フルディスク暗号化を無効にできますか?


41

最近Ubuntu 12.10をインストールしましたが、起動するにはパスフレーズが必要です(暗号化されたファイルシステムでインストールしました)。

標準の暗号化されていないファイルシステムに変更するには、再インストールする必要がありますか?


Ubuntuインストール全体を暗号化しましたか、それともホームディレクトリのみを暗号化しましたか?
フリム

インストール中に暗号化したので、インストール全体を推測しています。
ゼアルドール

3
私は新しいユーザーなので、Linuxでどのように機能するかわからない(GotはMicrosoftに完全にうんざりしている!)
Zzealdor

@Rinzwindおそらくないでしょう。この方法(ecryptfs)はホームディレクトリを暗号化し、追加のパスワードは必要ありません。ログインパスワードが使用されます。
1

1
@ user163872:新しいUbuntuバージョン(12および13)は、ネットブックなどの古いコンピューターでは非常に遅いです。Lubuntuをインストールする必要があります。Lubuntuは速度を重視して設計されており、RAMが少ない(つまり512MB)場合でも、古いコンピューターや遅いコンピューターで非常に高速に動作します。Lubuntuは通常のUbuntuとほぼ同じです。デスクトップ/メニューのみが少し異なります。しかし、通常のUbuntuで機能するものはすべて、Lubuntuでも機能します。
ララ14年

回答:


22

Ubuntuがブート中(つまり、ログイン画面が表示される前にテキストコンソールで)暗号化パスフレーズを要求する場合、これはフルディスク暗号化方式が使用されたことを示します。(これを行うには複数の方法がありますが、答えは一般的にします。)暗号化は、ファイルシステム自体ではなく、ファイルシステムと物理ハードドライブ間の追加のソフトウェアレイヤーによって処理されます。

これを元に戻す簡単な方法やツールはありません。Linuxシステムがどのように機能するかについてある程度の知識があれば、それを行うことができます。ファイルシステム全体(またはすべてのファイル)を別のパーティション(十分な空き領域がある)または外付けHDDに移動する必要があります。次に、暗号化されたコンテナを削除し、暗号化せずにファイルシステムを再作成します。最後に、mount -a再起動する前に、新しいファイルシステムがブートローダーによって適切に認識されることを確認します。

可能であれば、この時間のかかるエラーが発生しやすい手順を避けるのが最善です。新しくインストールするだけです。新規ユーザーにとって、これは最も迅速で安全なオプションです。

PS:暗号化パスフレーズを空の文字列に変更できる可能性があります。次に、復号化にはEnterキーを押すだけです。たぶん、さらに進んで(今では役に立たない)パスフレーズプロンプトを抑制できます。ただし、これは暗号化を無効にしません。キーは簡単に推測できるため、暗号化は役に立ちませんが、データは暗号化されます。


3
理論的には、「dd if = / dev / mapper / sda5_crypt of = / dev / sda5 bs = 32M」のようなことはできないでしょうか?
ロイ

@Roy、次の条件が満たされている場合にのみ機能すると思いますdd。ブロックは暗号化ブロックの端に重ならない(チェックでき、数学が含まれる場合がある)それは可能だと思いますが、より慎重なセットアップと分析が必要です。
-fuzzyTew

20

以下は私の解決策でした。私はLinuxの専門家ではないため、最善の解決策ではない可能性があることに留意してください。とにかく良いものを見つけることができませんでした。

FDEインストールの暗号化されていないパーティションへの移行

:私が言うたびに、私は意味する

/dev/sda1 - boot partition
/dev/sda5 - encrypted partition
/dev/sda3 - clean non-encrypted EXT4 partition
/dev/sda2 - my newly created swap partition

暗号化されたルートファイルシステムからのデータのコピー

ライブCDから起動します。Ubuntu 13.10 32ビットデスクトップISOを使用しました。

パーティションをマウントします。

sudo cryptsetup luksOpen /dev/sda5 crypt1

ソースデータを宛先パーティションにコピーし、dd PIDをpid変数に保存します。

sudo dd if=/dev/ubuntu-vg/root of=/dev/sda3 bs=1M & pid=$!

これは、USR1シグナルとddの結果ステータスでddプロセスごとにpingを実行します。

while sudo kill -USR $pid; do sleep 1; done

DDの監視の代替

上記の「whileメソッド」が気に入らない場合は、watchを使用できます。別のターミナルウィンドウを開き、PIDを取得します。

pgrep -l '^dd$' | awk '{ print $1 }'

プロセスIDに置き換えます。

watch kill -USR1 <pid>

dd端子に2秒ごとに出力が表示されます。

新しいルートファイルシステムとパーティションの構成

完了したら、暗号化されていないパーティションをマウントして、問題ないかどうかを確認できます。

sudo mount /dev/sda3 /mnt

その後、パーティションをアンマウントします。

sudo umount /dev/sda3

暗号化パーティションの解放:

sudo cryptsetup luksClose /dev/sda5

gpartedを実行します。LUKSパーティション(拡張および論理の両方)を削除します。/ dev / sda3のサイズを変更して左に移動します。スワップパーティションを作成します。

注:/ dev / sda3を左に移動するには時間がかかる場合があります。私にとっては、120GBのパーティションとSSDドライブで30分かかりました。500GB以上のHDDを使用している場合は、数時間待機する準備をしてください。/ dev / sda3を移動する代わりに、パーティションの前にスワップを作成することもできます。

スワップパーティションに新しいスワップファイルシステムを作成します。

sudo mkswap /dev/sda2 

UUIDをどこかに保存します。

ルートパーティションのUUIDを取得します。

sudo blkid /dev/sda3

fstabを編集します。

sudo nano /etc/fstab

overlayfsおよびtmpfs行を削除またはコメントアウトします。

結果をblkidに置き換える行を追加します。

UUID=<uuid_root> /  ext4 errors=remount-ro 0 1
UUID=<uuid_swap> none swap sw 0 0

ファイルを削除:

rm /etc/crypttab

「cryptsetup:evms_activateは使用できません」などのエラーを回避するために、initramfsを更新します。

sudo -i
mount /dev/sda3 /mnt
mount -t proc none /mnt/proc
mount -o bind /sys /mnt/sys
mount -o bind /dev /mnt/dev
mount /dev/sda1 /mnt/boot
chroot /mnt /bin/bash
apt-get remove --purge cryptsetup
update-initramfs -u -k all

最終メモとトラブルシューティング

私にとってはうまくいきましたが、上記の手順を一歩ずつ実行してもうまくいかない可能性があります。update-initramfsメソッドを理解する前に、カーネルを数回再インストールしていましたが、grubを変更していました。しかし、それはあなたのためのケースであってはなりません。ので、注意してメイクも、上記の手順は、あなたのデータを削除しても良いことに注意してくださいBACKUP前にいることを進みます。

カーネルに問題がある場合(chrootedおよび/ bootがマウントされている場合):

uname -r
sudo apt-get install --reinstall linux-image-3.X.Y-ZZ-generic

もちろん、linux-image-3.XY-ZZをunameのカーネル日付に置き換えます。

またはGRUB(chrootの外部):

sudo add-apt-repository ppa:yannubuntu/boot-repair && sudo apt-get update
sudo apt-get install -y boot-repair && (boot-repair &)

詳細:https : //help.ubuntu.com/community/Boot-Repair

幸運を


1
スワップパーティションのUUIDを/etc/initramfs-tools/conf.d/resume手動で置き換える必要があると思います。ファイルシステムの内容をコピーすることをお勧めします。cp -aまたはrsync -a、SSDの方が一般的により高速で安全です。
LiveWireBT 14年

私の詳細をよりユーザーフレンドリーにしてくれてありがとう。私は履歴書の変更をしませんでした。また、cpまたはrsyncを使用して怖がりました。dd(デバイスからデバイスへの未加工コピー)は、そのようなタスクに適したツールだと思いました。VMでそれをしていましたが、イメージはSSDに配置されました。「SSDの安全性」を詳しく説明してください。
NeverEndingQueue 14年

使用ddすると、パーティション全体がコピーされ、空のブロックであっても、SSDへの不要な書き込みが発生します(一部のセルでは、ほとんどすべてのセルへの書き込みパフォーマンスが低下します)。数年前、私と他の何人かはdd、TRIM(EXT4破棄オプション)を使用してコピーしてアクティブ化すると、TRIMが空と思われるブロックを削除し、数時間後に壊れたインストールが残ることを発見しました。
LiveWireBT 14年

最初の監視方法では、USRではなくUSR1にする必要があります。それは明らかですが、私のような初心者にとっては問題になる可能性があります;)
goodfellow

9

暗号化を保持しても問題ない場合、パスフレーズプロンプトをオフにするには、「パスワード」のような簡単なパスワードを設定し、その簡単なパスワードをinitramfsにクリアテキストで保存するだけです。LUKS暗号化パスワードを無効にします

基本的に、フックスクリプトを追加して、initramfsに「キースクリプト」を追加します。通常、これらのスクリプトは、USBスティックなどからBletoothを介してパスワードを取得するために使用されますが、この場合、単純なパスワードを印刷するだけです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.