it-swarm-eu.dev

Multi-boot s plným šifrováním pevného disku a autentizací před bootováním

Jak bych vytvořil systém s více operačními systémy, který podporuje šifrování pevného disku a ověření před spuštěním.

Mám systém s Ubuntu, Windows 7, Windows XP a chtěl bych nainstalovat Red Hat. Používám zavaděč grub 2. Jaký software by toto nastavení podporoval, pro plné šifrování jednotek s autentizací před zavedením? Existuje autentizace TrueCrypt pro Windows před spuštěním, ale bude hrát Nice s grubem 2? Jaký jiný software pro šifrování disků bych mohl použít pro Linux?

26
dabest1

Než si toto všechno přečtete, nezapomeňte, že tato technika je stará nejméně 5 let - nyní je to pravděpodobně mnohem jednodušší (viz další odpovědi). (Ale určitě to bylo zábavné přijít na to všechno.)

Udělal jsem to před několika lety s Fedorou 10 a Windows Vista, abych předvedl, jak všechny komplikace spolu zapadají. Bylo to trochu zapojené (hlavně proto, že Windows Vista „nehraje dobře s ostatními“ a nemá ráda instalaci na druhém místě), ale nakonec jsem našel metodu, která mi vyhovovala. Váš případ je složitější, protože máte 3 existující OS a chcete přidat další na svůj disk.

Protože jsem se to nikdy nepokusil o velikost 4 operačních systémů, většinu z toho nechám na vás (skutečné re-rozdělení a podobně) a pokusím se převzít obecné bezpečnostní zásady z mé zkušenosti a aplikovat je na vaši situaci. Také si všimněte, že v mém případě jsem začal od nuly na jednotce, kterou jsem vymazal. Byl to spíše experiment než odborný výklad ... takže si vezměte pár věcí se zrnkem „soli“ (není určena žádná hříčka) a neponechávejte mě zodpovědnými. :)


Pamatujte, jsou to jen moje poznámky. Budete je muset upravit podle své situace. Takže jdeme:

Problémy překonané zde popsanou metodou

  • Pevný disk mého notebooku mohl obsahovat pouze 4 primární oddíly.

  • Primární diskové oddíly jsou jediné, na které lze nainstalovat operační systémy (stejně tak Windows).

  • Primární oddíly jsou jediné oddíly, ze kterých může systém zavést

  • Každý rozšířený oddíl se počítá jako primární oddíl.

  • Může být zapotřebí 6 nebo 7 oddílů.

  • TrueCrypt nemůže zašifrovat celou jednotku, která má více oddílů, OS a různé souborové systémy, pokud běží pouze na jednom

  • TrueCrypt nehraje dobře s Grubem nebo jiným zavaděčem mimo Windows.

  • Windows se rád instalují nejprve a pouze na oddíl označený jako „bootovací“ (nebo pokud nejsou žádné oddíly označeny jako „bootovací“)

Výhody na konci

  • Po výzvě počátečního zaváděcího zavaděče bylo možné pomocí skriptů automatizovat připojení různých šifrovaných oddílů. (<3 Truecrypt)

  • Soubory lze sdílet mezi šifrovanými operačními systémy (pomocí hesla).

  • Každý oddíl je šifrovaný, dokonce i odkládací soubor.

Jak spolupracují zavaděče

  • Nainstalujeme a použijeme výchozí zavaděč Windows k MBR. To je to, co počítač zavede jako první.

  • Instalujeme GRUB (zaváděcí zavaděč Fedory)), ale ne do MBR. To bude pro nás pouze k dispozici pro pozdější zavádění.

  • Nainstalujeme TrueCrypt, který převezme zavaděč systému Windows. Zaváděcí zavaděč TrueCrypt jde do MBR. Při spuštění se uživatel autentizuje pomocí TrueCrypt a poté se přesune do zaváděcího systému Windows, kde bude dostupná možnost Vista nebo Linux (ve skutečnosti GRUB).

  • Nakonec vypadal můj bootovací proces takto:

Diagram of full-disk encrypted dual-boot process

Schéma procesu duálního bootování šifrovaného na plný disk (žluté rámečky jsou šifrované oddíly; další úrovně zabezpečení jsou visací zámky)

Možné úpravy pro vaši situaci

  • Truecrypt jsem na straně Linux nepoužil, kromě připojení oddílů Windows. Nejsem si jistý, jak připojit nativní Linuxem šifrované oddíly ze systému Windows, takže moje instalace byla spíše jednosměrná. Můžete použít Truecrypt k šifrování alespoň vašeho Linuxu /home directory a nechte nativní Linuxové šifrování chránit /swap oddíl, například. To by mohlo umožnit Truecrypt na straně Windows připojit vaše Linux soubory.

  • Znovu rozdělte pevný disk na místo nebo přidejte další disk pro Red Hat. Lidé na SuperUser pravděpodobně o tom vědí více.

  • Zjistěte, jak se chystáte rozdělit pevný disk předem ... nepotřebujete tolik oddílů, kolik jsem použil.

Požadavky

  • Počítač s alespoň jedním pevným diskem, který jste ochotni vymazat. (Zálohujte svá data nejprve, samozřejmě ...)

  • Instalační disky OS, které chcete nainstalovat

  • Gparted LiveCD nebo LiveUSB

  • TrueCrypt

  • EasyBCD k úpravě zavaděče Windows (k dispozici je bezplatná verze ...)


Instrukce

Zálohujte svá data. Chystáte se pevný disk zcela očistit a velmi brzy jej přeformátovat.

Zformátujte celou jednotku. K tomu používám Gparted LiveCD. Pokud nechcete používat Gparted, instalátor Fedory 10 je dodáván s editorem diskových oddílů. Ale je to trochu složitější. Abyste se k němu dostali, musíte částečně dokončit nastavení Fedory, použít změny na disk a poté ukončit nastavení, protože Fedora by neměla být nejprve nainstalována. (Editor oddílů systému Windows Vista NENÍ dostatečně výkonný. K tomu jej nelze použít.) Důrazně doporučuji použití LivePartu Gparted LiveCD nebo LiveUSB.

Přemýšlel jsem o tom, jak rozdělit svůj pohon a po chvíli jsem přišel s tímto:

Partition map

Rozložení oddílu pro duální spouštění Fedory 10 a Windows Vista s TrueCrypt

Přál bych si, abych je pozměnil jinak, ale můžete to udělat, jak chcete. Každý zámek označuje šifrovaný oddíl. Žluté visací zámky s písmenem „TC“ jsou v systému Windows šifrovány pomocí TrueCrypt. Modré jsou šifrovány Fedorou. Jak vidíte, každý oddíl - kromě samozřejmě spouštěcího oddílu - je šifrován. Oblasti označené červeně jsou určeny pro Windows. Černá je pro Linux.

Dobře, takže toto je nastavení, které pro mě funguje. V zásadě budete chtít tyto věci:

  • Primární spouštěcí oddíl, který umístí Grub (zavaděč Fedora pro vás může nainstalovat) - doporučuji asi 50 až 100 megabajtů. Při vytváření oddílů to neoznačujte jako „bootovací“ - Windows si stěžují.

  • Rozšířený oddíl pro uložení všech „datových“ nebo „různých“ oddílů. Tím se uloží váš adresář Fedora/home (v zásadě složka „My Documents“ v systému Linux), záložní oddíl Windows (volitelný) a váš odkládací soubor Linux (vysoce doporučeno). Odkládací soubor by měl být alespoň tak velký jako kapacita vaší RAM.

  • Primární oddíl pro systém Windows Vista, který má být nainstalován.

  • Primární oddíl pro Fedora 10, na který má být nainstalován.

Rozdělte disk jako takový a nezapomeňte jej naformátovat pomocí příslušných systémů souborů. Výše uvedenou tabulku můžete použít jako referenci.

Zapište si velikost diskových oddílů (v pořádku) a jejich souborový systém. To budete potřebovat během instalací operačního systému.

Zahajte instalaci systému Windows Vista. Budete nuceni provést vlastní instalaci. Vyberte primární oddíl NTFS, který jste si rezervovali pro instalaci systému Windows. Nezapomeňte načíst ovladače pevného disku - zejména do notebooků. Pokud je instalace systému Windows přibližně 70%, musíte do notebooku nainstalovat ovladače SATA. Po načtení ovladačů a výběru správného oddílu nainstalujte systém Windows.

Po instalaci systému Windows spusťte do něj normálně a dokončete nastavení. Ještě trávit příliš mnoho času přizpůsobením věci. Jakmile je spuštěn, vypněte jej a vložte disk DVD Fedora 10. Nabootujte a nainstalujte Fedoru. Berte však na vědomí následující:

  • Určitě se rozhodnete pro rozdělení vytvořit vlastní rozvržení. Fedora bude chtít věci smazat a ve výchozím nastavení vytvořit své preferované rozvržení oddílů. Nenechte to udělat. Ujistěte se, že jdete přímo k části, kde si můžete prohlédnout a upravit své aktuální informace o diskových oddílech.

  • Neformátujte oddíly NTFS. Windows je na jednom z nich.

  • Nezapomeňte nastavit bod připojení malého oddílu (100 MB?) Na/boot. - Zaškrtněte „Format as“ a vyberte „ext3“. Tento oddíl nelze šifrovat.

  • Nastavte přípojný bod pro oddíl v adresáři/home na ... uhádli jste:/home. Zaškrtněte „Format as“ a vyberte „ext3“ a poté vyberte možnost „Encrypt“.

  • Nastavte připojovací bod pro oddíl pro odkládací soubor jako/odkládací. Linux ji bude muset naformátovat a měli byste samozřejmě vybrat „Šifrovat“.

  • Nastavte přípojný bod pro oddíl pro vaši hlavní instalaci Fedory na „/“. Zaškrtněte „Format as“ a vyberte „ext3“ a poté vyberte možnost „Encrypt“.

Před pokračováním se ujistěte, že žádný z oddílů NTFS nemá vedle nich zaškrtnutí. Pokud ano, budou zformátovány a budete muset začít znovu. Pokračovat. Fedora vás upozorní, že odstraní všechna data z upravených oddílů. To je v pořádku. Možná budete muset nastavit hesla nyní. Jděte do toho a udělejte to.

Brzy se vás zeptá na zavaděč. Opatrně zde procházejte. Nezapisujte do MBR bootovací zavaděč GRUB). Když se objeví „Instalujte zaváděcí zavaděč na/dev/sda1“ („sda1“ se může lišit) - ponechte políčko zaškrtnuté, ale klikněte na „Změnit zařízení“ a místo toho zvolit „první sektor spouštěcího oddílu“.

Po tomto kroku byste měli být doma doma. Dokončete instalaci a restartujte počítač. Zavede se přímo do Windows.

Po načtení systému Windows stáhněte a nainstalujte EasyBCD. Budete chtít, aby snadno upravoval zavaděč systému Windows. Přidejte položku do zavaděče: klikněte na „Přidat nebo odebrat položky“ - vyberte kartu „Linux“, v rozevírací nabídce vyberte „GRUB“ a pojmenujte ji inteligentní. Vyberte oddíl, který obsahuje GRUB, ne Fedoru. Zaškrtávací políčko nechte nezaškrtnuté.

Přidejte položku a zkuste restartovat počítač. Nyní byste měli být schopni zavést systém do Fedory nebo Windows! Znovu spusťte systém Windows a zašifrujte jej následujícím způsobem:

Nainstalujte TrueCrypt a vytvořte nový svazek. Zvolte „Šifrovat systémový oddíl nebo celou systémovou jednotku“. Od této chvíle budete muset vybrat správné možnosti. Přečtěte si je pozorně! Nepamatuji si přesnou posloupnost, ale v určitém okamžiku musíte zadat „Multi-boot“. Nakonec se zeptá, zda má Windows zaváděcí zavaděč v MBR nebo zda je použit jiný zaváděcí zavaděč (jako GRUB). Pamatujte: používáme zaváděcí zavaděč Windows (chceme, aby jej Truecrypt „předběhl“).

Po dokončení průvodce vytvořením svazku budete vyzváni k testování systému. Restartuje se za vás. Měl by se spustit do zavaděče TrueCrypt, kam zadáte heslo. Poté by měl načíst spouštěcí zavaděč systému Windows, do kterého můžete zavést systém Linux nebo Windows.

Odtud dokončete šifrování systémového oddílu Windows a nezapomeňte zašifrovat všechny další oddíly NTFS, které jste vytvořili pro Windows.

Až budete hotovi, zkuste bootování do Linuxu. Měl by jít do zaváděcí nabídky GRUB), kde můžete vybrat Fedoru nebo změnit názor a vrátit se zpět do Windows. Při zavádění Fedory budete požádáni o heslo, protože připojí šifrované oddíly .


Tl; dr (Příliš dlouho; nečetl)

Trvalo mi několik pokusů, abych to napravil se dvěma OSy, a použil jsem software jako EasyBCD, Truecrypt a Gparted, ale nakonec jsem byl úspěšný ... pro 2 OS. Hodně štěstí s 4. Klíčem je efektivní plánování. Správně upravte a formátujte oddíly a poté nainstalujte operační systémy ve správném pořadí. (Obvykle Windows jde jako první.)

PS. Hm, Pro jednodušší řešení, i když ne úplně to, co jste požadovali: Uvažovali jste o spuštění 3 ze 4 operačních systémů ve virtuálních strojích? Hostitelský stroj můžete zašifrovat a tím chránit ostatní 3 současně. (A pokud se obáváte o ztrátu souborů VHD, pamatujte, že můžete plně zašifrovat také hostující OS.)

25
Matt

Necro'd pro aktualizaci:

To se nyní stalo mnohem snazším; nejnovější verze TrueCrypt je si vědoma Linuxu a umožňuje schémata duálního bootování zahrnující více oddílů a GRUB.

Úplné pokyny zde .

6
Steve

Ověřování před spuštěním (PBA) vám může být poskytnuto dvěma způsoby:

  1. Prostřednictvím softwaru

Pokud se chcete spoléhat výhradně na software a vyžaduje předběžnou autentizaci, tj. Jeden software provede šifrování (na místě nebo před instalací operačních systémů) a nainstaluje a spravuje předběžné autentizační prostředí (PBA), příklady takového nastavení a názvy softwaru najdete zde . Jak uvádí článek,

Systémy FDE zahrnují některé procesní (a tedy výkonové) režijní náklady na provádění šifrování a dešifrování za běhu, a jeho dopad závisí na množství diskových I/O, které jednotlivé aplikace poptávka. Pro uživatele, kteří provádějí typické činnosti v oblasti produktivity e-mailů a kanceláří, je nepravděpodobné, že dopad na výkon bude znatelný - ale může to být významné pro činnosti s vysokou intenzitou dat, jako je zpracování videa, pokud hlavní procesor počítače a produkt FDE nepodporují Intel AES- Instrukce NI pro hardwarově akcelerované šifrování a dešifrování.

Dalším řešením by tedy bylo využití hardwarového šifrování.

. 2. Prostřednictvím hardwaru

Zde můžete použít Self-Encrypting Drive (SED) a použít buď bezpečnostní funkce ATA (které umožňují předběžnou autentizaci jako modul TPM), nebo jít na TCED OPAL (2.0) kompatibilní SED a použít s ním jednu z (většinou pouze pro Windows) software, který je dokáže využít. Microsoft o těchto jednotkách provedl specifikaci, viz zde , takže pokud jste upgradovali na Windows 8 a splnili požadavky, BitLocker inicializuje vaši jednotku a na ni nainstaluje PBA při správě šifrovacích klíčů.

Můžete například zkopírovat/přeinstalovat své operační systémy na Crucial M500 SSD a použít samostatný software SecureDoc WinMagic, nebo pokud jste upgradovali na Windows 8 BitLocker. Poté můžete nainstalovat další operační systémy podle libovolného schématu.

Buďte opatrní, protože hardwarové šifrování je druh blackboxu a musíte důvěřovat výrobci, který jej implementoval. Totéž platí pro neregulérní software, protože žádný libre software dosud není schopen řídit jednotky kompatibilní s OPAL.

1
neitsab

Linux lze nainstalovat na logický oddíl uvnitř rozšířeného oddílu (okna jsou ta, která odmítá spouštění z logiky uvnitř rozšířeného).

Jak nabootovat z vnitřku logiky uvnitř rozšířeného bez toho, abyste se dotkli obsahu primárního oddílu:

Předpokládejme, že máte rozdělený prostor uvnitř rozšířeného oddílu) a pro spuštění práce z LiveCD, jako je SystemRescueCD, poté, co se doen HDD zavede z logického oddílu uvnitř rozšířeného oddílu ... trik se provádí díky zavaděči Grub2, který to dokáže , můžete zavést systém z rozšířeného oddílu.

  • Spusťte jakýkoli LiveCD jako SystemRescueCd, který má Grub2 a GParted (pro rozhraní GUI při vytváření oddílu)
  • V rámci rozšířeného oddílu vytvořte (používám GParted) logický oddíl s formátem ext4 (nebo jakýkoli jiný, který Grub2 podporuje)
  • Nyní z konzoly připojte takový oddíl jako/boot a nainstalujte grub2 pomocí: grub2-install/dev/sda # (kde # je číslo oddílu)
  • Pomocí textového editoru vytvořte /boot/grub/grub.cfg (ukázky viz internet)
  • Restartujte a vyjměte LiveCD
  • PC se zavede z MBR (mluvíme o rozšířených diskových oddílech, GPT zde nemá žádný smysl), načte Grub2 z tohoto logického oddílu uvnitř rozšířeného a odtud může načíst Linux/pobývat na jiném logickém oddílu uvnitř prodloužení rozdělit.

Navíc, pokud nemáte Windows (nejlépe říct, pokud máte pouze jeden nebo více Linuxů), není potřeba ŽÁDNÉ primární oddíly, můžete mít všechny Linux uvnitř logických oddílů pouze s jedním rozšířeným oddílem, který zabírá 100% HDD.

Poznámka: Možná BSD a další OS mohou být také uvnitř logických oddílů, nemám s nimi žádné zkušenosti, promiňte!

Velký trik: Zavaděč Grub2 může zavádět z vnitřních logických oddílů, které mají 0, 1, 2 nebo 3 primární oddíly, může také přenést řetězec na druhý HDD, pokud je přítomen druhý HDD, může také způsobit, že se druhý HDD objeví OS, jako by to byl nejprve (s příkazem drivemap) atd.

Spodní strana: TrueCrypt/VeraCrypt zakódovaný Windows naštve, jak se bootuje ... nutí mít stopu 0 disku s vlastními daty, takže není kompatibilní se dvěma nebo více Windows ani s Grub2, proč v pekle nenaprogramujte ji pomocí stopy PBR místo stopy MBR? takže můžeme dělat multi-boot se šifrovanými okny (více než jedno okno na disk) !!!

0
Anonimo