How to : Disk encryption with LUKS

[paxman]

Αποφασίζοντας να γυρίσω το laptop της υπογραφής από dual boot Mint-W10 σε pure Linux (Manjaro) installation ήθελα να χρησιμοποιήσω disk encryption για να είμαι ήσυχος για την προστασία των δεδομένων μου στην απευκταία περίπτωση απώλειας του.
Επέλεξα Manjaro KDE καθώς μου άρεσε  περισσότερο από όσες διανομές δοκίμασα και για να επιχειρήσω στροφή προς και να αρχίσω να εξοικειώνομαι με το Arch.
Δεν επέλεξα την "έτοιμη" διανομή αλλά το Manjaro Architect το οποίο δίνει τη δυνατότητα να στήσεις το σύστημα όπως και με ότι θες, έχοντας παράλληλα πιο φιλικό setup interface από καθαρό terminal.
Το πλάνο ήταν να έχω και τους δυο δίσκους encrypted, να ξεκλειδώνουν ταυτόχρονα, ο SSD να έχει το / partition ενώ ο HDD να είναι το /home. Με UEFI boot το μηχάνημα.
 
Η διαδικασία που ακολούθησα ήταν η εξής (sda o HDD, sdb ο SSD):

 

Μέσω του installer :

• Με partitioning tool που υποστηρίζει GPT (cgdisk, fdisk, gdisk ή parted) στον sdb δημιoύργησα GUID partition table, EFI boot partition 1GB=sdb1 (500MB προτείνεται, έδωσα παραπάνω just in case) και στον εναπομείναντα χώρο Linux partition=sdb2.
• Encrypt το sdb2 με luks δίνοντας το password που θα χρησιμοποιείται για αποκρυπτογράφηση του δίσκου σε κάθε boot και το όνομα που θα παίρνει όντας αποκρυπτογραφημένο, επέλεξα "ssd-crypt".
• Mount το sdb1 στο boot/efi και το /dev/mapper/ssd-crypt στο /
• Format το / σε ext4
• Εγκατάσταση, fstab creation & grub installation.

 

Με ολοκληρωμένη την εγκατάσταση πάμε για encryption στον HDD-sda :

• Partitioning GPT και αυτός με όλο τον χώρο εκχωρημένο ένα partition (type Linux) - sda.
• Encrypt, open, format

sudo cryptsetup luksFormat /dev/sda
sudo cryptsetup luksOpen /dev/sda hdd-crypt
sudo mkfs.ext4 /dev/mapper/hdd-crypt

 

Για να ξεκλειδώνει και ο hdd με την εισαγωγή του password για το ξεκλείδωμα του ssd απαιτείται να φτιάξουμε ένα keyfile, να το προσθέσουμε στο encrypted device (κάθε device μπορεί να δεχθεί μέχρι 10 keyfiles/passwords) και να προσθέσουμε τη σχετική εγγραφή στο /etc/crypttab αρχείο. Αναλυτικά εδώ.

Τέλος, μετέφερα το /home στον hdd και πρόσθεσα την παρακάτω εγγραφή στο fstab.

/dev/mapper/hdd-crypt /home ext4 defaults 0 2

 

Ο υπολογιστής με το που καταχωρηθεί το password για τον ssd - sdb ξεκλειδώνει μέσω του crypttab αρχείου και τον hdd - sda και δημιουργεί τα δυο unencrypted devices /dev/mapper/ssd-crypt & /dev/mapper/hdd-crypt τα οποία γίνονται mount στο / και /home αντίστοιχα.

 

Σημαντικές πληροφορίες :

• Δεν τρέχουμε ΠΟΤΕ fsck ή αντίστοιχο utility σε encrypted partition (πχ boot με live usb χωρίς να το ξεκλειδώσουμε)
• Σε encrypted state το μόνο αναγνώσιμο κομμάτι του partition είναι το luks header αρχείο το οποίο απαιτείται για να γίνει decrypted. (Very) good practice είναι να τα πάρουμε backup - εννοείται όχι πάνω στον ίδιο δίσκο καθώς να για κάποιο λόγο γίνουν corrupt δεν μπορεί να ξεκλειδωθεί το partition.

 

Πολύ κατατοπιστικό video είναι αυτό.

 

Έγινε επεξεργασία Ιανουάριος 13, 2021 από acct

[salde]

ευχαριστούμε pax

[paxman]

Σημαντική διευκρίνιση :

To backed up luks header "κουβαλάει" το password που ίσχυε τη στιγμή της αντιγραφής του.

Αν στην πορεία αλλάξουμε luks  pass (cryptsetup luksChangeKey /dev/sdxxx) και για κάποιο λόγο χρειαστεί να κάνουμε restore το header τότε θα πρέπει να χρησιμοποιήσουμε τον αρχικό κωδικό.

 

[acct]

5 hours ago, paxman said:

1GB=sdb1 (500GB προτείνεται, έδωσα παραπάνω just in case)

 

Είσαι σίγουρος;  Βέβαια, και τα δικά μου δάχτυλα καμιά φορά αρνούνται να πληκτρολογήσουν MB πια. Πού φτάσαμε! Μην ανησυχείς, το σουλουπώνω.

 

Ωραιότατη η περιγραφή, πολύ χρήσιμες και οι επισημάνσεις. Καλή συνέχεια με το σύστημα! 

[paxman]

1 hour ago, acct said:

Είσαι σίγουρος; 

Ναι, μόνο που τα υπόλοιπα 249GB βρίσκονται σε παράλληλο σύμπαν 

 

1 hour ago, acct said:

Ωραιότατη η περιγραφή, πολύ χρήσιμες και οι επισημάνσεις. Καλή συνέχεια με το σύστημα! 

Ας όψεται ο @gdp77 για την προτροπή.

 

Ευχαριστώ, όπως και τον 

@Rusty_Cookie για το "ξεστράβωμα" όταν είχα κολλήσει και άνοιξα σχετικό thread για βοήθεια.