¿Es posible migrar una computadora portátil 16.04 LTS a un cifrado de disco completo (luks)?

Question

He realizado dicha migración una o dos veces, pero debes poder usar Google para resolver los problemas que surjan. Esta no es una respuesta completa, solo pasos aproximados de lo que debe hacer. Estos pasos deben realizarse desde Live CD e implican operaciones con LUKS y LVM, por lo que también puede obtener un Live CD que contenga la última versión de KDE Partition Manager 3.0 y usarlo para operaciones LUKS y LVM.

Si tienes suficiente espacio libre (más del 50%), puedes simplemente

Cambie el tamaño de su partición actual.
Cree un nuevo volumen físico (PV) LVM2 cifrado con LUKS.
Cree un nuevo grupo de volúmenes que contenga LVM PV.
Cree un nuevo volumen lógico LVM para sus rootfs (y probablemente swap y todas las demás particiones que pueda tener...). Yo mismo uso btrfs con subvolúmenes, así que solo tenía btrfs e swap.
Mueva sus datos a particiones cifradas
Eliminar particiones no cifradas
Desactiva LVM y desactiva tu contenedor LUKS
Mueva el contenedor LUKS al principio del disco (espacio liberado al eliminar datos no cifrados)
Abre tu contenedor LUKS nuevamente.
Haga crecer su contenedor LUKS para que llene todo el disco.
Haga crecer LVM LV que contenga su sistema de archivos raíz.

Luego tendrá que actualizar las entradas en /etc/fstab, crear /etc/crypttab, hacer chroot en sus rootfs cifrados, actualizar su initramfs y la configuración de grub.

Esto todavía deja /boot sin cifrar. También puedes cifrar /boot, pero esto agrega algunos pasos adicionales, así que primero asegúrate de que todo lo anterior funcione. Para cifrar el arranque, debe mover el contenido de /partición de arranque a su rootfs/boot/. Luego, en /etc/default/grub, debe agregar GRUB_ENABLE_CRYPTODISK=yy eliminar el archivo /boot antiguo sin cifrar. Luego, nuevamente tendrá que actualizar las entradas en /etc/fstab, crear /etc/crypttab, hacer chroot en sus rootfs cifrados, actualizar su initramfs y la configuración de grub. Después de estos pasos, grub solicitará una frase de contraseña antes de iniciar, sin embargo, no la pasa a initramfs durante el inicio, por lo que cryptsetup la solicitará nuevamente. Por lo tanto, deberá agregar un archivo de clave luks a su contenedor luks y colocarlo en su initramfs. Por ejemplo, mi archivo /etc/crypttab contiene

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

Answer 1

He realizado dicha migración una o dos veces, pero debes poder usar Google para resolver los problemas que surjan. Esta no es una respuesta completa, solo pasos aproximados de lo que debe hacer. Estos pasos deben realizarse desde Live CD e implican operaciones con LUKS y LVM, por lo que también puede obtener un Live CD que contenga la última versión de KDE Partition Manager 3.0 y usarlo para operaciones LUKS y LVM.

Si tienes suficiente espacio libre (más del 50%), puedes simplemente

Cambie el tamaño de su partición actual.
Cree un nuevo volumen físico (PV) LVM2 cifrado con LUKS.
Cree un nuevo grupo de volúmenes que contenga LVM PV.
Cree un nuevo volumen lógico LVM para sus rootfs (y probablemente swap y todas las demás particiones que pueda tener...). Yo mismo uso btrfs con subvolúmenes, así que solo tenía btrfs e swap.
Mueva sus datos a particiones cifradas
Eliminar particiones no cifradas
Desactiva LVM y desactiva tu contenedor LUKS
Mueva el contenedor LUKS al principio del disco (espacio liberado al eliminar datos no cifrados)
Abre tu contenedor LUKS nuevamente.
Haga crecer su contenedor LUKS para que llene todo el disco.
Haga crecer LVM LV que contenga su sistema de archivos raíz.

Luego tendrá que actualizar las entradas en /etc/fstab, crear /etc/crypttab, hacer chroot en sus rootfs cifrados, actualizar su initramfs y la configuración de grub.

Esto todavía deja /boot sin cifrar. También puedes cifrar /boot, pero esto agrega algunos pasos adicionales, así que primero asegúrate de que todo lo anterior funcione. Para cifrar el arranque, debe mover el contenido de /partición de arranque a su rootfs/boot/. Luego, en /etc/default/grub, debe agregar GRUB_ENABLE_CRYPTODISK=yy eliminar el archivo /boot antiguo sin cifrar. Luego, nuevamente tendrá que actualizar las entradas en /etc/fstab, crear /etc/crypttab, hacer chroot en sus rootfs cifrados, actualizar su initramfs y la configuración de grub. Después de estos pasos, grub solicitará una frase de contraseña antes de iniciar, sin embargo, no la pasa a initramfs durante el inicio, por lo que cryptsetup la solicitará nuevamente. Por lo tanto, deberá agregar un archivo de clave luks a su contenedor luks y colocarlo en su initramfs. Por ejemplo, mi archivo /etc/crypttab contiene

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

¿Es posible migrar una computadora portátil 16.04 LTS a un cifrado de disco completo (luks)?

Respuesta1

información relacionada