.
Verschieben Sie Ihre Daten auf verschlüsselte Partitionen
Löschen Sie unverschlüsselte Partitionen
Deaktivieren Sie LVM und deaktivieren Sie Ihren LUKS-Container
LUKS-Container an den Anfang der Festplatte verschieben (Speicherplatz wird durch Löschen unverschlüsselter Daten freigegeben)
Öffnen Sie Ihren LUKS-Container erneut.
Erweitern Sie Ihren LUKS-Container, sodass er die gesamte Festplatte ausfüllt.
Erweitern Sie LVM LV, das Ihr Root-Dateisystem enthält.

Anschließend müssen Sie die Einträge in /etc/fstab aktualisieren, /etc/crypttab erstellen, ein Chroot-Verfahren in Ihr verschlüsseltes Root-Dateisystem durchführen und Ihr Initramfs und Ihre Grub-Konfiguration aktualisieren.

Dies lässt /boot immer noch unverschlüsselt. Sie können /boot auch verschlüsseln, aber das erfordert ein paar zusätzliche Schritte, also stellen Sie zuerst sicher, dass alles oben genannte funktioniert. Um Boot zu verschlüsseln, müssen Sie den Inhalt der Partitionsinfo /boot in Ihr Root-FS/boot/ verschieben. Dann müssen Sie in /etc/default/grub GRUB_ENABLE_CRYPTODISK=yaltes unverschlüsseltes /boot hinzufügen und entfernen. Dann müssen Sie erneut Einträge in /etc/fstab aktualisieren, /etc/crypttab erstellen, in Ihr verschlüsseltes Root-FS chrooten, Ihr Initramfs und Ihre Grub-Konfiguration aktualisieren. Nach diesen Schritten wird Grub vor dem Booten nach einer Passphrase fragen, diese jedoch beim Booten nicht an Initramfs weitergeben, sodass Cryptsetup sie erneut abfragen wird. Daher müssen Sie Ihrem Luks-Container eine Luks-Schlüsseldatei hinzufügen und sie in Ihr Initramfs einfügen. Beispielsweise enthält meine Datei /etc/crypttab

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

Ist es möglich, ein 16.04 LTS-Laptop auf eine vollständige Festplattenverschlüsselung (LUKS) zu migrieren?

Antwort1

verwandte Informationen