デュアルブートでLUKSで暗号化されたUbuntuをインストールするにはどうすればよいですか?


73

Ubuntu 13.04インストールディスクには、LUKSを使用して暗号化されたUbuntuをインストールするオプションがあります。ただし、デュアルブートシナリオの既存のパーティションと共に暗号化されたインストールを実行するオプションはありません。

ライブディスクの別のパーティションと一緒に暗号化されたUbuntuをインストールするにはどうすればよいですか?


cryptrootスクリプトを見ると、拒否された編集は実際に正しいです。conf.d / cryptrootの各行は、別のcryptopts引数と同じように扱われます。復号化されたパーティションをボリュームグループにせずにインストーラーを使用できますか?試しましたが、パーティションなしでは使用できません。私の場合、それは3つのパーティションを持つSSDです:Linux / boot、Linux /、Windows、swapと/ homeはHDD上にあるので、LVMは本当に必要ありません。ライブCDからdebootstrapを使用するという当初のアイデアにとどまらなければならないと思います。

便利なガイド:「どのようにセットアップ暗号化されたUbuntuのインストールをする?」、GayanによってHecticGeek.comで- hecticgeek.com/2012/10/...
ガブリエルステープルズ

回答:


88

まず、ハードディスクに暗号化されたUbuntuをインストールし、既存のパーティションとオペレーティングシステムを置き換えたい場合、グラフィカルインストーラから直接これを実行できます。この手動プロセスは、デュアルブートにのみ必要です。

この回答はUbuntu 13.04でテストされています。

  1. UbuntuライブDVDまたはUSBスティックから起動し、「Ubuntuを試す」を選択します。

  2. ライブディスクに含まれているGPartedを使用して2つのパーティションを作成します。最初のパーティションは未フォーマットで、ルートとスワップに十分な大きさでなければなりません/dev/sda3。私の例では、これはです。2番目のパーティションは、数百メガバイトの大きさで、ext2またはext3でフォーマットされている必要があります。暗号化されずにマウントされます/boot(この例では/dev/sda4)。

    このスクリーンショットでは、2つのパーティションに既存の暗号化されていないUbuntuインストールがあります:/dev/sda1および/dev/sda5、左の円で強調表示します。暗号化されていないUbuntuのインストール用に、右の円で強調表示されている、フォーマットされていないパーティション/dev/sda3とext3パーティションを作成しました/dev/sda4

    GPartedスクリーンショット

  3. これらのコマンドを使用してLUKSコンテナーを作成します。/dev/sda3前に作成したフォーマットされていないパーティションcryptcherriesを、選択した名前に置き換えます。

    sudo cryptsetup luksFormat /dev/sda3
    sudo cryptsetup luksOpen /dev/sda3 cryptcherries
    
  4. 警告luksFormat基礎となるブロックデバイスが安全に消去されないため、このステップは非常に迅速に完了します。実験しているだけで、さまざまなタイプのフォレンジック攻撃に対するセキュリティを気にしない限り、新しいLUKSコンテナを適切に初期化してからファイルシステムを作成することが重要です。マッピングされたコンテナにゼロを書き込むと、基になるブロックデバイスに強いランダムデータが書き込まれます。これには時間がかかることがあるため、pvコマンドを使用して進行状況を監視することをお勧めします。

    ### Only for older releases, e.g. not for 19.04, `pv` is not included in the repo must be added first
    # sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
    # sudo apt-get update
    
    sudo apt-get install -y pv
    sudo sh -c 'exec pv -tprebB 16m /dev/zero >"$1"' _ /dev/mapper/cryptcherries
    

    または、オフラインインストールを実行していて、簡単に取得できない場合pv

    sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16M
    
  5. マウントされたLUKSコンテナー内で、LVM物理ボリューム、ボリュームグループ、および2つの論理ボリュームを作成します。最初の論理ボリュームはにマウントされ/、2番目の論理ボリュームはスワップとして使用されます。vgcherriesボリュームグループの名前であり、lvcherriesrootそしてlvcherriesswap論理ボリュームの名前をしている、あなた自身を選択することができます。

    sudo pvcreate /dev/mapper/cryptcherries
    sudo vgcreate vgcherries /dev/mapper/cryptcherries
    sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
    sudo lvcreate -n lvcherriesswap -L 1g vgcherries
    
  6. 2つの論理ボリュームのファイルシステムを作成します(この手順はインストーラーから直接実行することもできます)。

    sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
    sudo mkswap /dev/mapper/vgcherries-lvcherriesswap
    
  7. 再起動せずに、グラフィカルインストーラー(ショートカットはXubuntu 18.04のデスクトップにあります)を使用してUbuntuをインストールし、手動パーティションを選択します。割り当て//dev/mapper/vgcherries-lvcherriesroot/boot(この例では、ステップ2で作成した暗号化されていないパーティションに/dev/sda4)。

  8. グラフィカルインストーラーが終了したら、[テストの継続]を選択してターミナルを開きます。

  9. LUKSパーティションのUUIDを見つけます(/dev/sda3この場合)。後で必要になります。

    $ sudo blkid /dev/sda3
    /dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"
    
  10. 適切なデバイスをの適切な場所にマウントし、/mntchrootします:

    sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
    sudo mount /dev/sda4 /mnt/boot
    sudo mount --bind /dev /mnt/dev
    sudo chroot /mnt
    > mount -t proc proc /proc
    > mount -t sysfs sys /sys
    > mount -t devpts devpts /dev/pts
    
  11. /etc/crypttabchrooted環境でこの行を含む名前のファイルを作成し、UUID値をLUKSパーティションのUUIDとvgcherriesボリュームグループの名前に置き換えます。

    # <target name> <source device> <key file> <options>
    cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherries
    
  12. chrooted環境で次のコマンドを実行します。

    update-initramfs -k all -c
    
  13. 再起動して、暗号化されたUbuntuを起動します。パスワードの入力を求められます。

  14. あなたが暗号化されたパーティションを使用していることを確認し/実行することによってmount

    $ mount
    /dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
    /dev/sda4 on /boot type ext3 (rw)
    # rest of output cut for brevity
    
  15. 次のコマンドを実行して、暗号化されたスワップパーティション(他のインストールの暗号化されていないスワップパーティションではない)を使用していることを確認します。

    $ swapon -s
    Filename                              Type      Size   Used Priority
    /dev/mapper/vgcherries-lvcherriesswap partition 630780 0    -1
    
  16. リカバリモードで起動できることを確認します。後で緊急時にリカバリモードが機能しないことを知りたくない場合:)

  17. ramdiskを再構築し、grub構成を更新する可能性がある更新プログラムをインストールします。再起動して、通常モードと回復モードの両方をテストします。


3
15.04では、手順11、13、14を省略できること、および実際にこれらの手順を省略しなければならないことを確認できます(この方法でupdate-grubを実行すると、Windowsパーティションが失われます)
process91

4
@ process91ステップが数字を変更したように見えます。今、あなたは12、14、および15をOMMITする必要がある
アレクサンドル・ダビンスキー氏

5
素晴らしいガイド。ここで手順12、14、および15を省略して、BitLockerおよびUbuntu 16.04を搭載したWindows 10で初めて動作しました。特にブートローダーパーティションに選択したもの(既存のEFIパーティションにインストールされますが、Ubuntuをインストールしているディスクを選択することができます。たとえば、/ dev / sda)。:フルエディタ権限を持つユーザーは、コピー&ペーストをするために私の書き込みアップから歓迎stevenmaude.co.uk/posts/...
スティーブン・モーデス

5
@unhammerは答えを編集し、コメントを読んで混乱する人のために、いくつかの手順を削除しました。
フリム

3
著者はすでに古いステップ12,14,15を取り去っています。したがって、手順をスキップしないでください。Ubuntu Mate 16.04.1。で動作します
user4955663

9

Ubuntu LiveCDのGUIツールのみを使用して、暗号化されたデュアルブートセットアップを作成することができます。

前提条件

  • 19.04 Ubuntuインストーラー付きのUSBスティック。
  • EFIメインボードがある場合は、ディスクがGUIDパーティションテーブル(GPT)を使用していることを確認してください。この方法でMBRディスクを使用すると失敗するようです。Linuxツール(gdisk)でMBRをGPTに変換できますが、最初にバックアップを行う必要があります。パーティションテーブルを変換する場合は、後でWindowsブートローダー修正する必要があります

  • スタートバーでdisk partition、最初のオプションを選択します(設定からディスクパーティションマネージャーを開きます)。

  • プライマリパーティションを希望のUbuntuサイズに縮小します(デフォルトを使用して、500GBドライブを240GB Windows OSと240GB未割り当て領域に分割しました)。

BIOS

  • セキュアブートを無効にします(bitlockerがある場合は、毎回Windowsを安全にブートするためにビットロックを使用する必要があります)。

Ubuntu LiveCD

最後に-19.04インストーラーUSBを起動します

  • ヒットEnterデフォルトでUbuntuのインストールオプションを選択します。

  • ディスク全体を消去し、いくつかのチェックボックスが表示されている画面が表示されたら、[ その他(手動パーティション)]オプションをクリックします。そうしないと、Windowsデータが失われます。

ディスクパーティションマネージャーがディスクを読み込むと、大きな未割り当て領域ができます。それをクリックし、追加ボタンをクリックしてパーティションを作成します。

  • 最初に、500MBの/bootパーティション(プライマリ、ext4)を作成します。
  • 第二に、残りのスペースで暗号化されたボリュームを作成します。これにより、単一のLVパーティションが作成されます。選択したルート/パーティションになるように変更します。
  • その後、残りのインストールプロセスは通常どおり動作します。

初めて起動するときは、ログインして端末を開き、を実行してsudo apt-get updateからsudo apt dist-upgrade、再起動して再度ログインします。

2GBのスワップファイルが自動的に作成されます。代わりに8GBが必要な場合は、この回答をお読みください。


4
2019年5月にはこれが好ましい回答であり(実際には2012年以降機能しているようです)、コマンドラインの複雑化は必要ありません。パーティション化で、暗号化用の物理ボリュームを作成した後/dev/mapper/sdaX_crypt 、リストの上部に新しいものが表示さませんでした。このガイドでは、スクリーンショットを持っていると、それが役に立つことができ、パーティションのフォーマットを可視化:hecticgeek.com/2012/10/...
firepol

良い答え、@ Falieson!しかし、最初の14日間と17時間の調査でそれを理解していなかったので、スクリーンショットで自分の答えを書くつもりです。@firepol(hecticgeek.com/2012/10/…)によって投稿されたその記事は非常に役に立ち、その記事に続いて初めてあなたの答えは私にとって意味がありました。
ガブリエルステープルズ

また、次にWindows Bitlockerの使用を終了して、VeraCryptに切り替える必要があるときに追加したいと思います。無料でオープンソースであり、無料で、デュアルブートでうまく機能するようです。私のWindowsパーティションはこれを使用しています。また、外付けハードドライブといくつかのローカルファイルベースのボリュームも使用しています。:ここではVeraCryptに素晴らしいイントロビデオだyoutube.com/watch?v=C25VWAGl7Tw、&彼らのダウンロードページ:veracrypt.fr/en/Downloads.htmlが。ただし、ext4外付けドライブでのLinuxベースのLUKS暗号化では、付属のUbuntu Disksユーティリティを使用しています。これには、フォーマット時にLUKS暗号化チェックボックスがあります。
ガブリエルステープルズ

5

まず、Linuxパーティションの暗号化だけでは十分に安全ではない理由を指摘します。

  1. https://superuser.com/questions/1013944/encrypted-boot-in-a-luks-lvm-ubuntu-installation
  2. https://security.stackexchange.com/questions/166075/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil-maid-a
  3. https://www.reddit.com/r/linux/comments/6e5qlz/benefits_of_encrypting_the_boot_partition/
  4. https://unix.stackexchange.com/questions/422860/why-should-we-encrypt-the-system-partition-and-not-only-home
  5. https://www.coolgeeks101.com/howto/infrastructure/full-disk-encryption-ubuntu-usb-detached-luks-header/
  6. https://superuser.com/questions/1324389/how-to-avoid-encrypted-boot-partition-password-prompt-in-lvm-arch-linux

さて、私はこのチュートリアルに従いました:

  1. https://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive
  2. http://web.archive.org/web/20160402040105/http://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive

この答えで、私はLinux Mint 19.1 XFCEとのステップバイステップ(写真付き)インストールを提示していますUbuntu 18.04.2。どちらも単一のディスクで完全に暗号化されています。まず私は、インストールUbuntu 14.04.2/dev/sda5、私はので、スワップパーティションを作成していないLinux Mint 19.1Ubuntu 18.04.2、すなわち、彼らはスワップファイルを使用し、それらを使用しないでください。

Ubuntu 18.04.2 Bionic Beaver

最初に、Ubuntuインストールメディアを挿入し、マシンをUbuntuライブセッションに再起動してから、Try Ubuntu1つのターミナルを選択して開きます。

  1. sudo su -
  2. fdisk /dev/sda、その後、次のパーティションを作成します
    • ここに画像の説明を入力してください
  3. cryptsetup luksFormat /dev/sda5
  4. cryptsetup luksOpen /dev/sda5 sda5_crypt
  5. pvcreate /dev/mapper/sda5_crypt
  6. vgcreate vgubuntu /dev/mapper/sda5_crypt
  7. lvcreate -L10G -n ubuntu_root vgubuntu
    • lvcreate -l 100%FREE -n ubuntu_root vgubuntu(オプションで、を実行する代わりにlvcreate -L10G -n ubuntu_root vgubuntu、これlvcreate -l 100%FREE -n ubuntu_root vgubuntuを実行して、10GBだけでなくディスク全体の空き容量を使用できます)
    • ここに画像の説明を入力してください
  8. ターミナルを閉じずに、ディストリビューションインストーラーを開いて、他の何かを選択してインストールします。
    • /dev/sda1フォーマット/boot付きのパーティションとしてマウントext2
    • /dev/mapper/vgubuntu-ubuntu_rootマウント/ext4フォーマット。
    • /dev/sda ブートローダーのインストールとして
    • 何もマークしないでください
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
  9. 再起動せずに、Continue Using Linuxをクリックして、開いているターミナルを選択します。
  10. mkdir /mnt/newroot
  11. mount /dev/mapper/vgubuntu-ubuntu_root /mnt/newroot
  12. mount -o bind /proc /mnt/newroot/proc
  13. mount -o bind /dev /mnt/newroot/dev
  14. mount -o bind /dev/pts /mnt/newroot/dev/pts
  15. mount -o bind /sys /mnt/newroot/sys
  16. cd /mnt/newroot
  17. chroot /mnt/newroot
  18. mount /dev/sda1 /boot
  19. blkid /dev/sda5 (引用符なしでUUIDをコピーし、次のステップで使用します)
  20. echo sda5_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
  21. ファイルを作成する /etc/grub.d/40_custom
    • ここに画像の説明を入力してください
  22. 編集/etc/default/grubおよび設定
    • GRUB_TIMEOUT_STYLE=menu
    • GRUB_TIMEOUT=10
    • ここに画像の説明を入力してください
  23. update-initramfs -u
  24. update-grub
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
  25. exit
  26. reboot
  27. コンピューターを再起動した後、オプションUbuntuを選択すると、暗号化パスワードが正しく要求されます
    • ここに画像の説明を入力してください
  28. ログイン後、実行します
    • sudo apt-get update
    • sudo apt-get install gparted
  29. そして開くgpartedと、これが見つかります
    • ここに画像の説明を入力してください

より詳細な手順については、この質問の上部にあるオリジナルのチュートリアルを読むか、Googleでこれらのコマンドの使用法を検索してください。


Linux Mint 19.1シナモン

残りのLinuxインストールではrebootUbuntuマシンをMint 19.1(Live CD)インストーラーで起動し、ターミナルウィンドウを開きます

  1. sudo su -
  2. cryptsetup luksFormat /dev/sda6
  3. cryptsetup luksOpen /dev/sda6 sda6_crypt
  4. pvcreate /dev/mapper/sda6_crypt
  5. vgcreate vgmint /dev/mapper/sda6_crypt
  6. lvcreate -L10G -n mint_root vgmint
    • lvcreate -l 100%FREE -n mint_root vgmint(オプションで、を実行する代わりにlvcreate -L10G -n mint_root vgmint、これlvcreate -l 100%FREE -n mint_root vgmintを実行して、10GBだけではなく、ディスク全体の空きスペースを使用できます)
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
  7. ターミナルを閉じずに、ディストリビューションインストーラーを開いて、他の何かを選択してインストールします。
    • /dev/sda2フォーマット/boot付きのパーティションとしてマウントext2
    • /dev/mapper/vgmint-mint_rootマウント/ext4フォーマット。
    • /dev/sda2ブートローダーインストール/dev/sdaとして(以前のように選択しないでください)
    • 何もマークしないでください
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
  8. 再起動せずに、Continue Using Linuxをクリックして、開いているターミナルを選択します。
  9. mkdir /mnt/newroot
  10. mount /dev/mapper/vgmint-mint_root /mnt/newroot
  11. mount -o bind /proc /mnt/newroot/proc
  12. mount -o bind /dev /mnt/newroot/dev
  13. mount -o bind /dev/pts /mnt/newroot/dev/pts
  14. mount -o bind /sys /mnt/newroot/sys
  15. cd /mnt/newroot
  16. chroot /mnt/newroot
  17. mount /dev/sda2 /boot
  18. blkid /dev/sda6 (引用符なしでUUIDをコピーし、次のステップで使用します)
  19. echo sda6_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
  20. update-initramfs -u
  21. update-grub
    • ここに画像の説明を入力してください
    • ここに画像の説明を入力してください
  22. exit
  23. reboot
  24. コンピューターを再起動した後、オプションを選択します Linux Mint on /dev/sda2
    • ここに画像の説明を入力してください
  25. 次に、正しく起動Mint 19.1し、暗号化パスワードを要求します
    • ここに画像の説明を入力してください
  26. ログイン後、実行します
    • sudo apt-get update
    • sudo apt-get install gparted
  27. そして開くgpartedと、これが見つかります
    • ここに画像の説明を入力してください

関連リンク:

  1. アクティブなLVMパーティションのサイズを変更するにはどうすればよいですか?
  2. LVMパーティションのサイズを変更するにはどうすればよいですか?(例:物理ボリューム)
  3. https://www.tecmint.com/extend-and-reduce-lvms-in-linux/
  4. GrubチェーンローダーはWindows 8では動作しません
  5. Ubuntu 14.04 LTSで暗号化された/ bootを使用したUEFIブート

1
コンピューターにハードディスクが1つあり、暗号化されていない既存のKubuntu 18.04が1つありました。これに基づいて、最初の暗号化されていないKubuntuの近くに2番目の暗号化されたKubuntu 18.04をインストールしました。現在、両方が1台のハードディスクで正常に機能しています。詳細な回答をありがとう。
Ikrom

1
Linux Mintに関する部分は、この回答から削除する必要があります。この部分はトピックから外れており、OPから質問されていないため、答えが不必要に長くなり、このようなトピック外のフォローアップの質問につながります。
mook765

ミント関連部品の場合は-1。
user68186
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.