LINUX.ORG.RU

Шифрование root + home + еще один хард при установке Linux Mint 18.2

 ,


0

1

Добрый день, господа!

Дистрибутив Linux Mint Cinnamon 18.2 x64 Шифрование там дефолтом LUKS, как я понял. Зашифровать планировал раздел ssd и раздел обычного харда. На ssd - /root и /home с файловой системой btrfs, на обычном харде ext4, там файловая помойка, хотел ее примонтировать в mnt/data .

До того, как шифернуть реальную систему, я тут решил на «кошках» в виртуалбокс попрактиковаться, и сразу наступил на грабли.

В установщике сделал так: Выбрал ssd, откусил от него 1гб под /boot Откусил еще 30гб, пометил его как «физический том для шифрования» Затем выделил этот созданный том и выбрал ему btrfs, и точку монтирования / . Оставшиеся 10гб пометил как «физический том для шифрования», затем выделил этот том и выбрал ему btrfs, и точку монтирования /home. Теперь выбрал еще один хард, пометил его как «физический том для шифрования», затем выделил этот том и выбрал ему ext4, и точку монтирования mnt/data. Граб ставил в раздел /boot. Не знаю, правильно или нет.

После установки системы с такой вот разметкой получают на виртуалбокс черный экран. Если дополнительных хард не шифровать(тот который в mnt/data монтируется), то все нормально грузится и устанавливается, но ведь тогда этот хард, получается, не зашифрован? В итоге, совершенно непонятно, как правильно все это дело обставить.

Помимо всего этого еще есть два вопроса: 1) Нормально ли все это дело будет работать на ssd, это я про TRIM, он будет поддерживаться? 2) Повлияет ли TRIM отрицательно на криптостойкость или еще на что-либо? 3) На реальной машине у меня винда в дуалбуте, uefi, gpt. Т.е. присутствует 100 метров efi-раздела. Выглядит все так(без шифрования) 4) Хотелось бы, вводить пароль при загрузке компа лишь два раза: Первый для люкса, второй для учетной записи. Это возможно или придется еще и для того «лишнего»(ну который в /mnt/data монтировать собрался) раздела харда вводить?

NAME   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sdb      8:16   0 238,5G  0 disk 
├─sdb4   8:20   0  94,5G  0 part 
├─sdb2   8:18   0   900M  0 part 
├─sdb9   8:25   0  83,8G  0 part /home
├─sdb7   8:23   0    20G  0 part 
├─sdb5   8:21   0   455M  0 part 
├─sdb3   8:19   0   128M  0 part 
├─sdb1   8:17   0   100M  0 part /boot/efi
├─sdb8   8:24   0  38,2G  0 part /
└─sdb6   8:22   0   450M  0 part 
sr0     11:0    1  1024M  0 rom  
sda      8:0    0   1,4T  0 disk 
├─sda2   8:2    0 698,6G  0 part /mnt/data1
├─sda3   8:3    0 698,6G  0 part /mnt/data2
└─sda1   8:1    0   128M  0 part

Граб мне куда ставить? Без шифрования я граб ставлю на sdb, а с шифрованием так тоже прокатит или в /boot запихивать?

К 1 - 3 не знаю. TRIM не должен влиять на криптостойкость. Вот тут тупа в гугл забил

Что касается ввода только одного пароля LUKS для root, то тебе нужно в /etc/crypttab вписать наименование, диск и расположение ключа. У меня в gentoo так: cswap [tab] /dev/sda5 [tab] /путь_к_ключу

То есть принцип таков, что вводишь пароль от root, а система имея доступ к расположению файла-ключа для swap, уже им и воспользуется.

Граб ставил в раздел /boot. Не знаю, правильно или нет.

Ну а куда же его еще ставить ? :)

Выбрал ssd, откусил от него 1гб под /boot

Это ужасно много для boot :) С головой хватит 500мб. Ядро то два три ну 5 МБ весит. Плюс парочка файлов от grub

gnigma ()
Ответ на: комментарий от gnigma

дополнение

Что касается ввода только одного пароля LUKS для root, то тебе нужно в /etc/crypttab вписать наименование, диск и расположение ключа. У меня в gentoo так: cswap [tab] /dev/sda5 [tab] /путь_к_ключу

да, и еще в /etc/fstab прописать уже путь к swapu, типа /dev/mapper/cswap вместо /dev/sda*

gnigma ()
Ответ на: комментарий от gnigma

Ну а куда же его еще ставить ? :)

Раньше ставил в корень ssd-диска на котором стоит винда и линь в дуалбуте. Значит, стоит таки в /boot его запихнуть? Винду точно увидит?

Это ужасно много для boot :) С головой хватит 500мб. Ядро то два три ну 5 МБ весит. Плюс парочка файлов от grub

Благодарю за совет!

TRIM не должен влиять на криптостойкость.

https://russianpenguin.ru/2014/06/11/включение-trim-на-ssd-с-lvm-luks/ Меня просто смущает надпись красным, что по ссылке, где-то в середине текста.

Еще один вопрос возник. Такие команды, как: lsblk -D и hdparm -I /dev/sda | grep TRIM - они показывают только факт поддержки трима для данного ssd или еще и то, что трим в данный момент включен для системы?

Эх, завтра буду все накатывать, надеюсь получится. Благодарю за то, что откликнулись в моей теме, я уже не думал получить хоть какие-нибудь ответы на вопросы. С шифрованием, походу, мало кто заморачивается.

FliXis ()
Ответ на: дополнение от gnigma

В итоге, поставил граб в /boot, все разделы таки нормально примонтировались, и пароль вводить два раза, как я и планировал.(crypt + Учетка)

FliXis ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.