Пропонується же створити один великий зашифрований розділ розміром з весь диск комп'ютера 4). поверх якого розгорнути віртуальну групу LVM, в якій створити звичайні (НЕ шифровані з точки зору ОС) розділи /, / home і swap. При цьому, користувачеві доведеться вводити пароль при кожному включенні комп'ютера (навіть при виході із сплячого режиму), однак, за рахунок зміщення шифрування на більш низький рівень, ОС «не помітить» цього і всі функції будуть працювати.
Починаючи з версії 12.10 можливість зашифрувати весь диск цілком додана в варіанти установки Ubuntu в стандартному інсталятор.
Отже, для установки нам буде потрібно диск альтернативної установки системи, який можна завантажити тут. Шукайте образ з alternate в назві.
Мається на увазі, що ви виконуєте нову установку системи, якщо це не так - попередньо збережіть всі свої дані і настройки, т. К. Нижченаведений процес має на увазі втрату всіх даних на жорсткому диску комп'ютера.
Завантажте систему з alternate - диска, виберіть мову і приступите до установки:
Виберіть ручний режим розмітки диска:
Якщо у вас новий диск або, якщо ви хочете очистити на ньому таблицю розділів, виберіть рядок з назвою диска:
і створіть на ньому нову таблицю розділів:
Після цього, створіть на диску розділ / boot, вибравши покажчиком вільне місце на диску:
Вкажіть невеликий обсяг, від 300 МБ до 1 ГБ, тому що для / boot цього буде цілком достатньо:
У списку «використовувати як» вкажіть / boot, не забудьте зробити розділ завантажувальним:
Далі, не размечая місце, що залишилося, переходимо до пункту «Налаштувати шифрування для томів»:
Погоджуємося записати зміни:
Вибираємо «Create encrypted volumes»:
Далі вибираємо (за допомогою кнопки Space) вільне місце на диску і тиснемо «Продовжити»:
Якщо у вас немає параної, можете просто натиснути «Налаштування розділу закінчена», якщо є - встановіть параметр «Стерти дані» в «Так»:
Знову погоджуємося на запис змін на диск:
Далі вибираємо «Finish»:
Далі установник попросить вас ввести парольний фразу, якої він «закриє» диск:
Після цього підтвердіть пароль:
Якщо ви використовуєте занадто простий пароль 5). установник попросить підтвердження:
Після створення шифрованого томи, потрібно налаштувати LVM:
Знову погоджуємося на запис змін:
Створюємо групу томів:
І вказуємо в якості пристроїв для групи щойно створений шифрований диск:
Після цього створюємо логічні томи:
Приклад для swap:
Аналогічно створюємо диски для root і home, виділяючи їм бажаний обсяг. Якщо у вас великий диск - можете залишити деякий його обсяг вільним, пізніше ви зможете додати його до будь-якого логічного тому 6).
Після цього вибирайте «Закінчити»:
Тепер потрібно призначити файлові системи і точки монтування для створених дисків:
Вибирайте розділи, що знаходяться в блоках, що починаються на LVM, вони названі, відповідно до іменам, даними їм вами при створенні логічних томів, наприклад, в даному випадку, це LV home, LV swap і LV root. Варто зауважити, що розділ root 7) не потрібно робити завантажувальним, тому що роль завантажувального у нас виконує окремий розділ / boot.
Після закінчення, вибирайте «Закінчити розмітку і записати зміни на диск»:
І знову погоджуємося із записом змін на диск (заодно можна ще раз перевірити всі ви правильно розмітили):
Далі продовжуйте установку системи як зазвичай. Коли установник запитає вас, зашифрувати чи домашній каталог - відмовтеся, адже ваш диск вже зашифрований.
Після завершення установки і перезавантаження система запропонує вам ввести пароль для розблокування шифрованого диска. Введіть пароль і натисніть Enter.
Рекомендується попередньо демонтувати всі розділи, що лежать на зашифрованому диску, що в нашому випадку означає, що для зміни пароля на диску знадобиться live-cd. Якщо ви не боїтеся можливих наслідків - можете пропустити етап із завантаженням live-cd і установкою необхідних програм, і відразу перейти до зміни пароля.
Завантажити з live-cd 8). виберіть «Спробувати Ubuntu» і дочекайтеся повного завантаження системи. Після цього, налаштуйте підключення до інтернету. Потім відкрийте термінал і виконайте:
Після успішної установки, перейдіть до кроку «Зміна пароля».
При установці диск шифрується за допомогою зв'язки LUKS і dm-crypt. LUKS використовує в якості ідентифікаторів доступу key slots, які в даному випадку виступають в вигляді пароля, однак можуть бути і ключем. Усього доступно 8 слотів. За замовчуванням (при створенні шифрованого диска) використовується слот 0.
Якщо вам потрібно використовувати комп'ютер спільно з іншою людиною - ви можете створити для нього окремий пароль розблокування диска.
Для операцій із слотами - спочатку потрібно визначитися з диском, на якому встановлено шифрування. Виконайте в терміналі команду
Висновок буде приблизно таким:
Вона дасть вам список розділів на диску. Потрібно знайти той розділ, на якому присутній зашифрований розділ. В даному випадку це sda5.
Бачимо, що слот 0 містить пароль, а слоти 1-7 мають статус DISABLED.
З огляду на те, що необхідний як мінімум один активний слот, змінити пароль в звичайному розумінні на такому диску неможливо. Однак, можна створити пароль в іншому слоті, а потім видалити перший слот. Щоб створити новий ключ, виконайте:
Якщо тепер подивитися слоти, то стане видно, що статус ENABLED варто тепер уже у двох слотів:
Тепер можна видалити старий пароль, що знаходиться в слоті 0:
І бачимо, що слот 0 став DISABLED.
От і все. Інформація на диску надійно захищена. Однак, не варто забувати, що існує велика кількість різних загроз, і ваші дані все ще можуть бути доступні зловмисникові, в той час, поки комп'ютер включений, все диски «відкриті». І звичайно ж, в разі крадіжки, шифрування врятує ваші дані від зловмисника, але не поверне їх вам, так що не забувайте робити резервні копії.
1) маючи доступ до кореневого розділу можна, наприклад, отримати список файлів в домашньому розділі, незважаючи на те, що той зашифрований
2) т. Е. Режим припинення роботи комп'ютера, при якому весь вміст оперативної пам'яті скидається на диск, а комп'ютер відключено від живлення
4) за винятком невеликого НЕ шифруемого розділу / boot
5) існує непоганий генератор паролів, pwgen, що створює складні, але легко запам'ятовуються паролі
6) що, однак, потребують зміни розміру файлової системи на ньому, так що якщо не знаєте як краще вчинити - додайте цей обсяг відразу до розділу home
7) мається на увазі кореневий розділ /
8) тобто зі звичайного інсталяційного диска Ubuntu