У меня есть Lenovo ThinkPad E560, и я пытаюсь создать полностью загрузочную зашифрованную систему с предзагрузочной аутентификацией.

Моя текущая установка состоит из Windows 10 и Ubuntu 16.04 на 240G SSD со следующим разделением MBR :

NAME/PATH   SIZE      TYPE   MOUNT POINT     COMMENT
/dev/sda1   512M      ext4   /boot            (Ubuntu 16.04)
/dev/sda2   20480M    LVM
   swap     512M      SWAP
   ubuntu   19968M    ext4   /                (Ubuntu 16.04)
/dev/sda3   102400M   NTFS   C:               (Windows 10)
/dev/sda4   REST      NTFS   D: | /mnt/data   (shared os data)

Я использую виртуальный ящик для загрузки своего раздела Ubuntu в качестве виртуальной машины, когда я работаю под Windows.

Теперь я недавно получил 500G SSD. Из соображений безопасности в будущем я должен зашифровать все на этом ноутбуке. Я также узнал, что теперь я должен включить UEFI, чтобы некоторые вещи работали. Поэтому в настоящее время я ищу хороший способ объединить все это и обдумать порядок шагов, которые я должен предпринять.

Я думал о следующем макете GPT :

NAME/PATH   SIZE      TYPE   MOUNT POINT     COMMENT
/dev/sda1   250M      EFI
/dev/sda2   1024M     ext4   /boot            (Ubuntu 18.04)
/dev/sda3   102400M   NTFS   C:               (Windows 10)
/dev/sda4   124928M   LVM
   swap     2048M     SWAP
   ubuntu   30720M    ext4   /                (Ubuntu 18.04)
   kali     30720M    ext4   /                (Kali 2018.2)
   home     61440M    ext4   /home            (shared linux home)
/dev/sda5   REST      NTFS   D: | /mnt/data   (shared os data)

Сейчас я пытаюсь найти способ полностью зашифровать диск с предварительной загрузкой, предпочтительно используя встроенный модуль TPM. Я много читал о шифровании Windows с помощью Veracrypt после установки и использую встроенные модули шифрования систем Linux, но я надеялся, что есть лучший способ, зашифровывающий весь SSD сразу - как сначала ввести пароль для дешифрования и затем выберите, какую ОС загружать через GRUB .

К сожалению, я не нашел ничего полезного. Спасибо за предложения заранее!

|источник

1 ответ1

-1

Дэвид.

Вот что вам нужно сделать, но ПЕРЕД КАКИМ-ЛИБО ФИЗИЧЕСКИ ОТКЛЮЧЕНИЕМ ЛЮБОГО ДРУГОГО HDD/SSD на вашем оборудовании, так что у вас есть только пустой, непорочный и неформатированный SSD для экспериментов, не рискуя потерять данные на других ваших дисках:

Ia) ПРОВЕРЬТЕ, ЧТО ИЛИ НЕ ВАШ SSD - SED (диск с самошифрованием):

Ib) ЕСЛИ ВАШ SSD - САДА

  • включите шифрование на накопителе, но поскольку ваша установка представляет собой LENOVO THINKPAD, лучше включить шифрование с помощью "hdparm" в соответствии с инструкциями в конце того же ответа на тот же пост выше, чтобы ваш Thinkpad не сломал ваш SSD.

  • Разбейте ваш SSD для установки Windows 10: загрузите вашу установку с последнего gparted Live-CD или с Linux Mint Live-CD или с Ubuntu 18.04 Live-CD (и вам будет предложено ввести пароль SED при загрузке) и разбить диск SED на GPT, создать /dev /sda1 (512 МБ, EFI) и /dev /sda2 (100 ГБ, NTFS)

  • перезагрузитесь в BIOS (теперь вам будет предложено ввести пароль SSD для разблокировки вашего SED) и:

    А) включить модуль TPM;

    B) включить ТОЛЬКО UEFI (БЕЗ НЕДОСТАТОЧНОСТИ BIOS);

    В) включить SECURE BOOT и установить ключи PKgub, KEK и dbx

  • загрузитесь с установочного диска Windows 10 и выберите установку на раздел 100 ГиБ

  • если все в порядке и ваш TPM работает, вам не будет предложено ввести пароль для входа в Windows при загрузке ОС Windows 10 (потому что процесс загрузки будет аутентифицирован модулем TPM и, следовательно, без пароля - в глазах Microsoft! - просим разрешить загрузку вашей установки)

  • перейдите в Панель управления> BitLocker> "включить BitLocker", заботясь о сохранении копии ключа BitLocker на USB-накопителе: по завершении перезагрузите компьютер; ваш раздел Windows теперь ПРОГРАММНО-ЗАПИСАНО ПО BitLocker, и вам будет предложено ввести пароль Windows / BitLocker при входе в Windows.

  • теперь, если все в порядке, у вас будет диск SED, шифрующий на лету ВСЕ ДАННЫЕ ВО ВСЕХ РАЗДЕЛАХ на этом диске + зашифрованная ОС BitLocker Windows 10 с TPM, отслеживающим последовательность загрузки Windows 10 для предотвращения "злой девы" атакует вашу операционную систему Windows 10, и теперь настало время установить вашу ОС Linux (и, кстати, я считаю, что Linux Mint 18.3 Xfce и Linux Mint 19 Xfce намного лучше Ubuntu 18.04, когда речь заходит о проблемах безопасности, так что, возможно, вам стоит подумать о том, чтобы иметь жесткую оснастку).

Ic) ЕСЛИ ВАШ SSD НЕ САДА:

  • не обращайте внимания на "включить шифрование на диске" и выполните те же действия, что и выше. Единственное отличие состоит в том, что вы не будете защищены от атак методом "грубой силы" ("словарные" атаки), чтобы взломать ваш пароль BitLocker на этом SSD, в случае кражи вашего ноутбука, особенно если вы оставили его в "приостановленном" или "спящем" режиме. .. (и, кстати, если вы хотите, чтобы взломать этот пароль BitLocker стало немного труднее, отключите спящий режим в ОС Windows 10 и удалите все файлы гибернации, которые могут присутствовать, поскольку пароль BitLocker фактически сохраняется в этом файле гибернации, чтобы взломать пароль BitLocker за 5 минут).

II.a) КАК УСТАНОВИТЬ ВАШУ UBUNTU/LINUX MINT OS БЕЗ БЕЗОПАСНОЙ ЗАГРУЗКИ

  • перезагрузитесь, зайдите в BIOS и отключите безопасную загрузку.

  • Теперь вы должны решить, какую установку ОС Linux вы хотите использовать. Вот ваши основные варианты:

  • A) EASY - Стандартная зашифрованная установка Ubuntu/Linux с разделами /boot и /root НЕ ШИФРОВАНА (очень восприимчива к атакам "злой девицы" из-за того, что целые разделы /boot и /root оставлены незашифрованными): загрузка с вашего Ubuntu/Mint установить диск /USB, выбрать «установить Ubuntu/Mint вместе с Windows 10» и выбрать шифрование раздела /home.

  • Б) ПРОМЕЖУТОЧНЫЙ - полное шифрование диска ("FDE"), включая зашифрованный / загрузочный раздел, без зашифрованного контейнера LVM+LUKS (несколько менее восприимчивый к атакам "злой девицы", так как только файл «bootx64.efi» останется незашифрованным на SSD в незашифрованной папке /boot / EFI): следуйте инструкциям пользователя linux22 в его руководстве по адресу https://community.linuxmint.com/tutorial/view/2061

  • C) EXPERT - полное шифрование диска ("FDE"), включая зашифрованный / загрузочный раздел с зашифрованным контейнером LVM+LUKS (позволяющий впоследствии установить вашу ОС Kali внутри зашифрованного контейнера LVM+LUKS, но вы должны не забыть установить ваш Kali-эквивалент раздела /boot для UNENCRYPTED /boot-раздела): у пользователя linux22 был учебник по тому же адресу, который указан выше, но теперь он заменен на учебник без контейнера LVM. Тем не менее, вы все еще можете следовать (в настоящее время) автоматизированному сценарию, созданному Callom Cameron для установки старого учебного пособия для пользователя linux22, по адресу https://github.com/CallumCameron/mint-encrypted-install или если этот сценарий уже обновлен до новый учебник, затем вы можете отправить PM здесь, в superuser, так как я сохранил в файл оригинальный учебник linux22 FDE с веб-страницей LVM+LUKS, и я отправлю его вам по электронной почте.

Не забывайте НЕ выделять все свободное место на SSD для Ubuntu/Linux LVM, чтобы впоследствии вы могли в дальнейшем разделить свой диск ВНЕ контейнера LVM+LUKS для создания раздела Linux/Windows Data.

  • D) CRYPTOMASTER - состоит из "Эксперта", установленного выше, с LVM+LUKS, где вы изменяете вышеприведенные команды, указывая установку /boot на USB-накопитель (например, /dev /sdc), таким образом расширяя зашифрованные LVM+LUKS Контейнер для этого зашифрованного USB-накопителя, который вы должны подключить к своей установке, чтобы ваша система загрузилась (но оставьте загрузчик GRUB2 установленным на SSD!). Чтобы использовать эту опцию, перед началом установки Ubuntu /Mint, как описано выше, просто разбейте ваш USB-накопитель на GPT (без создания раздела) с помощью gparted и используйте Ubuntu /Mint LiveDVD, чтобы найти назначенного /dev для этого USB-накопителя с помощью из терминала введите команду "blkid" (например, USB is /dev /sdc), а затем, во время установки ОС, измените все ссылки на команды из /dev /sda для раздела /boot на новый USB / DEV.

II.b) КАК УСТАНОВИТЬ ВАШУ убунту /LINUX MINT OS С БЕЗОПАСНОЙ BOOT

  • ПЕРЕД установкой ОС Ubuntu/Mint с использованием опции "CryptoMaster" выше, следуйте этому руководству пользователя linux22 по адресу https://community.linuxmint.com/tutorial/view/2360, но вместо метода по умолчанию используйте МЕТОД 1 («Использование оригинальные сертификаты Microsoft UEFI Secure Boot на платформе вашего ПК UEFI "), приведенные в" Приложении A - Как настроить пользовательские ключи и ключи Microsoft вместе "

II.c) ПАРОЛЬ ЗАЩИТА ЗАГРУЗЧИКОВ GRUB2

  • Чтобы дополнительно защитить свою установку от большинства "инъекций кода" и некоторых атак "злой девицы", вы должны защитить паролем загрузчик grub2.

  • следуйте инструкциям этого урока https://www.thegeekstuff.com/2011/09/grub-password-command/

  • ТЕПЕРЬ, протестируйте свою (почти) завершенную установку и сначала загрузитесь из меню GRUB2 из "Диспетчер загрузки Windows", чтобы загрузить ОС Windows 10. Если ваша Windows 10 не загружается и GRUB2 выдает вам сообщение об ошибке «ошибка: требуется имя устройства», вы должны перезагрузиться в Ubuntu/Mint OS и отредактировать AS ROOT файл «grub.cfg» в вашем каталоге »/boot/grub "(ИЛИ"/boot/grub/efi/EFI/boot ") и найдите пункт меню" Диспетчер загрузки Windows "и закомментируйте строку« cryptomount -u »с помощью #

sudo xed /boot/grub/grub.cfg

или же

sudo xed /boot/grub/efi/EFI/boot/grub.cfg

ВНИМАТЕЛЬНО и протестируйте это решение с ПУСТЫМ, НЕРАЗРЕШЕННЫМ HDD или SSD, поскольку ЕДИНСТВЕННЫЙ диск физически присутствует на буровой установке, чтобы НЕ подвергать опасности данные на других ваших дисках. Я протестировал эту схему аппаратного и программного шифрования только с помощью учебника OLD (LVM+LUKS) от linux22 на мобильных рабочих станциях DELL (модели M6400, M6600 и M6800) с процессорами i7, 16 ГБ или более ОЗУ и Samsung Evo 960/970 1 ТиБ SED SSD.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .