Instalação personalizada criptografada

Atualização 2020-07-16: Isso pode não funcionar com versões do Ubuntu que se afastaram do instalador Ubiquity (por exemplo, Lubuntu que agora usa Calamares) porque alguns desses instaladores vão tão longe a ponto de desativar partições LVM que eles próprios não fizeram , configure no processo de pré-instalação. Assim, tornando indisponíveis as partições que foram configuradas para instalação do sistema.

Como fazer isso com LVM e uma única partição criptografada##

Aviso

Em primeiro lugar, 128M é muito pequeno para inicializar! Eu uso 1G. Caso contrário, o que está prestes a acontecer é que você pode esquecer de remover os kernels antigos e o /boot ficará cheio, e você terá que lidar com a dor de tentar remover os kernels antigos do sistema para que você possa obter aptou apt-gettrabalhar novamente. Mesmo com 1G, certifique-se de remover kernels antigos de tempos em tempos.

As próximas etapas não se destinam a usuários novatos.
ATUALIZAÇÃO: criei um script que executará as seguintes operações para você e muito mais! Tudo o que você precisa fazer é executá-lo no Live OS antes da instalação. Você pode encontrar um artigo no meu blog .

Pré-instalação do sistema operacional ao vivo

Você deseja configurar LUKS e LVM enquanto particiona manualmente! Eu testei isso no Ubuntu 16.04.2 / 18.04 / 20.04

Inicialize o Ubuntu a partir de um sistema operacional Live e selecione a opção para experimentar o Ubuntu sem instalar. Siga os passos que descrevi abaixo. Vamos supor que você esteja instalando em /dev/sdb.

1. Particione a unidade com a ferramenta de sua escolha: usei o fdisk para configurar a minha em uma tabela de partições msdos da seguinte maneira:
   • outras partições: sistemas operacionais existentes - não nos importamos com isso
   • sdb1: /boot (1G)
   • sdb2: partição LUKS (o resto do disco)
2. Configurar LUKS
   • sudo cryptsetup luksFormat --hash=sha512 --key-size=512 --cipher=aes-xts-plain64 --verify-passphrase /dev/sdb2
   • sudo cryptsetup luksOpen /dev/sdb2 CryptDisk
   • Embora não seja necessário, é uma boa ideia preencher sua partição LUKS com zeros para que a partição, em um estado criptografado, seja preenchida com dados aleatórios. sudo dd if=/dev/zero of=/dev/mapper/CryptDisk bs=4M CUIDADO, isso pode levar muito tempo!
3. Configure o LVM em /dev/mapper/CryptDisk
   • sudo pvcreate /dev/mapper/CryptDisk
   • sudo vgcreate vg0 /dev/mapper/CryptDisk
   • sudo lvcreate -n swap -L 2G vg0
   • sudo lvcreate -n root -L 10G vg0
   • sudo lvcreate -n home -l +100%FREE vg0

Instalação do sistema operacional ao vivo

4. Agora você está pronto para instalar. Quando chegar à parte "Tipo de instalação" da instalação, escolha a opção "Outra coisa". Em seguida, atribua manualmente as partições /dev/mapper/vg0-* como você gostaria de configurar. Não se esqueça de definir /dev/sdb1 como /boot. a partição /boot não deve ser criptografada. Se for, não poderemos inicializar. Altere o "Dispositivo para instalação do carregador de inicialização" para /dev/sdb e continue com a instalação.
5. Quando a instalação estiver concluída, não reinicie ! Escolha a opção "Continuar testando".

Configuração pós-instalação do sistema operacional ao vivo

Este bit é realmente importante se você deseja que seu sistema inicialize! Passei um bom tempo pesquisando isso para descobrir essas etapas pós-instalação. No meu caso, eu estava realmente fazendo isso porque queria personalizar o tamanho de /boot em /dev/sda, mas todo esse trabalho também deve ser transferido para a sua situação.

6. Em um terminal, digite o seguinte e procure o UUID de /dev/sdb2. Anote esse UUID para mais tarde.

   • sudo blkid | grep LUKS
   • A linha importante na minha máquina lê/dev/sdb2: UUID="bd3b598d-88fc-476e-92bb-e4363c98f81d" TYPE="crypto_LUKS" PARTUUID="50d86889-02"

7. Em seguida, vamos montar o sistema recém-instalado novamente para que possamos fazer mais algumas alterações.

   • sudo mount /dev/vg0/root /mnt
   • sudo mount /dev/vg0/home /mnt/home# isso provavelmente não é necessário
   • sudo mount /dev/sdb1 /mnt/boot
   • sudo mount --bind /dev /mnt/dev# Não tenho certeza se isso é necessário
   • sudo mount --bind /run/lvm /mnt/run/lvm
   • (Somente se você estiver usando EFI): sudo mount /dev/sd*/your/efi/partition /mnt/boot/efi

8. Agora execute sudo chroot /mntpara acessar o sistema instalado

9. Do chroot, monte mais algumas coisas

   • mount -t proc proc /proc
   • mount -t sysfs sys /sys
   • mount -t devpts devpts /dev/pts

10. Configure o crypttab. Usando seu editor de texto favorito, crie o arquivo /etc/crypttab e adicione a seguinte linha, trocando o UUID pelo UUID do seu disco.

• CryptDisk UUID=bd3b598d-88fc-476e-92bb-e4363c98f81d none luks,discard

11. Por fim, reconstrua alguns arquivos de inicialização.

• update-initramfs -k all -c -update-grub

12. Reinicie e o sistema deve solicitar uma senha para descriptografar na inicialização!

Agradecimentos especiais vão para Martin Eve , EGIDIO DOCILE e o pessoal do blog.botux.fr pelos tutoriais que eles postaram. Tirando peças de seus postes e fazendo um pouco mais de solução de problemas, finalmente consegui descobrir isso.

Eu tentei isso várias vezes e falhei várias vezes. A parte que tive que resolver sozinho com base em mensagens de erro foisudo mount --bind /run/lvm /mnt/run/lvm

Como realizar isso com várias partições criptografadas e sem LVM

Como minha resposta anterior foi muito longa, estou postando uma segunda resposta que adota uma abordagem diferente se você não quiser usar o LVM.

Você pode criar várias partições criptografadas e usar o script decrypt_derived para que precise inserir a senha apenas uma vez. Confira esta postagem no blog para obter instruções passo a passo. O autor usa um arquivo-chave, mas o script LUKS decrypt_derived também seria suficiente.

Uma maneira de fazer a tarefa é usar o instalador da rede ubuntu https://www.ubuntu.com/download/alternative-downloads

Não é um instalador gráfico. Mas oferece a opção explícita de disco depois de escolher a instalação completa do disco com criptografia.

Esta é a resposta para aqueles que continuam se deparando com esta questão querendo apenas alterar um pouco o particionamento padrão do Ubuntu. Por exemplo, remova a swappartição e aumente o /boottamanho. Acho que muitas pessoas ficariam desencorajadas a seguir as instruções de b_laoshi, por causa da quantidade de etapas necessárias.

Portanto, para particionamento personalizado simples com criptografia, sugiro usar "Apagar disco e instalar o Ubuntu" com a opção "Criptografar a nova instalação do Ubuntu para segurança". O que vamos mudar é a configuração desse particionamento padrão.

Essas configurações estão contidas em /lib/partman/recipes[-arch]/. Para mim, eu tenho mudado /lib/partman/recipes-amd64-efi/30atomic. Para obter 538M para efi, 1024M para /boot, e o restante /com ext4, editei o arquivo para

538 538 538 fat32
    $iflabel{ gpt }
    $reusemethod{ }
    method{ efi }
    format{ } .

1024 1024 1024 ext4
    $defaultignore{ }
    $lvmignore{ }
    method{ format }
    format{ }
    use_filesystem{ }
    filesystem{ ext4 }
    mountpoint{ /boot } .    

900 10000 -1 ext4
    $lvmok{ }
    method{ format }
    format{ }
    use_filesystem{ }
    filesystem{ ext4 }
    mountpoint{ / } .

Observe que, depois de escolher o disco a ser apagado no instalador, ele solicitará o resumo do particionamento, para que você possa verificar se o truque funcionou e se está obtendo o particionamento desejado. Veja também https://askubuntu.com/a/678074/47073 .