Как установить Ubuntu с LVM и LUKS на SSD и использовать зашифрованный жесткий диск LUKS для данных на Dell Inspiron 7580
Цель для Dell Inspiron 7580 (меньший SSD и больший HDD) - установить Ubuntu (LVM/LUKS) на SSD и использовать HDD (зашифрованный LUKS) для больших файлов (например, видео, изображений, загрузки,...). Я поискал в Интернете и не нашел конкретной инструкции.
2 ответа
Мне нужно было найти много информации, чтобы добиться успеха в этой конкретной задаче, и я хотел бы поделиться ею с другими, возможно, кто-то еще найдет ответ или его часть полезными:
Что касается Ubuntu на Dell Inspiron 7580, я сначала обнаружил обескураживающую страницу:
"Стандартные образы Ubuntu могут вообще не работать в системе или могут работать некорректно, хотя Canonical и производители компьютеров попытаются сертифицировать систему с будущими стандартными выпусками Ubuntu."
Это странно, потому что специальный образ будет работать, и почему Dell не вернет изменения сообществу и Canonical? Почему они не могут предложить скачать специальное изображение? Но есть надежда, так как сейчас я использую Ubuntu 19.04 без проблем.
Некоторые основные комментарии, которые я нашел полезными:
И нет необходимости в избыточном выделении ресурсов (оставьте часть SSD пустыми). Это старые новости, которые периодически изрыгивают в некоторых блогах по поводу кликбейта ( ответ SuperUser).
Многие пользователи видят старую информацию о SSD. Теперь они такие же надежные (ненадежные?), Как и жесткие диски.(Источник: Форум Ubuntu, HotHardware, Форум Ubuntu)
И посмотрите комментарии к этому ответу Ubuntu Ask: "Работа не убивает твердотельные диски, но возраст убивает, согласно исследованию Google ".
Поэтому нет необходимости переносить раздел подкачки и var-папку с SDD на HDD.
Установка и настройка Ubuntu (19.04) на Dell Inspiron 7580
Я использовал следующий ответ в качестве отправной точки: зашифруйте установку Ubuntu 18.04 LTS с помощью ДВУХ дисков: ОС на основном SSD, /home на дополнительном жестком диске
Но прежде чем устанавливать Ubuntu, убедитесь, что ваш SSD распознается в процессе установки. На шаге "тип установки" вы можете выбрать "что-то другое" и посмотреть, отображаются ли два диска (SSD + HDD). Для меня это были BC501 NVMe ... 128GB и ST2000LM015-2E8174.
- Если оба диска распознаются, вернитесь к "типу установки", и вы можете установить LVM с шифрованием (LUKS). Он должен спросить вас, на какой диск вы хотите установить Ubuntu, и выбрать SSD "NVMe...".
- Если отображается только жесткий диск, выполните следующие действия, чтобы распознать SSD.
- Установите Ubuntu на свой меньший (обычно SSD) и проверьте (i) стереть диск, (ii) зашифровать установку и (iii) управлять LVM. Это приведет к зашифрованному SSD, но не затронет второй (обычно HDD) диск.
Когда я хотел перезапустить ноутбук, казалось, что он пытался запустить SSD, но остановился с писком, затем он запускает жесткий диск (называемый ubuntu в UEFI), который затем показывает черный экран с командной строкой GRUB. Если это произойдет с вами, пожалуйста, проверьте следующие шаги, чтобы решить проблему, в моем случае это был неправильный вариант / последовательность загрузки
- Откройте gParted (если еще не установлен: sudo apt install gparted)
- перейдите на второй жесткий диск (внимательно проверьте /dev/sd?X)
- удалить любые и все существующие разделы
- создайте новый ОСНОВНОЙ РАЗДЕЛ, используя файловую систему ext4. Вы также можете пометить его, но в этом нет необходимости. Выберите "Применить".
Один gParted готов, закройте gParted.
Теперь вы готовы установить контейнер LUKS на второй диск, а затем отформатировать его. В следующих командах замените sd? X именем вашего ВТОРИЧНОГО диска (не основного диска), например sda1: sudo cryptsetup -y -v luksFormat /dev/sd?X
Затем вам нужно будет расшифровать новый раздел, чтобы вы могли отформатировать его с помощью ext4, современной файловой системы Linux, предпочитаемой Ubuntu.
sudo cryptsetup luksOpen / dev / sd?Xsd?X_crypt
sudo mkfs.ext4 /dev / mapper / sd?X_cryptЕсли вы хотите использовать второй жесткий диск как обычный, часто используемый жесткий диск, есть способ автоматически монтировать и расшифровывать второй диск при запуске, когда ваш компьютер запрашивает пароль для расшифровки основного жесткого диска. Кроме того: я использую одну и ту же парольную фразу для ОБЕИХ дисков, так как я вижу больше проблем с двумя разными парольными фразами.
Сначала вам нужно создать ключевой файл, который действует как пароль для вашего вторичного диска, чтобы вам не приходилось вводить его каждый раз при запуске (например, пароль для шифрования вашего основного жесткого диска).
sudo dd if = / dev / urandom of = / root /.keyfile bs =1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev / sd?X /root/.keyfile
Один раз ключевой файл был создан, добавьте следующие строки в / etc / crypttab, используя nano
sudo nano / etc / crypttab.
Добавьте эту строку, сохраните и закройте файл (/ etc / crypttab).
sd?X_crypt UUID= /root/.keyfile luks, отбросить
Для меня: sda1_crypt UUID=7e0edaa0-69f9-425d-ba9d-3f5fdff14cd5 /root/.keyfile luks,discard
Чтобы получить UUID вашего раздела / и т. д., чтобы ввести его в / и т.д., используйте эту команду (вам нужно использовать sudo it, чтобы отображались все ваши разделы):
sudo blkid Требуемое
значение - это UUID /dev/sd?X, а не dev/mapper/sd?X_crypt. Также не забудьте скопировать UUID, а не PARTUUID.
Закройте и сохраните файл / etc / crypttab.Добавьте эту строку в / etc / fstab, чтобы монтировать раздел при запуске.(Будьте осторожны с этим файлом, так как он может довольно легко привести к тому, что ваша система не загрузится, см. Ответ AskUbuntu)
/ dev / mapper / sd? X_crypt / ext4 defaults 0 2
Для меня: /dev/mapper/sda1_crypt /media/Storage ext4 defaults, сбросить 0 2Затем перезапустите (введя пароль для расшифровки основного диска), и он должен расшифровать ОБЕИ основной и дополнительный диски.
Если вы обнаружите, что не можете создавать файлы в новом разделе, вероятно, он все еще принадлежит пользователю root и должен быть передан вашему пользователю. Выполните эту команду:
sudo chown: / -R
Reboot и проверьте, действительно ли это (расшифровка цепочки) так. Если дополнительный диск расшифровывается автоматически, при выборе "Другие расположения" второй диск должен появиться в списке и иметь значок замка, но этот значок должен быть разблокирован.
Я выполнил несколько советов, как заставить установщик Ubuntu распознавать SSD.
Только когда я изменил режим SATA с RST(RAID) на AHCI в UEFI, он заработал (будьте осторожны, если вы хотите иметь двойную загрузку с Windows). Некоторые другие, возможно, полезные шаги:
- Быстрый запуск Windows отключен: см. Ответ AskUbuntu.
- Безопасная загрузка (UEFI) отключена [позже снова будет включена]
- Запустите "Установить Ubuntu" с добавленным nomedeset
Подробности см. В AskUbuntu и ElementaryOS-StackExchange. - "Установить Ubuntu", нажмите "e", и вы сможете редактировать параметры загрузки grub и добавить: nvme_core.default_ps_max_latency_us=200
Подробности см. На форуме Ubuntu, AskUbuntuAnswer и AskUbuntuAnswer.
Вторая установка прошла успешно, я мог выбрать, на какой жесткий диск я хочу установить Ubuntu 19.04 (LVM+LUKS).
Черный экран, неправильный вариант загрузки
Когда я хотел перезагрузить ноутбук, казалось, что он пытается запустить SSD, но остановился с писком, затем запускается жесткий диск (называемый ubuntu в UEFI), который затем показывает черный экран с GRUB командная строка. Если это произойдет с вами, пожалуйста, проверьте следующие шаги, чтобы решить эту проблему. После запуска установщика USB я бы быстро увидел ошибку: Не удалось получить размер:0x800000000000000e.
Вероятно, ошибка не связана с SSD (см. Bugzilla и UbuntuForum):
Следуя HowToGeek, я запустил восстановление загрузки, но это не помогло.
Но я также нашел еще одну ветку, которая мне показалась полезной: я последовал ответу, не думая о USB-накопителе, а о своем SSD. Единственная разница заключалась в том, что мне пришлось выбрать FS1: (FSO: не сработало, он загрузил Grub, вероятно, с жесткого диска)
- Когда появится логотип Dell, нажмите F2, чтобы войти в программу настройки BIOS.
- Перейдите в раздел "Последовательность загрузки", убедитесь, что в BIOS установлен UEFI, отключите опцию "Legacy" и проверьте, включена ли безопасная загрузка в строке "Включить безопасную загрузку".
- Теперь самая важная операция... вернитесь в раздел "Последовательность загрузки" (меню "Общие" слева)
• нажмите "Добавить параметр загрузки". Откроется окно "Добавить параметр загрузки". Введите имя в текстовой области Имя параметра загрузки (например, "Ubuntu").
• Щелкните кнопку слева от текстовой области имени файла. Появится окно выбора загрузки EFI.
• В раскрывающемся меню Файловая система выберите FS1 (или FS0) и EFI. Затем, используя раздел каталогов, перемещайтесь, пока не сможете выбрать SHIMx64.EFI (только для Ubuntu - для других дистрибутивов используйте grubx64.efi или grubx.efi, если ваш компьютер не amd64, в любом случае он будет называться grubxxxxx.efi) в разделе файлов. - Новая опция загрузки появится вверху и в меню загрузки. Сохранить и выйти
- Теперь компьютер должен перезагрузиться без проблем.
Символическая ссылка на папки (Музыка, Изображения, … в другой папке)
ln (ссылка) -s (символическая ссылка), см. "Man ln" в терминале.
Как:
ln -s / path / to / file /path / to / symboliclink
Удалите текущую папку видео (сначала очистите ее!): Rm -rf ~/ Videos
ln -s / media / Storage / Videos ~/Videos
ln -s / media / Storage / Pictures ~/Pictures
ln -s / media / Storage / Public ~/Public
ln -s / media / Storage / Music ~/Music
ln -s / media / Storage / Downloads ~/Downloads
ln -s / media / Storage / Online-Storage ~/Online-Storage
ln -s / media / Storage / Apps-n-Backup ~/Apps-n-Backup
ln -s / media / Storage / Электронные книги + статьи ~/ Электронные книги + статьи
(см. AskUbuntu) Полезно
: есть ли разница между символической ссылкой через терминал или щелкните правой кнопкой мыши ссылку "Создать"?
Не очень полезно в этой настройке лучше с символическими ссылками gnome - Изменить путь к папкам пользователя по умолчанию?
gedit ~/.config / user-dirs.dirs
Trim and noatime для томов LVM
Как проверить, работает ли TRIM для зашифрованного тома? - Спросите Ubuntu
Многие пользователи видят старую информацию о SSD. Теперь они такие же надежные (ненадежные?), Как и жесткие диски. Так что записи на самом деле не проблема. Но я меняю разделы SSD, чтобы использовать параметр noatime.(Дополнительные сведения см. На форуме Ubuntu, blog.confirm.ch, Tldp.org, Stackpointer, Super User)
Добавьте параметр discard к параметрам cryptdevice в / etc / crypttab, чтобы LUKS принимал поведение сброса раздела LVM.(См . Самый секретный блог в мире)
/ etc / fstab: / dev / mapper / ubuntu - ошибки vg-root / ext4 =remount-ro,discard,noatime 0 1
Весь fstab выглядит так:
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/ubuntu--vg-root / ext4 errors=remount-ro,discard,noatime 0 1
# /boot was on /dev/nvme0n1p2 during installation
UUID=eb0d2e85-12cf-446e-9594-92ca1005b5cd /boot ext4 defaults 0 2
# /boot/efi was on /dev/nvme0n1p1 during installation
UUID=5295-E16A /boot/efi vfat umask=0077 0 1
/dev/mapper/ubuntu--vg-swap_1 none swap sw,discard 0 0
#mount HDD
/dev/mapper/sda1_crypt /media/Storage ext4 defaults,discard 0 2
Чтобы проверить, активен ли TRIM (после перезапуска):
сам SDD автоматически обрезается, обрабатывается systemd, вы можете проверить это с помощью:
sudo systemctl status fstrim.timer (см. Комментарий AskUbuntu и Wiki ArchLinux)
LVM: sudo dmsetup table /dev / mapper / sda1_crypt --showkeys Все готово, если последняя команда показывает результат: 1 allow_discards в конце.
Примечание: включение TRIM на зашифрованном разделе снижает безопасность шифрования, так как показывает, какие части раздела содержат данные, а какие нет. Это может помочь в некоторых типах анализа. Чтобы представить это в перспективе, это не сразу делает ваши данные видимыми, но это был бы аналогичный компромисс в плане безопасности, связанный с использованием разреженного файла в качестве зашифрованного блока или установкой зашифрованного раздела, но без инициализации свободного пространства случайными данными, как обычно рекомендуется. См. Комментарий AskUbuntu.
Для справки некоторые другие упомянутые проблемы и советы для Dell Inspiron 7580:
сбой - iwlwifi, вызывающий зависание системы на Ubuntu 19.10 - Спросить Ubuntu о
недоступном загрузочном устройстве после двойной загрузки Ubuntu 18.04 и Windows 10: - Установка - Спросить Ubuntu
Извините за мой плохой английский. Во-первых, есть варианты относительно локального для хранения больших файлов. Один из вариантов - установить ваш /home как раздел на жестком диске. Вы можете сделать это с помощью расширенного метода разбиения на разделы. Преимущество в том, что он будет работать для всех пользователей, но недостатком является то, что некоторые данные приложения (в основном файлы конфигурации) также будут перемещены на жесткий диск. Итак, другой вариант - переместить только папки, такие как документы, видео, изображения и т. Д. На жесткий диск. Я не согласен с предыдущим ответом на данный момент: правильный способ перемещения этих папок - это редактирование файла ~/.config/user-dirs.dirs и изменение значений из переменных среды, таких как XDG_DOCUMENTS_DIR, вместо создания симболических ссылок, поэтому переменные среды для эти папки будут действительными путями папок. Значки и ярлыки для этих папок будут работать нормально.
Во-вторых, вы захотите смонтировать раздел hdd при загрузке, чтобы вы могли использовать его лучше, потому что пути hdd всегда будут действительными. Вы можете установить систему на ssd как обычно, а затем создать раздел luks на hdd с помощью утилиты gnome-disks. Затем вы можете ввести пароль при загрузке или просто использовать ключевой файл, который, я думаю, будет лучшим вариантом, если ваш ssd также зашифрован.
Учебник с запросом пароля https://averagelinuxuser.com/auto-mount-encrypted-partitions-at-boot/ Учебник с ключевым файлом https://www.golinuxcloud.com/mount-luks-encrypted-disk-partition-linux/
Просто совет: монтирование раздела в /media сделает этот носитель более видимым, появится в "других местах" в наутилусе, но также будет невозможно монтировать в наутилусе и всегда будет отображать значок в тире ubuntu, как на флеш-накопителе (вы можете изменить это в gnome-tweaks, но он также скроет значки флеш-накопителя). Я предпочитаю монтировать в / mnt (например, / mnt / hdd) или просто новый каталог в / like / data. Вы можете увидеть свободное дисковое пространство на этом носителе в nautilus, просто открыв этот каталог, щелкнув правой кнопкой мыши, свойства, и вы можете добавить закладку в эту папку.