Как сделать BIOS/UEFI Flash Drive с полным шифрованием диска
Полное шифрование диска Ubuntu 18.04 теперь работает на флешках с полной установкой.
Возможность отдельно шифровать домашний каталог / домашний раздел была исключена.
Как сделать зашифрованный флэш-накопитель BIOS/UEFI с разными паролями для дома и системы, используя скрипт?
4 ответа
Флешка BIOS/UEFI с полным шифрованием диска
Я играл с руководством Падди Ландау " Полное шифрование системы": https://ubuntuforums.org/showthread.php?t=2399092
Из коробки скрипт работает только UEFI.
С базой mkusb возможно практически все BIOS/UEFI.
Начните со стандартной установки mkusb Live на флэш-накопитель (4 ГБ или более).
Затем создайте постоянную установку mkusb на флэш-диск, используя значения по умолчанию (16 ГБ или более).
Как только mkusb завершит постоянную установку, откройте gparted и удалите sdx4 и sdx5.
См. https://help.ubuntu.com/community/ManualFullSystemEncryption.
Выполните пункт 6.4. Подробный процесс: https://help.ubuntu.com/community/ManualFullSystemEncryption/DetailedProcess.
Завершите пункт 4.2.1. Создание новых разделов sdx4-system, sdx5-swap* и sdx6-data*.
Загрузите Live USB в режиме UEFI.
Заполните пункт 4.2.2-Подготовка к установщику и запустите установщик.
Запустите установщик согласно пункту 4.2.3-Установка Ubuntu.
На данный момент флешка будет только UEFI.
- Теперь смонтируйте загрузочный раздел ESP и скопируйте ESP/EFI/ubuntu/grub.cfg и перезапишите ESP/boot/grub/grub.cfg.
Ваша загрузочная флешка теперь будет иметь зашифрованные системные файлы, домашние файлы и файлы подкачки и будет загружать либо BIOS, либо UEFI.
Заметки:
- * Отдельные разделы home, swap и NTFS не обязательны.
- Многие люди рекомендуют не использовать своп с загрузочным USB или SSD из-за страха износа.
- Раздел подкачки, если он используется, может быть зашифрован с помощью ecryptfs-utils.
- Раздел NTFS, если он используется, можно зашифровать с помощью VeraCrypt, чтобы его можно было использовать как в Linux, так и в Windows.
- Если возникают проблемы с повторным использованием диска установщика при второй зашифрованной установке, убедитесь, что / mnt / root / был удален и что в fstab был использован правильный UUID для sdx3.
- GParted на зашифрованном диске может не работать.
Зашифрованный 20.04 Full Install USB для загрузки режимов BIOS и UEFI
Ubuntu 20.04 упрощает полное шифрование диска.
Отключите HDD
Загрузите Live USB в режиме BIOS/Legacy, вставьте целевой диск.
Начать установку Ubuntu 20.04 LTS.
Выберите язык, клавиатуру, беспроводную связь, обычную установку, установку третьей стороны....
В поле Тип установки отметьте "Стереть диск и установить Ubuntu", а затем выберите "Дополнительные функции". Нажмите "Использовать LVM с новой установкой Ubuntu", а затем "Зашифровать новую установку Ubuntu для безопасности".
Выберите электронный ключ. Если хотите, перезапишите пустое место на диске.
Выберите страну, затем имя пользователя и пароль.
После завершения установки диск загрузится в режиме BIOS с шифрованием.
Откройте файл ISO 20.04 и скопируйте папки boot и ESP в раздел 1.
Скопируйте grub.cfg из Раздела 5 /boot/grub/ в Раздел 1 /boot/grub/, перезаписав существующий grub.cfg.
Переустановите GRUB:
sudo mount /dev/sdx1 /mnt
sudo grub-install --boot-directory=/mnt/boot /dev/sdxЗашифрованная полная установка USB теперь должна работать в режимах BIOS и UEFI.
Зашифровано 20.04 Полная установка USB с использованием виртуальной машины (сначала BIOS)
Введение
Другие ответы на этот вопрос предполагают, что у вас есть компьютер, на котором вы можете удалить внутренние диски или каким-либо образом отключить их. Это не всегда возможно или удобно. Я сделал это с помощью виртуальной машины QEMU-KVM. Если у вас уже установлена виртуальная машина QEMU-KVM на рабочем столе Ubuntu или если у вас есть компьютер под управлением Ubuntu, способный запускать виртуальные машины QEMU-KVM, то этот подход может быть проще, чем отключение жестких дисков изнутри вашего компьютера.
В общем, виртуальная машина (ВМ) отлично подходит для управления полными установками Ubuntu на USB. После того, как я настрою его, я могу загрузить полную установку USB на виртуальной машине и поддерживать ее, не закрывая свой основной рабочий стол Ubuntu.
Предпосылки
- Графический интерфейс диспетчера виртуальных машин QEMU-KVM , работающий в Ubuntu 20.04.
Следующая команда установит все необходимые пакеты:
sudo apt install --install-recommends virt-manager
- Пустой USB-накопитель, достаточно большой для полной установки Ubuntu и достаточно места для хранения ваших данных.
- ISO-образ Ubuntu 20.04, хранящийся на компьютере, на котором работает QEMU-KVM.
Найти имя USB-устройства
Нам нужно найти имя устройства USB-накопителя. Вставьте USB-накопитель и откройте приложение Gnome Disks :
Обратите внимание, мой USB-накопитель называется . Ваш может быть другим. Эта информация понадобится вам на следующем шаге.
Размонтируйте все разделы, используя кнопку черного квадрата и превратив ее в черный треугольник.
Важно размонтировать все USB-разделы USB.
Процесс установки Ubuntu на виртуальной машине потребует от виртуальной машины полного доступа к USB-накопителю, чтобы он мог перезаписывать и создавать новые разделы на виртуальной машине.
Создайте новую виртуальную машину для использования USB-накопителей.
Обычно, когда вы создаете новую виртуальную машину, вам предлагается создать виртуальный жесткий диск (файл), на котором установлена ОС. Мы хотим получить прямой доступ к USB и установить там Ubuntu. Для этого требуется новая настройка виртуальной машины. Мы также хотим создать виртуальную машину, которая загружает устаревший BIOS, и, возможно, еще одну виртуальную машину, которая загружает UEFI.
Откройте диспетчер виртуальных машин приложения и перейдите в « Файл» > «Новая виртуальная машина»:
Мы будем использовать Ubuntu 20.04.2.0 Desktop ISO. нажмите «Вперед» и перейдите к следующему экрану:
Нажмите кнопку обзора и найдите файл ISO. Затем нажмите «Выбрать том» , чтобы выбрать его. Заполните имя ОС, которую вы устанавливаете, как показано выше.
Выберите объем оперативной памяти и количество процессоров, которые вы хотите выделить для этой виртуальной машины:
Теперь наступает важная часть. нажмите « Выбрать или создать пользовательское хранилище » и введите имя своего USB-устройства:
Обратите внимание, у меня такое, у вас может быть по-другому. Если вы сделали это раньше, вы получите предупреждение Диск "/dev/sdc" уже используется другими гостями... . Нажмите Да, чтобы использовать эти диски.
Отредактируйте имя виртуальной машины, если хотите.
Выберите Настроить конфигурацию перед установкой :
Здесь вы выбираете режим BIOS или UEFI:
Выберите BIOS, если он еще не выбран.
Если вы хотите создать еще одну виртуальную машину для проверки загрузки UEFI создаваемого вами USB-накопителя, выполните все описанные выше шаги и выберите параметр UEFI для второй виртуальной машины.
Нажмите кнопку «Применить» внизу, чтобы внести изменения.
Если вы удовлетворены всеми изменениями, нажмите « Начать установку » вверху, чтобы продолжить. Это запустит только что созданную виртуальную машину и загрузится с ISO-образа, который вы выбрали в режиме BIOS. Вы должны увидеть этот экран:
Если вы видите другой экран, возможно, вы загрузились в режиме UEFI. Далее вы увидите экран с надписью « Попробуйте Ubuntu без установки » :
Выберите вариант «Попробовать Ubuntu». Это позволит вам внести необходимые изменения после установки. Вы увидите знакомый рабочий стол Ubuntu со значком «Установить Ubuntu».
Выберите «Язык», «Клавиатура», «Обычная установка», «Установить третью сторону»...
При установке введите тег «Стереть диск и установить Ubuntu», а затем выберите «Дополнительные функции». Нажмите «Использовать LVM с новой установкой Ubuntu», а затем «Зашифровать новую установку Ubuntu для безопасности».
Выберите ключ безопасности. При желании перезапишите пустое место на диске.
Выберите страну, затем имя пользователя и пароль.
Когда установка завершится, выберите « Продолжить тестирование » , чтобы внести изменения в USB, чтобы он загружался как в режимах BIOS, так и в режимах UEFI.
В виртуальной машине Ubuntu, все еще работающей из установочного ISO, откройте «диски» приложения и выберите USB-накопитель на левой панели:
Обратите внимание на имя устройства, . Это отличается от
/dev/sdcтак как сейчас мы смотрим на тот же USB изнутри виртуальной машины. Также обратите внимание на размер Раздела 1 и Раздела 5, в данном случае 537 МБ и 767 МБ соответственно. Это поможет нам найти эти разделы позже.
Смонтируйте эти две перегородки, нажав на черные треугольники и превратив их в квадраты.
Откройте приложение «Файлы» (также известное как Nautilus) на виртуальной машине и перейдите к +Другие расположения > Компьютеры > cdrom . Это установочный ISO-образ Ubuntu, с которого мы загрузились.
Откройте другие экземпляры приложения «Файлы» на виртуальной машине и перейдите к +Другие расположения > Объем 537 МБ . Это Раздел 1.
Измените размер и переместите два открытых окна «Файлы», чтобы вы могли видеть оба, как показано ниже.
Скопируйте папку
bootа также
EFIот
cdromк
Partition 1:
Теперь перейдите к « +Другие места»> «Объем 767 МБ»> «Grub» в верхнем окне «Файлы».
И в +Другие места> Том 537 МБ> загрузка> grub в нижнем окне «Файлы», как показано ниже:
Скопируйте
grub.cfgфайл из
/media/ubuntu/f31c1dbd-ea5c-487c-a14a-90b6edcea385/grubк
/media/ubuntu/4281-A2FB/boot/grubкак показано выше.
Снова откройте диски приложения и размонтируйте раздел 1 и раздел 5. закройте приложение дисков.
Откройте приложение терминала в виртуальной машине и смонтируйте раздел 1 в
/mntи установить
grubс двумя командами:
sudo mount /dev/vda1 /mnt
sudo grub-install --boot-directory=/mnt/boot /dev/vda
Обратите внимание, что здесь мы ссылаемся на USB-накопитель как
/dev/vdaи первый раздел как
/dev/vda1.
Обратите внимание, что вам не понадобится пароль для sudo при загрузке Live install.
Закройте терминал и выключите виртуальную машину. Нажмите Enter, когда будет предложено.
Перейдите на вкладку настроек виртуальной машины, когда виртуальная машина не запущена, а затем в левой панели нажмите SATA CDROM:
Удалите образ ISO и нажмите «Применить», чтобы изменения вступили в силу. Запустите виртуальную машину еще раз, чтобы она загружалась с USB-накопителя.
по какой-то причине я получаю черный экран вместо запроса фразы-пароля шифрования, когда я загружаю USB с помощью виртуальной машины. Однако слепой ввод парольной фразы и нажатие Enter работает.
Надеюсь это поможет
Зашифрованный 20.04 Full Install USB, который загружает UEFI и BIOS (UEFI First)
Введение
Описанный ниже процесс можно выполнить двумя способами:
- Либо используя настоящий компьютер, где вы можете удалить внутренние диски, либо как-то отключить их. Это не всегда возможно или удобно.
- Или с помощью виртуальной машины, такой как виртуальная машина QEMU-KVM. Если у вас уже установлена виртуальная машина QEMU-KVM на рабочем столе Ubuntu или если у вас есть компьютер под управлением Ubuntu, способный запускать виртуальные машины QEMU-KVM, то этот подход может быть проще, чем отключение жестких дисков изнутри вашего компьютера.
Предпосылки
- Настоящий компьютер как минимум с двумя портами USB, со всеми отключенными или отключенными внутренними дисками, который загружается в режиме UEFI. ИЛИ виртуальная машина, которая загружается в режиме UEFI.
- Пустой USB-накопитель, достаточно большой для полной установки Ubuntu и достаточно места для хранения ваших данных.
- Живая установка Ubuntu 20.04 USB ИЛИ ISO-образ Ubuntu 20.04, хранящийся на компьютере, на котором работает виртуальная машина.
Загрузитесь с установочного USB/DVD или ISO
Независимо от того, используете ли вы реальную машину или виртуальную машину, убедитесь, что вы загружаете Ubuntu 20.04 Live Installation USB/DVD или ISO в режиме UEFI. Вы должны увидеть что-то вроде этого:
Если вы видите фиолетовую страницу, значит, вы загрузились в режиме BIOS/Legacy. Выберите Ubuntu из меню выше, а затем попробуйте Ubuntu, как показано ниже:
Еще раз, если вы видите другой вариант « Попробовать Ubuntu без установки », значит, вы загрузились в режиме BIOS.
Это позволит вам внести необходимые изменения после установки. Вы увидите знакомый рабочий стол Ubuntu со значком «Установить Ubuntu».
Выберите «Язык», «Клавиатура», «Обычная установка», «Установить третью сторону»...
При установке введите тег «Стереть диск и установить Ubuntu», а затем выберите «Дополнительные функции». Нажмите «Использовать LVM с новой установкой Ubuntu», а затем «Зашифровать новую установку Ubuntu для безопасности».
Выберите ключ безопасности. При желании перезапишите пустое место на диске.
Выберите страну, затем имя пользователя и пароль.
Когда установка завершится, выберите «Продолжить тестирование», чтобы внести изменения в USB, чтобы он загружался как в режимах BIOS, так и в режимах UEFI.
Находясь в режиме Live Try Ubuntu, откройте приложение «Диски»:
Убедитесь, что разделы 1 и 2 не смонтированы. Обратите внимание на имена устройств. В моем случае раздел 1
/deb/vda1и раздел 2
/dev/vda2. Ваш может быть другим.
Откройте терминал и смонтируйте разделы 1 и 2 с помощью следующих команд:
sudo mkdir -p /mnt/efi
sudo mkdir -p /mnt/boot
sudo mount /dev/vda1 /mnt/efi
sudo mount /dev/vda2 /mnt/boot
Скопируйте загрузочную папку с /USB/DVD/ISO в раздел 1:
sudo cp -R /cdrom/boot /mnt/efi/
Копировать
grub.cfgиз раздела 2 в раздел 1:
sudo cp /mnt/boot/grub/grub.cfg /mnt/efi/boot/grub/
Установите модуль grub-efi не в Live Ubuntu:
sudo apt install grub-efi-amd64-bin
Это временно установит модуль, необходимый для следующего шага. Установите grub в режиме UEFI в раздел 1:
sudo grub-install --efi-directory=/mnt/efi --boot-directory=/mnt/efi/boot --target x86_64-efi --removable /dev/vda
Установите grub в режиме BIOS в разделе 2
sudo grub-install --boot-directory=/mnt/boot --target=i386-pc --removable --force /dev/vda
Закройте терминал и все другие приложения и выключите компьютер / виртуальную машину. Полная зашифрованная установка Ubuntu на USB готова. Он должен загружаться как в режиме UEFI, так и в режиме BIOS.
Надеюсь это поможет