Vorgehensweise mit LVM und einer einzelnen verschlüsselten Partition
Warnung
Zunächst einmal ist 128M zu klein für den Boot! Ich benutze 1G. Andernfalls kann es passieren, dass Sie vergessen, alte Kernel zu entfernen, und / boot füllt sich und Sie müssen sich mit dem Schmerz abfinden, alte Kernel aus dem System zu entfernen, damit Sie arbeiten apt
oder apt-get
arbeiten können nochmal. Stellen Sie auch mit 1G sicher, dass Sie von Zeit zu Zeit alte Kernel entfernen.
Die nächsten Schritte sind nicht für Anfänger gedacht.
UPDATE: Ich habe ein Skript erstellt , das die folgenden Vorgänge für Sie und mehr ausführt! Alles, was Sie tun müssen, ist, es vor der Installation über das Live-Betriebssystem auszuführen. Sie können einen Artikel auf meinem Blog finden .
Vorinstallation vom Live-Betriebssystem
Sie möchten LUKS und LVM während der manuellen Partitionierung einrichten! Ich habe das auf Ubuntu 16.04.2 getestet
Booten Sie Ubuntu von einem Live-Betriebssystem und wählen Sie die Option, Ubuntu ohne Installation zu testen. Befolgen Sie die unten beschriebenen Schritte. Nehmen wir an, Sie installieren nach / dev / sdb.
- Partitionieren Sie das Laufwerk mit dem Tool Ihrer Wahl: Ich habe fdisk verwendet, um meine auf einer MSDOS-Partitionstabelle wie folgt einzurichten:
- andere Partitionen: vorhandene Betriebssysteme - diese interessieren uns nicht
- sdb1: / boot (1G)
- sdb2: LUKS-Partition (der Rest der Festplatte)
- Richten Sie LUKS ein
sudo cryptsetup luksFormat --hash=sha512 --key-size=512 --cipher=aes-xts-plain64 --verify-passphrase /dev/sdb2
sudo cryptsetup luksOpen /dev/sdb2 CryptDisk
- Obwohl dies nicht erforderlich ist, ist es eine gute Idee, Ihre LUKS-Partition mit Nullen zu füllen, damit die Partition in einem verschlüsselten Zustand mit zufälligen Daten gefüllt wird.
sudo dd if=/dev/zero of=/dev/mapper/CryptDisk bs=4M
ACHTUNG, das kann sehr lange dauern!
- Richten Sie LVM auf / dev / mapper / CryptDisk ein
sudo pvcreate /dev/mapper/CryptDisk
sudo vgcreate vg0 /dev/mapper/CryptDisk
sudo lvcreate -n swap -L 2G vg0
sudo lvcreate -n root -L 10G vg0
sudo lvcreate -n home -l +100%FREE vg0
Installation vom Live-Betriebssystem
- Jetzt können Sie installieren. Wenn Sie zum Abschnitt "Installationstyp" der Installation gelangen, wählen Sie die Option "Etwas anderes". Weisen Sie dann manuell die Partitionen / dev / mapper / vg0- * zu, die Sie konfigurieren möchten. Vergessen Sie nicht, / dev / sdb1 als / boot zu setzen. Die / boot-Partition darf nicht verschlüsselt sein. Wenn ja, können wir nicht booten. Ändern Sie das "Gerät für die Bootloader-Installation" in "/ dev / sdb" und fahren Sie mit der Installation fort.
- Starten Sie nach Abschluss der Installation nicht neu ! Wählen Sie die Option "Continue Testing".
Konfiguration nach der Installation über das Live-Betriebssystem
Dieses Bit ist wirklich wichtig, wenn Sie möchten, dass Ihr System startet! Ich habe ziemlich viel Zeit damit verbracht, dies zu untersuchen, um diese Schritte nach der Installation herauszufinden. In meinem Fall habe ich es tatsächlich getan, weil ich die Größe von / boot auf / dev / sda anpassen wollte, aber all diese Arbeiten sollten sich auch auf Ihre Situation übertragen lassen.
- Geben Sie in einem Terminal Folgendes ein und suchen Sie nach der UUID von / dev / sdb2. Notieren Sie sich diese UUID für später.
sudo blkid | grep LUKS
- Die wichtige Zeile auf meinem Computer lautet
/dev/sdb2: UUID="bd3b598d-88fc-476e-92bb-e4363c98f81d" TYPE="crypto_LUKS" PARTUUID="50d86889-02"
Als nächstes können Sie das neu installierte System wieder einbinden, damit wir weitere Änderungen vornehmen können.
sudo mount /dev/vg0/root /mnt
sudo mount /dev/vg0/home /mnt/home
# Dies ist wahrscheinlich nicht erforderlich
sudo mount /dev/sdb1 /mnt/boot
sudo mount --bind /dev /mnt/dev
# Ich bin mir nicht ganz sicher, ob dies notwendig ist
sudo mount --bind /run/lvm /mnt/run/lvm
- (Nur wenn Sie EFI verwenden):
sudo mount /dev/sd*/your/efi/partition /mnt/boot/efi
Führen Sie nun aus, sudo chroot /mnt
um auf das installierte System zuzugreifen
- Bringen Sie von der Chroot noch ein paar Dinge an
mount -t proc proc /proc
mount -t sysfs sys /sys
mount -t devpts devpts /dev/pts
- Richten Sie crypttab ein. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei / etc / crypttab und fügen Sie die folgende Zeile hinzu, wobei Sie die UUID durch die UUID Ihrer Festplatte ersetzen.
CryptDisk UUID=bd3b598d-88fc-476e-92bb-e4363c98f81d none luks,discard
- Zuletzt erstellen Sie einige Boot-Dateien neu.
update-initramfs -k all -c
update-grub
- Starten Sie neu und das System sollte nach einem Passwort fragen, das beim Booten entschlüsselt werden soll!
Ein besonderer Dank geht an Martin Eve , EGIDIO DOCILE , und die Leute auf blog.botux.fr für die Tutorials, die sie gepostet haben. Indem ich Teile von ihren Posten zog und ein paar zusätzliche Fehlerbehebungen durchführte, konnte ich das endlich herausfinden.
Ich habe es einige Male versucht und bin immer wieder gescheitert. Das bisschen, das ich mir anhand von Fehlermeldungen erarbeiten musste, warsudo mount --bind /run/lvm /mnt/run/lvm