É possível migrar o laptop 16.04 LTS para criptografia de disco completo (luks)?

Question

Já fiz essa migração uma ou duas vezes, mas você precisa usar o Google para resolver os problemas que surgirem. Esta não é uma resposta completa, apenas passos aproximados do que você precisa fazer. Essas etapas devem ser executadas a partir do Live CD e envolvem operações com LUKS e LVM, então você também pode obter um Live CD contendo a versão mais recente do KDE Partition Manager 3.0 e usá-lo para operações LUKS e LVM.

Se você tiver espaço livre suficiente (mais de 50%), você pode simplesmente

Redimensione sua partição atual.
Crie um novo volume físico LVM2 (PV) criptografado com LUKS.
Crie um novo grupo de volumes contendo LVM PV.
Crie um novo volume lógico LVM para seus rootfs (e provavelmente swap e todas as outras partições que você possa ter...). Eu mesmo uso btrfs com subvolumes, então só tinha btrfs e swap.
Mova seus dados para partições criptografadas
Exclua partições não criptografadas
Desative o LVM e desative seu contêiner LUKS
Mova o contêiner LUKS para o início do disco (espaço liberado pela exclusão de dados não criptografados)
Abra seu contêiner LUKS novamente.
Aumente seu contêiner LUKS para que ele preencha todo o disco.
Aumente o LVM LV contendo seu sistema de arquivos raiz.

Então você terá que atualizar as entradas em /etc/fstab, criar /etc/crypttab, fazer chroot em seus rootfs criptografados, atualizar seu initramfs e configuração do grub.

Isso ainda deixa /boot sem criptografia. Você também pode criptografar /boot, mas isso adiciona algumas etapas extras, então primeiro certifique-se de que tudo acima funciona. Para criptografar a inicialização, você deve mover o conteúdo das informações da partição /boot para seu rootfs/boot/. Então, em /etc/default/grub você precisa adicionar GRUB_ENABLE_CRYPTODISK=ye remover o /boot antigo não criptografado. Então, novamente, você terá que atualizar as entradas em /etc/fstab, criar /etc/crypttab, fazer chroot em seus rootfs criptografados, atualizar seu initramfs e configuração do grub. Após essas etapas, o grub solicitará a senha antes de inicializar, porém ele não a passa para o initramfs na inicialização, então o cryptsetup irá solicitá-la novamente. Portanto, você precisará adicionar um arquivo de chave luks ao seu contêiner luks e colocá-lo no seu initramfs. Por exemplo, meu arquivo /etc/crypttab contém

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

Answer 1

Já fiz essa migração uma ou duas vezes, mas você precisa usar o Google para resolver os problemas que surgirem. Esta não é uma resposta completa, apenas passos aproximados do que você precisa fazer. Essas etapas devem ser executadas a partir do Live CD e envolvem operações com LUKS e LVM, então você também pode obter um Live CD contendo a versão mais recente do KDE Partition Manager 3.0 e usá-lo para operações LUKS e LVM.

Se você tiver espaço livre suficiente (mais de 50%), você pode simplesmente

Redimensione sua partição atual.
Crie um novo volume físico LVM2 (PV) criptografado com LUKS.
Crie um novo grupo de volumes contendo LVM PV.
Crie um novo volume lógico LVM para seus rootfs (e provavelmente swap e todas as outras partições que você possa ter...). Eu mesmo uso btrfs com subvolumes, então só tinha btrfs e swap.
Mova seus dados para partições criptografadas
Exclua partições não criptografadas
Desative o LVM e desative seu contêiner LUKS
Mova o contêiner LUKS para o início do disco (espaço liberado pela exclusão de dados não criptografados)
Abra seu contêiner LUKS novamente.
Aumente seu contêiner LUKS para que ele preencha todo o disco.
Aumente o LVM LV contendo seu sistema de arquivos raiz.

Então você terá que atualizar as entradas em /etc/fstab, criar /etc/crypttab, fazer chroot em seus rootfs criptografados, atualizar seu initramfs e configuração do grub.

Isso ainda deixa /boot sem criptografia. Você também pode criptografar /boot, mas isso adiciona algumas etapas extras, então primeiro certifique-se de que tudo acima funciona. Para criptografar a inicialização, você deve mover o conteúdo das informações da partição /boot para seu rootfs/boot/. Então, em /etc/default/grub você precisa adicionar GRUB_ENABLE_CRYPTODISK=ye remover o /boot antigo não criptografado. Então, novamente, você terá que atualizar as entradas em /etc/fstab, criar /etc/crypttab, fazer chroot em seus rootfs criptografados, atualizar seu initramfs e configuração do grub. Após essas etapas, o grub solicitará a senha antes de inicializar, porém ele não a passa para o initramfs na inicialização, então o cryptsetup irá solicitá-la novamente. Portanto, você precisará adicionar um arquivo de chave luks ao seu contêiner luks e colocá-lo no seu initramfs. Por exemplo, meu arquivo /etc/crypttab contém

luks-MYUUID UUID=MYUUID /boot/crypto_keyfile.bin luks

É possível migrar o laptop 16.04 LTS para criptografia de disco completo (luks)?

Responder1

informação relacionada