Шифрование корневого раздела на Ubuntu 11.04 (пароль)

Модуль dm-crypt включен в ядро >=2.6.4

Статья рассматривает перенос Ubuntu на новый диск с зашифрованным корнем.

Дано:

• /dev/sda - текущей диск на котором установлена Ubuntu.
• /dev/sdb - новый чистый диск, который только что воткнули.
• Ввод пароля будет осуществятся с клавиатуры при включении компьютера.

Так же к ознакомлению : Шифрование разделов dm-crypt Ubuntu 8.04

Разобьем диск следующим образом:

Имя    Флаги        Тип раздела  Тип ФС    [Метка]  Размер (МБ)
----------------------------------------------------------------
sdb1   Загрузочный  Основной     Linux              509,97      # Загрузочный ext2
sdb2                Основной     Linux              3997,49     # Зашифрованный SWAP
sdb3                Основной     Linux              100002,96   # Зашифрованный корень
sdb4                Основной     Linux              395597,46   # Не зашифрованный раздел для файл помойки

Понадобятся cryptsetup

sudo apt-get install cryptsetup

Модуль dm_crypt

sudo modprobe dm_crypt

Создание шифрованного раздела ROOT

sudo cryptsetup luksFormat /dev/sdb3

A you sure? (Type uppercase yes):

Задать пароль

Введите пароль для LUKS: 
Verify passphrase: 

Подключение

sudo cryptsetup luksOpen /dev/sdb3 root

Форматирование

sudo mkfs.ext2 /dev/sdb1
sudo mkfs.ext4 -j /dev/mapper/root

sudo mkdir /tmp/root
sudo mount /dev/mapper/root /tmp/root/
sudo mkdir /tmp/root/boot
sudo mount /dev/sdb1 /tmp/root/boot/

Скопировать корень системы на новый диск

sudo rsync -AaHSxv / /tmp/root/

Папка /tmp/root/dev/ сейчас пуста, создать устройства

sudo mknod /tmp/root/dev/console -m 0600 c 5 1
sudo mknod /tmp/root/dev/null -m 0666 c 1 5

<note warning > Переход в окружение новой системы

sudo mount -t proc none /tmp/root/proc/
sudo mount -o bind /dev/ /tmp/root/dev/
sudo mount -o bind /sys/ /tmp/root/sys/
sudo chroot /tmp/root/ /bin/bash

</WRAP>

Посмотрим UUID

root@ubuntu-11-04:/# sudo blkid 
/dev/sda1: UUID="527bc30d-0b20-44cd-8f4c-e12a6fbecb4d" TYPE="ext4" 
/dev/sda5: UUID="eb993171-e029-468a-9ae7-eddec8c75fa3" TYPE="swap" 
/dev/sdb1: UUID="179dde80-2397-49ab-afd1-a156e2d8d3c2" TYPE="ext2" 
/dev/sdb2: UUID="14ed580c-4c2b-40af-85a7-3b2f205779a7" TYPE="crypto_LUKS" 
/dev/sdb3: UUID="33c0f114-23c3-43ad-832e-3170d4d43c47" TYPE="crypto_LUKS" 
/dev/mapper/root: UUID="c4e1b954-e7e1-4bc0-bd17-22e594592151" TYPE="ext4" 

Внесем изменения

...

# / was on /dev/mapper/root
UUID=c4e1b954-e7e1-4bc0-bd17-22e594592151 /      ext4    errors=remount-ro  0 1
# /boot was on /dev/sdb1
UUID=179dde80-2397-49ab-afd1-a156e2d8d3c2 /boot  ext2    noauto,noatime     1 2
# swap was on /dev/mapper/swap
/dev/mapper/swap none   swap    sw                 0 0

swap UUID=14ed580c-4c2b-40af-85a7-3b2f205779a7 /dev/urandom swap,cipher=aes-cbc-essiv:sha256,size=256,hash=sha256

Добавить модули

dm_mod
dm_crypt
cryptoloop
sha256
sha512
aes
cbc

Создать

target=root,source=UUID=33c0f114-23c3-43ad-832e-3170d4d43c47,key=none,rootdev

CRYPTDISKS_ENABLE=Yes
CRYPTDISKS_MOUNT=""
CRYPTDISKS_CHECK=blkid
CRYPTDISKS_PRECHECK=

Обновление

sudo update-initramfs -u

Установка загрузчика на sdb

sudo cp /proc/mounts /etc/mtab
sudo grub-install  /dev/sdb

Обновление

sudo update-grub

Проверим UUID

...

### BEGIN /etc/grub.d/10_linux ###

...

menuentry 'Ubuntu, с Linux 2.6.38-11-generic' --class ubuntu --class gnu-linux --class gnu --class os {
        recordfail
        set gfxpayload=$linux_gfx_mode
        insmod part_msdos
        insmod ext2
        set root='(/dev/sdb,msdos1)'
        search --no-floppy --fs-uuid --set=root 179dde80-2397-49ab-afd1-a156e2d8d3c2
        linux   /vmlinuz-2.6.38-11-generic root=/dev/mapper/root ro   quiet splash vt.handoff=7
        initrd  /initrd.img-2.6.38-11-generic
}

Выход из виртуального окружения

exit

Размонтирование

cd /
sudo umount /tmp/root/dev/
sudo umount /tmp/root/sys/
sudo umount /tmp/root/proc/
sudo umount /tmp/root/boot/
sudo umount /tmp/root/

Перезагрузка

sudo reboot

Не забыть в BIOS выбрать загрузку с диска sdb.