Jump to content

How to : Disk encryption with LUKS


Recommended Posts

Αποφασίζοντας να γυρίσω το laptop της υπογραφής από dual boot Mint-W10 σε pure Linux (Manjaro) installation ήθελα να χρησιμοποιήσω disk encryption για να είμαι ήσυχος για την προστασία των δεδομένων μου στην απευκταία περίπτωση απώλειας του.
Επέλεξα Manjaro KDE καθώς μου άρεσε  περισσότερο από όσες διανομές δοκίμασα και για να επιχειρήσω στροφή προς και να αρχίσω να εξοικειώνομαι με το Arch.
Δεν επέλεξα την "έτοιμη" διανομή αλλά το Manjaro Architect το οποίο δίνει τη δυνατότητα να στήσεις το σύστημα όπως και με ότι θες, έχοντας παράλληλα πιο φιλικό setup interface από καθαρό terminal.
Το πλάνο ήταν να έχω και τους δυο δίσκους encrypted, να ξεκλειδώνουν ταυτόχρονα, ο SSD να έχει το / partition ενώ ο HDD να είναι το /home. Με UEFI boot το μηχάνημα.
 
Η διαδικασία που ακολούθησα ήταν η εξής (sda o HDD, sdb ο SSD):

 

Μέσω του installer :

  • Με partitioning tool που υποστηρίζει GPT (cgdisk, fdisk, gdisk ή parted) στον sdb δημιoύργησα GUID partition table, EFI boot partition 1GB=sdb1 (500MB προτείνεται, έδωσα παραπάνω just in case) και στον εναπομείναντα χώρο Linux partition=sdb2.
  • Encrypt το sdb2 με luks δίνοντας το password που θα χρησιμοποιείται για αποκρυπτογράφηση του δίσκου σε κάθε boot και το όνομα που θα παίρνει όντας αποκρυπτογραφημένο, επέλεξα "ssd-crypt".
  • Mount το sdb1 στο boot/efi και το /dev/mapper/ssd-crypt στο /
  • Format το / σε ext4
  • Εγκατάσταση, fstab creation & grub installation.

 

Με ολοκληρωμένη την εγκατάσταση πάμε για encryption στον HDD-sda :

  • Partitioning GPT και αυτός με όλο τον χώρο εκχωρημένο ένα partition (type Linux) - sda.
  • Encrypt, open, format
sudo cryptsetup luksFormat /dev/sda
sudo cryptsetup luksOpen /dev/sda hdd-crypt
sudo mkfs.ext4 /dev/mapper/hdd-crypt

 

Για να ξεκλειδώνει και ο hdd με την εισαγωγή του password για το ξεκλείδωμα του ssd απαιτείται να φτιάξουμε ένα keyfile, να το προσθέσουμε στο encrypted device (κάθε device μπορεί να δεχθεί μέχρι 10 keyfiles/passwords) και να προσθέσουμε τη σχετική εγγραφή στο /etc/crypttab αρχείο. Αναλυτικά εδώ.

Τέλος, μετέφερα το /home στον hdd και πρόσθεσα την παρακάτω εγγραφή στο fstab.

/dev/mapper/hdd-crypt /home ext4 defaults 0 2

 

Ο υπολογιστής με το που καταχωρηθεί το password για τον ssd - sdb ξεκλειδώνει μέσω του crypttab αρχείου και τον hdd - sda και δημιουργεί τα δυο unencrypted devices /dev/mapper/ssd-crypt & /dev/mapper/hdd-crypt τα οποία γίνονται mount στο / και /home αντίστοιχα.

image.png.e16715213637b17c5e9a709976de36fb.png

 

Σημαντικές πληροφορίες :

  • Δεν τρέχουμε ΠΟΤΕ fsck ή αντίστοιχο utility σε encrypted partition (πχ boot με live usb χωρίς να το ξεκλειδώσουμε)
  • Σε encrypted state το μόνο αναγνώσιμο κομμάτι του partition είναι το luks header αρχείο το οποίο απαιτείται για να γίνει decrypted. (Very) good practice είναι να τα πάρουμε backup - εννοείται όχι πάνω στον ίδιο δίσκο καθώς να για κάποιο λόγο γίνουν corrupt δεν μπορεί να ξεκλειδωθεί το partition.

 

Πολύ κατατοπιστικό video είναι αυτό.

 

Edited by acct
  • Like 5
  • Thanks 1
Link to post
Share on other sites

Σημαντική διευκρίνιση :

To backed up luks header "κουβαλάει" το password που ίσχυε τη στιγμή της αντιγραφής του.

Αν στην πορεία αλλάξουμε luks  pass (cryptsetup luksChangeKey /dev/sdxxx) και για κάποιο λόγο χρειαστεί να κάνουμε restore το header τότε θα πρέπει να χρησιμοποιήσουμε τον αρχικό κωδικό.

 

  • Like 1
Link to post
Share on other sites
5 hours ago, paxman said:

1GB=sdb1 (500GB προτείνεται, έδωσα παραπάνω just in case)

 

Είσαι σίγουρος; 🤣 Βέβαια, και τα δικά μου δάχτυλα καμιά φορά αρνούνται να πληκτρολογήσουν MB πια. Πού φτάσαμε! Μην ανησυχείς, το σουλουπώνω.

 

Ωραιότατη η περιγραφή, πολύ χρήσιμες και οι επισημάνσεις. Καλή συνέχεια με το σύστημα! 👍

  • Like 1
  • Haha 2
Link to post
Share on other sites
1 hour ago, acct said:

Είσαι σίγουρος; 🤣

Ναι, μόνο που τα υπόλοιπα 249GB βρίσκονται σε παράλληλο σύμπαν 🤣

 

1 hour ago, acct said:

Ωραιότατη η περιγραφή, πολύ χρήσιμες και οι επισημάνσεις. Καλή συνέχεια με το σύστημα! 👍

Ας όψεται ο @gdp77 για την προτροπή.

 

Ευχαριστώ, όπως και τον 

@Rusty_Cookie για το "ξεστράβωμα" όταν είχα κολλήσει και άνοιξα σχετικό thread για βοήθεια.

  • Like 2
Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.