Зашифровать разделы при установке

Автор Indigo, 13 мая 2019, 19:11:18

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Листик

Не знаю. Попробуйте сначала создать таблицу разделов. После нужные разделы зашифровать, если таблица сотрется, то снова на шифрованных разделах создайте. Если бы я видел сейчас установщик на русском...а так приходится вспоминать. Я понимаю, что глупо все звучит, но у меня-то зашифровано все, тоже Stretch. Вряд ли за полгода что-то изменилось.
Физический том для шифрования я никогда не выбирал. Сначала выбираете создать, например, файловую систему ext4, использоваться как /home, а после уже шифруете (выделяете раздел - пункт вверху "настроить шифрование").

Indigo

Цитата: Листик от 27 мая 2019, 10:04:33Физический том для шифрования я никогда не выбирал. Сначала выбираете создать, например, файловую систему ext4, использоваться как /home, а после уже шифруете (выделяете раздел - пункт вверху "настроить шифрование").

Я практически полностью уверен, что пробовал делать и так. Просто ничего не вышло.

Вот скрины. Сначала создаём сами разделы (/root -- sda2):



Затем помечаем их как физические тома для шифрования:



После чего конфигурируем их:



Цитата: Листик от 27 мая 2019, 10:04:33Я понимаю, что глупо все звучит

Ничего подобного, нормально всё звучит для такой ситуации. Наоборот, я очень признателен Вам за единственный практический отзыв.

Листик

В общем, попробовал сейчас запуститься со своего загрузочного диска, дошел до этого места (извините, без скринов, просто не умею их делать).

Ручная разметка диска. Делаете таблицу размеров без всякого шифрования. Далее вверху выбираете пункт настройка шифрования для томов (у вас он configure encrypted volumes). Над ним и под ним пункты выбирать не нужно! Не знаю, чем они отличаются. Но я эту строку указывал.

Дальше устанавливать не стал, но все интуитивно понятно должно быть.
     


alexxnight

Не правильно.
/boot раздел должен быть в начале.
далее 200ГБ выделяете одним разделом, шифруете, делаете на шифрованном разделе LVM и логические тома под /, swap, и еще под какие-нибудь нужные Вам разделы. Только все 200 ГБ не раздавайте под разделы сразу, оставьте хвостик...

оставшиеся 1,8 Тб - видимо под винду?

Я об этом уже писал выше...
Таким образом, как Вы показали, Вы создаете себе проблемы в будущем...

Indigo

Цитата: Листик от 27 мая 2019, 19:12:47В общем, попробовал сейчас запуститься со своего загрузочного диска, дошел до этого места (извините, без скринов, просто не умею их делать).

Спасибо, что не поленились попробовать. Тут вся фишка в том, чтобы дойти до самого конца процедуры разметки. Потому что по скринам у меня тоже всё правильно, но разметка завершается с ошибкой.
Я понял, что Вы предлагаете. Не совсем понимаю логику установщика в этом случае, но в самое ближайшее время тоже попробую так сделать.

Цитата: alexxnight от 27 мая 2019, 20:28:24/boot раздел должен быть в начале.

Уже очень давно не должен.
Как можно было заметить, для меня важнее скорость работы системы, чем скорость её загрузки. Странно, что не принуждаете делать его на ext2.

Цитата: alexxnight от 27 мая 2019, 20:28:24делаете на шифрованном разделе LVM [...]

Дался Вам этот LVM. Он что, надёжности прибавляет? Нет. Тогда зачем?

Цитата: alexxnight от 27 мая 2019, 20:28:24оставшиеся 1,8 Тб - видимо под винду?

Под всё остальное, не относящееся к системе. Трукриптовые разделы, незашифрованные файлопомойки и т.д. Может быть, под какой-нибудь другой Unix или Linux.
Устанавливать Винду у меня нет ни желания, ни необходимости.

Листик

#35
Indigo,

Попытайтесь, интуитивно кажется, что у вас проблема именно с выбором томов. Система просто не видит раздел /. Я пробовал создавать физический том под уже существующий раздел /home при переустановке, и после при загрузке нового линукса у меня спрашивался пароль только для / и раздела подкачки.  А /home определялся уже потом, когда система была загружена, его получалось открыть, введя пароль. А так (по моему способу) при загрузке пароль будет спрашиваться на каждый зашифрованный раздел. Я ввожу три раза. Не очень удобно, но привык.

Листик

Не знаю, актуально ли еще -), но совсем недавно я переустановил систему, поэтому напишу здесь алгоритм для Buster (пока опять не забыл). Извините, но без картинок. Может, какие-то шаги являются избыточными, но после таких танцев с бубном у меня все получилось.

1. На этапа разметки диска выбираем метод "вручную".

2. Переходим сразу к таблице разделов, ничего не выбирая вверху (физические тома для шифрования и пр. - пока не трогаем): указываем точки монтирования и файловые системы (например, /home ext4, раздел подкачки, /boot ext4, / ext4). Шифрование и прочие нестандартные опции не выбираем. Настройка разделов закончена.

3. Выбрать "настроить шифрование для томов" (4-ый пункт сверху).

4. Согласиться на форматирование.

5. Создать шифрованные тома (выбрать галочками - все по умолчанию - настройка раздела закончена на каждый раздел). N.B. Раздел /boot не шифруем!

6. Вводим пароли.

7. Опять видим таблицу разделов примерно в таком виде:

Шифрованный том (sda1)

> # 1 35,3 Gb - в этой нижней строке (двойной щелчок мыши) еще раз указываем точку монтирования (например, /).

Так для каждого шифрованного тома (для подкачки просто указываем, что используется в качестве раздела подкачки).

8. Закончить разметку разделов, записать изменения на диск.

9. PROFIT!!!

alexxnight

и при перезагрузке Вы будете по нескольку раз вводить пароли для расшифровки каждого раздела... И главное, должно быть без ошибок...

Листик

Цитата: alexxnight от 10 ноября 2019, 19:37:43и при перезагрузке Вы будете по нескольку раз вводить пароли для расшифровки каждого раздела... И главное, должно быть без ошибок...

Это да, два раза ввожу. Но для третьего - раздела подкачки - пароль почему-то не спрашивает, хотя на девятке требовалось и к нему. Сие хорошо или плохо?

alexxnight

Как Вам?... Я делаю так, чтобы 1 раз вводить.

Листик

Цитата: alexxnight от 12 ноября 2019, 06:34:03
Как Вам?... Я делаю так, чтобы 1 раз вводить.

Да я имел в виду ситуацию с отсутствием ввода пароля для раздела подкачки. Почему не спрашивает? Я же его тоже зашифровал.

Меня два раза вводить пароль напрягает, конечно, но не вот что очень.

Листик

Ваш вариант на практике работает? ТС смог сделать, что хотел?

alexxnight

На практике работает. ТСу было предложено настроить LVM после шифрования, таким образом решается масса проблем...
Есть еще вариант, настроить 1 пароль на раздел boot, например, а там расположить ключи от других разделов, чтобы автоматом подтягивать их при расшифровке.
Это решит проблему неудобства вводить много паролей от разделов, но не решит проблему (большую) изменения размера разделов, если не будет хватать места...

ek-nfn

Цитата: Листик от 12 ноября 2019, 13:39:32Меня два раза вводить пароль напрягает, конечно, но не вот что очень.
что мешало замене раздела подкачки на файл подкачки на зашифрованном разделе? Пароль вводится один раз даже на 9-м дебиане + полное отсутствие проблем с изменением размера файла подкачки в случае необходимости.
Debian 12  -> Devuan 5 xfce -> MX Linux 23

Листик

#44
.