Как зашифровать Ubuntu 18.04

Spacer

Сопутствующие статьи

Поделитесь этим сайтом с друзьями!

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354. Или на телефон +7 918-16-26-331.

Или другими способами (с карты, с телефона)

Даже небольшая сумма может помочь написанию новых статей :)

Или поделитесь ссылкой на эту статью со своими друзьями.

Опубликовано: Последнее обновление этой статьи:

В этой статье инструкция как выполнить шифрование всего диска Ubuntu. То есть как установить Ubuntu с шифрованием всего диска, включая шифрование системного раздела.

Важно! Эта статья для людей, которые разбираются в компьютерах на уровне выше среднего. Если вы не знаете что такое конфигурационные файлы, разделы диска, как работать с терминалом - тогда обращайтесь к специалисту. Чтобы не тратить свое время и нервы.

Для шифрования других версий Ubuntu читайте статьи:

Казалось бы зачем эта статья, ведь Ubuntu 18.04 можно установить на шифрованный системный раздел через мастер установки, там есть такая опция. Опция есть, но она проблемная - нет никаких дополнительных настроек. Мастер установки тупо использует весь указанный диск целиком, создавая на нем три раздела - root, boot и swap. Разделы рут и swap как и положено зашифрованы, а раздел boot остается голый! И это главная проблема - незашифрованный раздел boot на том же самом диске.

Поэтому, несмотря на наличие опции в мастере установки, все равно приходится делать установку вручную. Эта статья описывает последовательность действий для ручной установки Ubuntu 18.04 на зашифрованный диск. Ручная установка позволяет еще и не шифровать весь диск. Если необходимо, можно оставить открытыми существующие разделы. Для Убунту добавить отдельный раздел и зашифровать только его.

Но для начала немного теории.

Для чего нужно шифрование данных на диске

Это единственный надежный способ защиты информации, в условиях, когда возможен физический доступ посторонних людей к компьютеру. Пароль на запуск любой операционной системы - Windows, Linux или Mac OS, может спасти только от детей. Любой специалист обойдет парольную защиту за пару минут - примерно столько времени нужно для того, чтобы воткнуть в компьютер флешку и загрузить свою операционную систему с нее.

А вот зашифрованные данные вскрыть уже гораздо труднее. Или вообще невозможно без цифрового ключа или ключевой фразы. Конечно существуют разные алгоритмы шифрования и внутри этих алгоритмов существуют разные параметры - все это влияет на устойчивость к взлому. При использовании нестойких алгоритмов или уязвимых параметров можно получить доступ к зашифрованным фалам и папкам. Но в общем случае можно считать что шифрование это надежная защита данных.

Наиболее распространенный способ защиты данных это шифрование файлов. На диске создается шифрованная папка, в нее записываются файлы. Теоретически это надежно, если используется алгоритм AES и ключи большой длины. Но остается неочевидная уязвимость данных при таком способе шифрования. Дело в том, что операционная система остается незащищенной. А это дает злоумышленнику возможность установить в систему специальную программу, (кейлогер, руткит) которая будет запускаться при старте ОС и отслеживать действия пользователя и таким образом рано или поздно злоумышленник получит пароль или ключевой файл для доступа к зашифрованным папкам и файлам. Либо сможет получить сами эти данные после того, как пользователь откроет зашифрованный файл.

Значит, действительно стойкая защита данных на диске это шифрование не отдельных файлов и папок, но и всей операционной системы. Для надежной защиты необходимо шифрование всего диска. "На поверхности" не должно оставаться ничего. В этой статье будет дана инструкция как создать шифрованный системный раздел и диск в ОС Linux Ubuntu 18.04.

Шифрованная файловая система в Linux поддерживается на уровне ядра операционной системы. То есть не нужно искать какие-то навороченные криптографические программы и более того, использование шифрованных разделов Linux происходит прозрачно - пользователю ничего не нужно знать о шифровании и ничего не нужно делать для шифрования своих файлов и папок.

Для того, чтобы создать надежную шифрованную систему под Linux нужно понимать какие части этой системы нужно защищать. Их четыре:

  • Системная область - обозначается как root или /.
  • Загрузочная область - обозначается как /boot. Может располагаться на отдельном разделе или на разделе root в виде папки.
  • Область пользовательских данных - обозначается как /home. Может располагаться на отдельном разделе или на разделе root в виде папки.
  • Область виртуальной памяти - обозначается как swap.  Чаще всего размещается на отдельном разделе, но может располагаться на разделе root в виде файла.

Защищать нужно все эти области.

В статье будет рассмотрена упрощенная конфигурация разделов диска - /boot на отдельном разделе и диске, а swap, root и /home совмещены на одном разделе одного диска. Но для более сложных случаев распределения разделов технология защиты будет такая же.

С шифрованием областей root, swap и home никаких трудностей нет, а вот с защитой /boot есть проблема. Дело в том, что из этой области системный загрузчик запускает initrd и ядро Linux. Если эту область зашифровать, тогда загрузчик не сможет запустить ядро и соответственно запуск ОС будет невозможен. То есть зашифровать /boot нельзя, но и оставлять открытой тоже нельзя, ведь в этом случае будет возможна подмена ядра, на другое, содержащее зловредный код, который перехватит пароль для расшифровки диска..

Выход в том, чтобы разместить раздел /boot на съемном носителе, на флешке. Флешка будет своего рода электронным ключом к системе. Без нее запуск ОС с зашифрованного диска будет невозможен. То есть, защита раздела /boot осуществляется на физическом уровне - извлечением его из компьютера. И даже если злоумышленник воткнет в компьютер свою флешку с загрузчиком и ядром, запустить ОС он не сможет не зная пароля.

Таким образом общая схема защиты такова:

  • Разделы root, swap и /home размещаются на полностью зашифрованном жестком диске или на зашифрованном разделе диска.
  • Раздел /boot размещается на съемном носителе.

Установка шифрованной Убунты будет выполняться с использованием Ubuntu Live. Почему именно Live? Ведь дистрибутив Alternate позволяет сделать тоже самое без плясок с бубном, там опции шифрования есть в установщике. Лично мне не нравится то, что Alternate это исключительно установочный дистрибутив, больше его никак нельзя использовать - ни для диагностики, ни для работы. К тому, же установщик Alternate работает в консоли, а это как-то архаично в 21 веке. Так, что Live.

Итак.

Загрузочная флешка

Необходимо загрузиться с диска или флешки Ubuntu Desktop 18.04 Live. Соответственно должен к компьютеру быть подключен жесткий диск на который будет выполнена установка. А также нужно приготовить чистую флешку емкостью от 100 Мб и выше, для установки загрузчика.

Инструкция: Запись образа Ubuntu ISO на флешку.

Для проверки этой статьи я использовал сборку Ubuntu Desktop 18.04.3

 

Подготовка жесткого диска и флешки

На этом этапе нужно сделать разметку диска и флешки. Шифрование возможно в трех вариантах:

  • Диск с разметкой MBR (MS-DOS) и флешка с разметкой MBR.
  • Диск с разметкой MBR (MS-DOS), а флешка с разметкой GPT.
  • Диск с разметкой GPT и флешка с разметкой GPT.

Разница между GPT и MBR разметками, заключается в том, что с диска GPT возможен запуск UEFI загузчика. Выбор варианта зависит от конкретных условий. На старом компьютере возможно отсутствие загрузки UEFI и тогда нужно использовать MBR разметку. На очень новом компьютере может отсутствовать поддержка загрузки с MBR дисков.

Выбор разметки в первую очередь важен для флешки, поскольку на нее будет установлен загрузчик и ядро ОС. Какая разметка будет на системном HDD (или SSD) не столь важно.

Чтобы можно было сделать нужную разметку, необходимо выбрать режим старта с загрузочной флешки Ubuntu. В загрузочном меню BIOS компьютера нужно выбрать между двух вариантов:

  • Просто название вашей флешки. В этом случае Live сессия будет запущена через загрузчик MBR и нужно будет для флешки делать разметку MBR. После старта загрузчика флешки, стартовое меню Ubuntu Live будет скрыто сиреневой заставкой.
  • Префикс UEFI и название вашей флешки. В этом случае Live сессия будет запущена через загрузчик UEFI и нужно будет для флешки делать разметку GPT. После старта загрузчика флешки, стартовое меню Ubuntu Live будет черного цвета.

Черное меню - загрузчик UEFI. Сиреневая заставка вместо меню - загрузчик MBR.

Если Live сессия будет запущена через загрузчик MBR, на флешке нужно будет сделать разметку MBR и один раздел с файловой системой Ext2 или Ext3. Кликните картинку для увеличения:

GParted - на флешке разметка MBR и один раздел с файловой системой Ext2

Если Live сессия будет запущена через загрузчик UEFI, на флешке нужно сделать разметку GPT и два раздела:

  1. С файловой системой FAT32. Тип раздела EFI. Для UEFI загрузчика.
  2. С файловой системой Ext2 или Ext3 для раздела /boot.

Кликните картинку для увеличения:

GParted - на флешке разметка GPT и раздел с файловой системой Ext2 и раздел EFI

 

На жестком диске нужно создать один пустой, размеченный в файловую систему cleared. Разметка диска может быть MS-DOS (MBR) или GPT.

В этом разделе, поздее, будет создан криптоконтейнер LUKS. Раздел под криптоконтейнер может занимать весь диск или только часть диска.

GParted - на диске раздел cleared

Выше приведен простейший вариант - криптоконтейнер на весь диск. Но на диске можно дополнительно создать и обычные, открытые разделы, кроме раздела для криптоконтейнера.

 

Шаг третий, шифрование системного диска

Шифрование всего раздела на жестком диске выполняется командой:

sudo cryptsetup --cipher aes-xts-plain --key-size 512 --verify-passphrase luksFormat /dev/sda1

Вместо /dev/sda1 подставьте номер диск и раздел на вашем диске. У вас это может быть не /dev/sda1! Узнать ваш диск и раздел вы можете в программе gparted, когда будете подготавливать диск.

Важное примечание.

Эта команда выдаст запрос и на его подтверждение нужно ввести слово YES, именно так, заглавными буквами. Этот запрос сделан для того, чтобы убедиться в том, что у вас на клавиатуре включен именно английский язык и выключен Caps Lock! После этого нужно будет дважды ввести ключевую фразу. Эта фраза должна быть длиннее чем 6-8 символов и не должна содержать часто повторяющихся знаков. В идеале это должен быть произвольный набор букв и цифр. Эту фразу лучше придумать заранее, еще до начала работы по созданию системы.

При вводе ключевой фразы, в терминале не будут отображаться никакие знаки, поэтому печатать нужно внимательно. Но фраза будет запрошена дважды, так что если вы ошибетесь программа об этом сообщит.

Создание криптоконтейнера LUKS

После успешного создания криптоконтейнера, для дальнейшей работы нужно подключить этот шифрованный диск:

sudo cryptsetup open /dev/sda1 crypted

Эта команда выдаст запрос на ключевую фразу, которая была введена в предыдущей команде.

 

Шаг четвертый, создание шифрованных разделов

Следующий этап это создание шифрованных разделов внутри криптоконтейнера LUKS. Для создания этих разделов используется механизм LVM.

sudo pvcreate /dev/mapper/crypted
sudo vgcreate ubuntu /dev/mapper/crypted
sudo lvcreate -L 8600M -n swap ubuntu
sudo lvcreate -l 100%FREE -n root ubuntu
sudo mkswap /dev/mapper/ubuntu-swap
sudo mkfs.ext4 /dev/mapper/ubuntu-root

Примечание.

Размер swap раздела должен быть примерно на 10-20% больше чем размер оперативной памяти. Раздел root не менее 8-10 Гигабайт.

В итоге у вас терминал должен выглядеть примерно так:

Создание разделов LVM внутри LUKS

Созданные разделы LVM, можно увидеть в программе "Диски" (Disks) (кликните картинку для увеличения):

Созданные разделы LVM

 

Шаг пятый, установка Ubuntu на шифрованный диск

После создания зашифрованных разделов нужно запустить инсталлятор, ярлык которого есть на рабочем столе. Установка обычная.

Далее нужно выбрать ручную разметку диска, в установщике это называется "Другой вариант" (кликните картинку для увеличения):

Мастер установки Ubuntu 18.04 - способ разметки диска

 

И далее вот таким образом подключить разделы. Раздел root в криптоконтейнере (кликните картинку для увеличения):

Мастер установки Ubuntu 18.04 - ручгая настройка раздела root на диске

Мастер установки Ubuntu 18.04 - ручгая настройка раздела root на диске

Мастер установки Ubuntu 18.04 - ручгая настройка раздела root на диске

 

Раздел boot на флешке, для установки загрузчика (boot loader) GRUB  (кликните картинку для увеличения):

Мастер установки Ubuntu 18.04 - ручгая настройка раздела Ext2 на флешке

Мастер установки Ubuntu 18.04 - ручгая настройка раздела Ext2 на флешке

Мастер установки Ubuntu 18.04 - ручгая настройка раздела Ext2 на флешке

В этом примере используется файловая система Ext2, но можно и Ext3. Но не стоит на флешке использовать Ext4.

Теперь настройка раздела, тоже на флешке, для UEFI загрузчика  (кликните картинку для увеличения):

Мастер установки Ubuntu 18.04 - ручгая настройка раздела EFI на флешке

Мастер установки Ubuntu 18.04 - ручгая настройка раздела EFI на флешке

Мастер установки Ubuntu 18.04 - ручгая настройка раздела EFI на флешке

 

После этого нужно пройти мастер установки до конца и дождаться окончания установки. По завершении установки, установщик предложит перезагрузить компьютер.

Перезагружать нельзя! Нужно остаться в Live Ubuntu, чтобы завершить настройку загрузки.

Впрочем это некритично. Даже если вы по ошибке сделаете перезагрузку можно будет снова загрузиться в Ubuntu Live.

 

Шаг шестой, подключение криптоконтейнера

Сначала нужно выполнить следующие команды:

sudo swapoff -a
sudo dmsetup remove_all

Эти две команды размонтируют шифрованный контейнер. Это нужно для того, чтобы далее подключить криптоконтейнер с настройками по умолчанию.

Примечание. Этот шаг пропускается если вы сделали перезагрузку после завершения установки!

Далее нужно подключить контейнер, это можно сделать двумя способами.

Способ первый, через графический интерфейс

Запустите программу "Диски" (Disks) и в ней откройте раздел LUKS, на вашем диске.

Способ второй, через терминал:

Нужно выполнить команду:

echo "luks-$(ls -la /dev/disk/by-uuid | grep $(basename /dev/sda1) | cut -d ' ' -f 11)"

Нужно понимать, что в этой команде вы должны подставить правильный раздел диска (/dev/sda1).

Вывод должен быть таким (конечно идентификатор будет другой): luks-b224aaf0-774a-4548-a256-b11c5a657902

Примечание. Если вывод команды не содержит такую строку, значит пробуйте другой параметр -f : 10, 12 и смотрите на результат. От версии к версии формат команды ls -la меняется. И вывод UUID диска может быть не на 11 позиции.

Нужно скопировать эту строку и вставить в следующую команду:

sudo cryptsetup open /dev/sda1 luks-b224aaf0-774a-4548-a256-b11c5a657902

Для проверки можно выполнить команду:

Запустите программу "Диски" (Disks) и в ней убедитесь в том, что LVM разделы swap и root примонтированы. Пример правильно открытого контейнера LUKS показан на скриншоте программы "Диски" (Disks), выше, в этой статье.

Примечание. В версии 18.04.3, есть глюк, время от времени, после консольного подключения, контейнер LUKS открывается, но разделы LVM не монтируются. И они не видны в установщике. Я советую открывать криптоконтейнер через программу "Диски" (Disks).

 

Шаг седьмой, настройка загрузки с шифрованного диска.

Нужно выполнить вот эти команды:

  1. sudo mount /dev/mapper/ubuntu-root /mnt
  2. sudo mount /dev/sdb1 /mnt/boot
  3. sudo mount -o bind /dev /mnt/dev
  4. sudo mount -t proc proc /mnt/proc
  5. sudo mount -t sysfs sys /mnt/sys  

Проверьте, чтобы правильный диск был примонтирован в /mnt/boot! Это должна быть флешка с разделом boot.

Теперь нужно изменить настройки LVM, заменить значение параметра use_lvmetad.

sudo gedit /mnt/etc/lvm/lvm.conf

В этом файле нужно найти параметр use_lvmetad=1 и заменить 1 на 0, use_lvmetad=0. Если не изменить параметр use_lvmetad,, тогда следующие команды (команда 4) будет выдавать ошибки.

Далее выполнить следующие команды:

  1. sudo chroot /mnt /bin/bash
  2. echo "luks-$(ls -la /dev/disk/by-uuid | grep $(basename /dev/sdaX) | cut -d ' ' -f 11) UUID=$(ls -la /dev/disk/by-uuid | grep $(basename /dev/sda1) | cut -d ' ' -f 11) none luks,discard" > /etc/crypttab
  3. update-initramfs -u
  4. update-grub
  5. exit

Примечание. После второй команды лучше выполнить проверочную команду cat /etc/crypttab чтобы посмотреть строку которая записана в crypttab. Строка должна быть примерно такой

"luks-0eac1061-1dca-4a66-8497-7f3dda2b843a UUID=0eac1061-1dca-4a66-8497-7f3dda2b843a none luks,discard":

Вы можете изучить формат файла /etc/crypttab и сделать запись вручную, без использования команды echo (команда № 2). Особенно в том случае, если вы используете эту инструкцию для другого дистрибутива.

Или, перед выполнением полной команды echo, выполнить ее в усеченном формате, с выводом только в терминал. Чтобы убедиться в том, что строка формируется правильно.

Теперь можно пользоваться установленной зашифрованной Ubuntu. Конечно в BIOS необходимо указать загрузку с той флешки, где установлен раздел /boot!

 

Примечание 1

Важно понимать, что даже при таком тотальном шифровании сохраняются уязвимости.

  • Во-первых нужно сохранять в тайне ключевую фразу. Если вы ее запишите на стикер и приклеите на монитор это не хорошо. Если злоумышленник получит ключевую фразу, он сможет открыть ваш зашифрованный диск используя какой-либо Live дистрибутив Linux.
  • Во-вторых нужно на физическом уровне защищать загрузочную флешку. Не оставляйте ее без присмотра. Выключили компьютер - извлеките флешку и поместите ее в надежное место. Если ваша загрузочная флешка будет в свободном доступе, злоумышленник может установить на нее свой код для перехвата пароля.
  • В-третьих нельзя оставлять без присмотра включенный компьютер. Когда компьютер включен, доступен и зашифрованный диск и загрузочная флешка.

Также необходимо понимать, что шифрование это защита на то время когда ваш компьютер выключен, а вас рядом нет. Но когда вы работаете на компьютере сохраняется возможность попадания на ваш компьютер вредоносных программ из Интернет. Такие программы могут "украсть" вашу информацию в то время как вы пользуетесь компьютером и Интернет.

Поэтому важно принимать и другие меры защиты. Не "шарахаться" где попало в Интернет. Не устанавливать непроверенные программы. Использовать брандмауэр. А при более серьезных требованиях к безопасности нужно использовать другие средства, например tcb, SELinux, iptables.

 

Примечание 2

Сделайте копию загрузочной флешки, проще всего командой dd. Запишите этот образ на другую флешку или на лазерный диск. Копия на другую флешку удобнее поскольку при необходимости вы сразу ее сможете использовать. Но в любом случае эту копию, на чем бы она ни была, нужно будет хранить в защищенном месте. А после обновления ядра или загрузчика необходимо будет обновлять копию флешки.

Простое копирование файлов с флешки на флешку не даст полную копию, потому, что в этом случае не будут скопированы MBR сектора загрузчика GRUB.

P.S.

Если вы живете в г. Краснодар, для вас есть простой способ установить Ubuntu Linux на шифрованный системный раздел - позвоните по телефону, который указан ниже и договоритесь со специалистом. Подробнее...

При написании этой статьи была использована информация из публикации в блоге Андреаса Хёртера.

Поделитесь этим сайтом с друзьями!

Если вам оказалась полезна или просто понравилась эта статья, тогда не стесняйтесь - поддержите материально автора. Это легко сделать закинув денежек на Яндекс Кошелек № 410011416229354. Или на телефон +7 918-16-26-331.

Или другими способами (с карты, с телефона)

Даже небольшая сумма может помочь написанию новых статей :)

Или поделитесь ссылкой на эту статью со своими друзьями.

 

  Copyright digital.workshop 1999 - 2019.  
Это произведение доступно по лицензии Creative Commons Attribution-NoDerivs 3.0.
Developed by digital.workshop