Linux mint шифрование при установке

Как установить Linux Mint 18.2 С шифрованием трех разделов?

Доброй ночи! Создавал недавно тему, на которую никто не ответил — Шифрование root + home + еще один хард при установке Linux Mint 18.2 Решил пересоздать, описав все в более простом ключе.

У меня дуалбут с виндой, uefi, gpt. Необходимо при установке mint 18.2 Cinnamon зашифровать /root, home и еще один раздел харда.

С тем что бы зашифровать /root и /home проблем нет, но вот с еще одним разделом харда проблемы. Когда устанавливал систему без шифрования его обычно монтировал в /mnt, если сделать так с шифрованием, то на виртуалбоксе(я сперва на нем попробовал) после загрузки черный экран, даже tty вроде бы не пашет. Почему не знаю. Может кто подскажет?

В данный момент, без шифрования у меня все вот так вот разбито.

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sdb 8:16 0 238,5G 0 disk ├─sdb4 8:20 0 94,5G 0 part ├─sdb2 8:18 0 900M 0 part ├─sdb9 8:25 0 83,8G 0 part /home ├─sdb7 8:23 0 20G 0 part ├─sdb5 8:21 0 455M 0 part ├─sdb3 8:19 0 128M 0 part ├─sdb1 8:17 0 100M 0 part /boot/efi ├─sdb8 8:24 0 38,2G 0 part / └─sdb6 8:22 0 450M 0 part sr0 11:0 1 1024M 0 rom sda 8:0 0 1,4T 0 disk ├─sda2 8:2 0 698,6G 0 part /mnt/data1 ├─sda3 8:3 0 698,6G 0 part /mnt/data2 └─sda1 8:1 0 128M 0 part

В общем, вот этот вот sda3 надо зашифровать, так же как и / и /home. Есть еще один нюанс, /root и /home на ssd, потому будут на фс btrfs, а sda3 — обычный хард, потому ext4. Заранее благодарю, очень надеюсь на Вашу помощь.

Источник

Шифрование root + home + еще один хард при установке Linux Mint 18.2

Дистрибутив Linux Mint Cinnamon 18.2 x64 Шифрование там дефолтом LUKS, как я понял. Зашифровать планировал раздел ssd и раздел обычного харда. На ssd — /root и /home с файловой системой btrfs, на обычном харде ext4, там файловая помойка, хотел ее примонтировать в mnt/data .

До того, как шифернуть реальную систему, я тут решил на «кошках» в виртуалбокс попрактиковаться, и сразу наступил на грабли.

В установщике сделал так: Выбрал ssd, откусил от него 1гб под /boot Откусил еще 30гб, пометил его как «физический том для шифрования» Затем выделил этот созданный том и выбрал ему btrfs, и точку монтирования / . Оставшиеся 10гб пометил как «физический том для шифрования», затем выделил этот том и выбрал ему btrfs, и точку монтирования /home. Теперь выбрал еще один хард, пометил его как «физический том для шифрования», затем выделил этот том и выбрал ему ext4, и точку монтирования mnt/data. Граб ставил в раздел /boot. Не знаю, правильно или нет.

После установки системы с такой вот разметкой получают на виртуалбокс черный экран. Если дополнительных хард не шифровать(тот который в mnt/data монтируется), то все нормально грузится и устанавливается, но ведь тогда этот хард, получается, не зашифрован? В итоге, совершенно непонятно, как правильно все это дело обставить.

Помимо всего этого еще есть два вопроса: 1) Нормально ли все это дело будет работать на ssd, это я про TRIM, он будет поддерживаться? 2) Повлияет ли TRIM отрицательно на криптостойкость или еще на что-либо? 3) На реальной машине у меня винда в дуалбуте, uefi, gpt. Т.е. присутствует 100 метров efi-раздела. Выглядит все так(без шифрования) 4) Хотелось бы, вводить пароль при загрузке компа лишь два раза: Первый для люкса, второй для учетной записи. Это возможно или придется еще и для того «лишнего»(ну который в /mnt/data монтировать собрался) раздела харда вводить?

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sdb 8:16 0 238,5G 0 disk ├─sdb4 8:20 0 94,5G 0 part ├─sdb2 8:18 0 900M 0 part ├─sdb9 8:25 0 83,8G 0 part /home ├─sdb7 8:23 0 20G 0 part ├─sdb5 8:21 0 455M 0 part ├─sdb3 8:19 0 128M 0 part ├─sdb1 8:17 0 100M 0 part /boot/efi ├─sdb8 8:24 0 38,2G 0 part / └─sdb6 8:22 0 450M 0 part sr0 11:0 1 1024M 0 rom sda 8:0 0 1,4T 0 disk ├─sda2 8:2 0 698,6G 0 part /mnt/data1 ├─sda3 8:3 0 698,6G 0 part /mnt/data2 └─sda1 8:1 0 128M 0 part

Граб мне куда ставить? Без шифрования я граб ставлю на sdb, а с шифрованием так тоже прокатит или в /boot запихивать?

Источник

Linux mint шифрование при установке

(если не единственное) решение для такой конфигурации — это при установке Linux Mint 21.1 выбрать ввод пароля при входе в систему и шифрование домашнего каталога;

Еще есть veracrypt, и возможность просто создать файл-контейнер с шифрованной FS монтируя его по необходимости. Но если есть желание/необходимость шифровать все пользовательские данные — шифрованный /home пожалуй что удобнее всего.

установка системы с такими параметрами НЕ СОПРОВОЖДАЕТСЯ уничтожением уже имеющихся на диске пользовательских данных;

Сопровождается или уничтожением данных на форматируемых разделах, или геморроем в попытках их случайно не затереть. А инициализация шифрованного пространства в любом случае требует его форматирования, насколько я помню.

каталог /home/timeshift зашифрован не будет, то есть Timeshift нельзя будет использовать для резервного копирования пользовательских данных (он у меня сейчас резервирует не только систему, но и скрытые файлы и подкаталоги в моём домашнем каталоге)?

Timeshift в принципе не предназначен для резервного копирования пользовательских данных. Это средство создания контрольных точек для отката системы, не более. Кроме того — сильно зависит от используемой FS. Если ext4 — то он работает одним образом, если btrfs — другим. Помесь ежа с ужом, в общем.
Его конечно можно пытаться использовать как средство резервного копирования на ext4, но результат может оказаться совсем не тем, что ожидался.

prusony Сообщения: 235 Зарегистрирован: 04 май 2017, 11:33 Решено: 4 Благодарил (а): 155 раз Поблагодарили: 66 раз Контактная информация:

Установка системы с шифрованием пользовательских данных

Плюсую к «Вере» . На рабочем компе, к которому доступ возможен кого угодно, спокойно храню под Верой всё что «моё». Когда нужно — монтируется виртуальный диск.

demonlibra Сообщения: 835 Зарегистрирован: 12 авг 2017, 09:09 Решено: 13 Откуда: Ростов-на-Дону Благодарил (а): 29 раз Поблагодарили: 198 раз Контактная информация:

Установка системы с шифрованием пользовательских данных

Можно зашифровать весь диск, оставив только разделы /boot и /boot/efi
Можно ограничиться контейнером, таким как luks, veracrypt, truecrypt, куда Вы спрячете «важные» данные.
Всё зависит от целей и глубины Вашей паранои.

slant Сообщения: 4264 Зарегистрирован: 21 июн 2017, 18:09 Решено: 82 Благодарил (а): 51 раз Поблагодарили: 1838 раз Контактная информация:

Установка системы с шифрованием пользовательских данных

truecrypt — мертв, после странной истории. Провели аудит кода сообществом (на предмет ошибок и надежности), ничего не нашли, потом вдруг автор выпустил последнюю версию, которая только декодирует содержимое контейнеров (нет функций создания и записи внутрь) и выпил все остальные — куда дотянулся. И пропал с горизонта.
Veracrypt — форк truecrypt.

Амдир Сообщения: 35 Зарегистрирован: 11 июн 2018, 20:28 Решено: 1 Благодарил (а): 8 раз Контактная информация:

Установка системы с шифрованием пользовательских данных

История получила продолжение — я всё-таки поставил на домашний компьютер Linux Mint 21.1 Cinnamon 64bit, при установке выбрал ввод пароля при входе в систему и шифрование домашнего каталога, но похоже, что домашний каталог зашифрован не был: когда загружаюсь с LiveDVD, раздел с домашним каталогом монтируется без пароля, все файлы видны и без проблем читаются. Пытаюсь теперь сообразить, что с этим делать дальше ;-(

Вообще, если попытаться очертить границы моей «паранойи», то на данный момент меня беспокоят три вещи:

1. Telegram — там нельзя просто выйти из системы в два клика, а при следующем включении компьютера войти по логину и паролю (как в том же Skype, например). Чтобы разлогиниться, нужно заходить в параметры профиля, а логиниться заново потом придётся по коду, который высылают на мобильное устройство, по-другому никак. То есть вся процедура авторизации выстроена в расчёте на то, что пользователь один раз авторизуется на каждом из своих устройств, а дальше будет просто открывать клиентскую программу без ввода пароля. Это удобно на смартфоне или планшете, благо смартфон или планшет обычно у каждого свой, внутренняя память на современных устройствах под Android по умолчанию шифруется, а в настройках можно указать разблокировку экрана по паролю. В компьютере всё сложнее. Похожая ситуация с почтой, т.к. Thunderbird при работе с GMail тоже не спрашивает пароль.

2. Локальные копии переписки — та же почта, например, хранится в скрытом подкаталоге домашнего каталога; такая же ситуация — с Telegram и Skype (если я правильно понимаю). И очень похожая ситуация — с браузером: его файлы (кэш, куки, история, закладки и т.д.) тоже хранятся в скрытом подкаталоге домашнего каталога.

3. Раздел подкачки — но это актуально только в том случае, если там что-то остаётся после выхода из GNU/Linux (спящий режим я не использую).

Всё остальное — это собственно документы, их при необходимости можно просто в запароленных архивах хранить, или для большей надёжности — в зашифрованных контейнерах с помощью того же VeraCrypt. А вот с тремя пунктами выше (или с первыми двумя, если третий не актуален) так не получается. Причём в случае с домашним компьютером это скорее чисто теоретический интерес, но в случае с рабочим компьютером и особенно с ноутом — вполне себе практический. На ноуте я скорее всего попробую зашифровать весь SSD целиком. Рабочего компьютера у меня пока своего нет, но в скором времени ожидается, и там мне скорее всего придётся устанавливать GNU/Linux параллельно с Windows, то есть установка GNU/Linux на зашифрованный раздел в этом случае, как я понимаю, может оказаться слишком рискованной (из-за того, что Windows может определить этот раздел как неразмеченную область диска и стереть его). На домашнем компьютере у меня тоже второй системой стоит Windows, плюс в случае создания шифрованного раздела для GNU/Linux добавляется ещё очень большой геморрой с временным переносом всех пользовательских файлов на какой-нибудь внешний носитель. Поэтому меня так и заинтересовал флажок «Зашифровать мою домашнюю папку» в инсталляторе Mint 😉

Источник