it-swarm-eu.dev

Multi-Boot mit vollständiger Festplattenverschlüsselung und Pre-Boot-Authentifizierung

Wie würde ich ein Multiboot-System einrichten, das die vollständige Festplattenverschlüsselung und die Authentifizierung vor dem Start unterstützt?.

Ich habe ein System mit Ubuntu, Windows 7, Windows XP und möchte Red Hat installieren. Ich benutze Grub 2 Bootloader. Welche Software würde diese Einrichtung für die vollständige Laufwerkverschlüsselung mit Pre-Boot-Authentifizierung unterstützen? Es gibt TrueCrypt für Windows Pre-Boot-Authentifizierung, aber wird es Nizza mit Grub 2 spielen? Welche andere Festplattenverschlüsselungssoftware könnte ich für Linux verwenden?

26
dabest1

Bevor Sie dies alles lesen, denken Sie daran, dass diese Technik mindestens 5 Jahre alt ist - sie ist wahrscheinlich inzwischen viel einfacher (siehe die anderen Antworten). (Aber es hat sicher Spaß gemacht, das alles herauszufinden.)

Ich habe dies vor einigen Jahren mit Fedora 10 und Windows Vista gemacht, um zu demonstrieren, wie alle Feinheiten zusammenpassen. Es war ein bisschen kompliziert (hauptsächlich, weil Windows Vista nicht "gut mit anderen spielt" und nicht gerne als zweites installiert wird), aber am Ende fand ich eine Methode, die zu mir passte. Ihr Fall ist komplexer, da Sie über 3 vorhandene Betriebssysteme verfügen und Ihrem Laufwerk ein weiteres hinzufügen möchten.

Da ich dies bei der Größe von 4 Betriebssystemen noch nie versucht habe, überlasse ich das meiste Ihnen (der tatsächlichen Neupartitionierung und dergleichen) und werde versuchen, die allgemeinen Sicherheitsprinzipien aus meiner Erfahrung zu übernehmen und auf sie anzuwenden deine Situation. Beachten Sie auch, dass ich in meinem Fall auf einem gelöschten Laufwerk von vorne angefangen habe. Dies war eher ein Experiment als ein Experten-Exposé. Nehmen Sie also ein paar Dinge mit einem Körnchen "Salz" (kein Wortspiel beabsichtigt) und machen Sie mich nicht verantwortlich. :) :)


Denken Sie daran, dies sind nur meine Notizen. Sie müssen sie an Ihre Situation anpassen. Auf geht's:

Probleme, die durch das hier beschriebene Verfahren überwunden werden

  • Die Festplatte meines Notebooks konnte nur 4 primäre Partitionen enthalten.

  • Primäre Partitionen sind die einzigen, auf denen Betriebssysteme installiert werden können (jedenfalls Windows).

  • Primäre Partitionen sind die einzigen Partitionen, von denen das System booten kann

  • Jede erweiterte Partition zählt als primäre Partition.

  • Möglicherweise sind 6 oder 7 Partitionen erforderlich.

  • TrueCrypt kann nicht ein gesamtes Laufwerk mit mehreren Partitionen, Betriebssystemen und verschiedenen Dateisystemen verschlüsseln, wenn es nur auf einem ausgeführt wird

  • TrueCrypt funktioniert nicht gut mit Grub oder einem Nicht-Windows-Bootloader.

  • Windows möchte zuerst und nur auf einer Partition installiert werden, die als "bootfähig" gekennzeichnet ist (oder wenn überhaupt keine Partitionen als "bootfähig" gekennzeichnet sind).

Vorteile am Ende

  • Nach der ersten Bootloader-Eingabeaufforderung kann das Mounten verschiedener verschlüsselter Partitionen mit Skripten automatisiert werden. (<3 Truecrypt)

  • Dateien können zwischen verschlüsselten Betriebssystemen (mit Kennwort) gemeinsam genutzt werden.

  • Jede Partition ist verschlüsselt, sogar die Auslagerungsdatei.

Wie die Bootloader zusammenarbeiten

  • Wir installieren und verwenden den Standard-Bootloader von Windows für den MBR. Dies ist, was der Computer zuerst booten wird.

  • Wir installieren GRUB (Fedoras Bootloader), aber nicht auf dem MBR. Dies steht uns lediglich zum späteren Booten zur Verfügung.

  • Wir installieren TrueCrypt, das den Windows-Bootloader übernimmt. Der Bootloader von TrueCrypt geht in den MBR. Beim Booten authentifiziert sich der Benutzer bei TrueCrypt und wird dann zum Windows-Bootloader weitergeleitet, wo die Option Vista oder Linux (tatsächlich GRUB) verfügbar wird.

  • Am Ende sah mein Startvorgang so aus:

Diagram of full-disk encrypted dual-boot process

Diagramm des vollständig festplattenverschlüsselten Dual-Boot-Prozesses (gelbe Kästchen sind verschlüsselte Partitionen; Vorhängeschlösser sind eine weitere Sicherheitsebene)

Mögliche Anpassungen für Ihre Situation

  • Ich habe Truecrypt auf der Linux-Seite nur zum Mounten der Windows-Partitionen verwendet. Ich bin mir nicht sicher, wie ich native Linux-verschlüsselte Partitionen unter Windows bereitstellen soll, daher war mein Setup eher einseitig. Sie könnten Truecrypt verwenden, um mindestens Ihr Linux-Verzeichnis /home Zu verschlüsseln und die native Linux-Verschlüsselung beispielsweise die /swap - Partition schützen zu lassen. Dadurch kann Truecrypt auf der Windows-Seite möglicherweise Ihre Linux-Dateien bereitstellen.

  • Partitionieren Sie Ihre Festplatte neu oder fügen Sie ein weiteres Laufwerk für Red Hat hinzu. Die Leute bei SuperUser wissen wahrscheinlich mehr darüber.

  • Finden Sie im Voraus heraus, wie Sie Ihre Festplatte partitionieren werden. Sie benötigen nicht so viele Partitionen wie ich.

Bedarf

  • Ein Computer mit mindestens einer Festplatte, die Sie bereinigen möchten (Sichern Sie natürlich zuerst Ihre Daten ...)

  • Installations-CDs der Betriebssysteme, die Sie installieren möchten

  • Gparted LiveCD oder LiveUSB

  • TrueCrypt

  • EasyBCD zum Ändern des Windows-Bootloaders (Es gibt eine kostenlose Version ...)


Anleitung

Sichern Sie Ihre Daten. Sie werden die Festplatte vollständig bereinigen und sehr bald neu formatieren.

Formatieren Sie das gesamte Laufwerk neu. Dazu verwende ich Gparted LiveCD. Wenn Sie Gparted nicht verwenden möchten, wird das Fedora 10-Installationsprogramm mit einem Partitionseditor geliefert. Aber es ist etwas schwieriger. Sie müssen das Fedora-Setup teilweise abschließen, um darauf zuzugreifen, die Änderungen auf die Festplatte anwenden und das Setup beenden, da Fedora nicht zuerst installiert werden sollte. (Der Partitionseditor von Windows Vista ist NICHT leistungsfähig genug. Sie können ihn hierfür nicht verwenden.) Ich empfehle dringend die Verwendung einer Gparted LiveCD oder LiveUSB.

Ich überlegte, wie ich mein Laufwerk aufteilen sollte, und nach einer Weile kam ich auf Folgendes:

Partition map

Partitionslayout für das doppelte Booten von Fedora 10 und Windows Vista mit TrueCrypt

Ich wünschte, ich hätte sie im Nachhinein anders dimensioniert, aber Sie können es tun, wie Sie wollen. Jedes Vorhängeschloss zeigt eine verschlüsselte Partition an. Die gelben Vorhängeschlösser mit „TC“ werden in Windows mit TrueCrypt verschlüsselt. Die blauen werden von Fedora verschlüsselt. Wie Sie sehen können, ist jede Partition - außer natürlich die/boot-Partition - verschlüsselt. Rot gekennzeichnete Partitionen sind für Windows. Schwarz ist für Linux.

Okay, das ist ein Setup, das für mich funktioniert. Grundsätzlich möchten Sie folgende Dinge:

  • Eine primäre Boot-Partition für Grub (der Bootloader, den Fedora für Sie installieren kann) - Ich empfehle etwa 50 bis 100 Megabyte. Kennzeichnen Sie dies beim Partitionieren nicht als "bootfähig" - Windows wird sich beschweren.

  • Eine erweiterte Partition für alle "Daten" - oder "sonstigen" Partitionen. Dies enthält Ihr Fedora/Home-Verzeichnis (im Grunde der Ordner "Eigene Dateien" von Linux), die Windows-Sicherungspartition (optional) und Ihre Linux-Auslagerungsdatei (dringend empfohlen). Die Auslagerungsdatei sollte mindestens so groß sein wie die RAM-Kapazität.

  • Eine primäre Partition für Windows Vista, auf der installiert werden soll.

  • Eine primäre Partition für Fedora 10, auf der installiert werden soll.

Partitionieren Sie Ihr Laufwerk als solches und formatieren Sie es mit den entsprechenden Dateisystemen. Sie können die obige Tabelle als Referenz verwenden.

Notieren Sie die Größe Ihrer Partitionen (in der angegebenen Reihenfolge) und deren Dateisystem. Sie benötigen dies während der Installation des Betriebssystems.

Starten Sie die Installation von Windows Vista. Sie müssen eine benutzerdefinierte Installation durchführen. Wählen Sie die primäre NTFS-Partition aus, die Sie für die Windows-Installation reserviert haben. Vergessen Sie nicht, Festplattentreiber zu laden - insbesondere auf Laptops. Wenn Ihre Windows-Installation zu etwa 70% hängt, müssen Sie die SATA-Treiber für Ihren Laptop installieren. Sobald die Treiber geladen sind und Sie die richtige Partition ausgewählt haben, installieren Sie Windows.

Starten Sie Windows nach der Installation normal und beenden Sie die Einrichtung. Verbringen Sie noch nicht zu viel Zeit damit, Dinge anzupassen. Fahren Sie die Fedora 10-DVD herunter und legen Sie sie ein, sobald sie ausgeführt wird. Booten Sie dazu und installieren Sie Fedora. Beachten Sie jedoch Folgendes:

  • Stellen Sie sicher, dass Sie ein benutzerdefiniertes Layout für Ihre Partitionierung erstellen. Fedora möchte standardmäßig Dinge löschen und das bevorzugte Partitionslayout erstellen. Lass es das nicht tun. Stellen Sie sicher, dass Sie direkt zu dem Teil gehen, in dem Sie Ihre aktuellen Partitionsinformationen anzeigen und ändern können.

  • Formatieren Sie die NTFS-Partitionen nicht. Windows ist auf einem von ihnen.

  • Stellen Sie sicher, dass der Mount-Punkt für die kleine Partition (100 MB?) Auf/boot eingestellt ist. -Überprüfen Sie "Formatieren als" und wählen Sie "ext3". Sie können diese Partition nicht verschlüsseln.

  • Setzen Sie den Einhängepunkt für die Partition für Ihr Verzeichnis/home auf ... Sie haben es erraten:/home. Aktivieren Sie "Formatieren als" und wählen Sie "ext3". Wählen Sie dann die Option "Verschlüsseln".

  • Legen Sie den Einhängepunkt für die Partition für Ihre Auslagerungsdatei als/swap fest. Linux muss es formatieren und Sie sollten natürlich "Verschlüsseln" auswählen.

  • Stellen Sie den Einhängepunkt für die Partition für Ihre Fedora-Hauptinstallation auf "/". Aktivieren Sie "Formatieren als" und wählen Sie "ext3". Wählen Sie dann die Option "Verschlüsseln".

Stellen Sie vor dem Fortfahren sicher, dass keine der NTFS-Partitionen mit einem Häkchen versehen ist. In diesem Fall werden sie formatiert und Sie müssen von vorne beginnen. Fortsetzen. Fedora warnt Sie, dass alle Daten auf den geänderten Partitionen gelöscht werden. Das ist okay. Möglicherweise müssen Sie jetzt auch Ihre Passwörter festlegen. Mach weiter und mach das.

Bald werden Sie nach dem Bootloader gefragt. Treten Sie hier vorsichtig. Schreiben Sie den Bootloader GRUB nicht in den MBR). Wenn dort "Bootloader auf/dev/sda1 installieren" steht (der "sda1" kann unterschiedlich sein), lassen Sie das Kontrollkästchen aktiviert, aber klicken Sie "Gerät wechseln" und wählen Sie stattdessen "erster Sektor der Boot-Partition".

Nach diesem Schritt sollten Sie frei zu Hause sein. Beenden Sie die Installation und starten Sie den Computer neu. Es wird direkt in Windows gestartet.

Laden Sie nach dem Laden von Windows EasyBCD herunter und installieren Sie es. Sie möchten, dass der Windows-Bootloader problemlos geändert wird. Fügen Sie dem Bootloader einen Eintrag hinzu: Klicken Sie auf "Einträge hinzufügen/entfernen" - wählen Sie die Registerkarte "Linux", wählen Sie "GRUB" aus der Dropdown-Liste und nennen Sie ihn etwas Intelligentes. Wählen Sie die Partition, die GRUB enthält, nicht Fedora. Lassen Sie das Kontrollkästchen deaktiviert.

Fügen Sie den Eintrag hinzu und starten Sie ihn neu. Sie sollten jetzt in der Lage sein, entweder Fedora oder Windows zu starten! Starten Sie Windows erneut und verschlüsseln Sie es wie folgt:

Installieren Sie TrueCrypt und erstellen Sie ein neues Volume. Wählen Sie "Systempartition oder gesamtes Systemlaufwerk verschlüsseln". Ab diesem Punkt müssen Sie die richtigen Optionen auswählen. Lies sie sorgfältig durch! Ich kann mich nicht an die genaue Reihenfolge erinnern, aber Sie müssen irgendwann "Multi-Boot" angeben. Am Ende wird gefragt, ob Windows seinen Bootloader im MBR hat oder ob ein anderer Bootloader verwendet wird (wie GRUB). Denken Sie daran: Wir verwenden den Windows-Bootloader (wir möchten, dass Truecrypt ihn "überholt").

Sobald Sie den Assistenten zum Erstellen von Volumes abgeschlossen haben, werden Sie aufgefordert, das System zu "testen". Es wird für Sie neu gestartet. Es sollte in den TrueCrypt-Bootloader booten, in den Sie Ihr Passwort eingeben. Danach sollte der Windows-Bootloader geladen werden, über den Sie entweder Linux oder Windows starten können.

Beenden Sie von hier aus die Verschlüsselung der Windows-Systempartition und denken Sie daran, alle anderen NTFS-Partitionen zu verschlüsseln, die Sie für Windows erstellt haben.

Wenn Sie fertig sind, starten Sie Linux. Es sollte zum Startmenü GRUB] gehen, in dem Sie Fedora auswählen oder Ihre Meinung ändern und zu Windows zurückkehren können. Beim Booten von Fedora werden Sie nach Ihrem Kennwort gefragt, während die verschlüsselten Partitionen bereitgestellt werden .


Tl; dr (zu lang; nicht gelesen)

Ich brauchte ein paar Versuche, um es mit zwei Betriebssystemen richtig zu machen, und verwendete Software wie EasyBCD, Truecrypt und Gparted, aber am Ende war ich erfolgreich ... für zwei Betriebssysteme. Viel Glück mit 4. Der Schlüssel ist, effektiv zu planen. Größe und Format Ihrer Partitionen richtig, dann installieren Sie die Betriebssysteme in der richtigen Reihenfolge. (Normalerweise geht Windows zuerst.)

PS. Hm, für eine einfachere Lösung, aber nicht ganz das, wonach Sie gefragt haben: Haben Sie darüber nachgedacht, 3 der 4 Betriebssysteme in virtuellen Maschinen auszuführen? Sie können den Host-Computer verschlüsseln und so gleichzeitig die anderen 3 schützen. (Wenn Sie Bedenken haben, die VHD-Dateien zu verlieren, denken Sie daran, dass Sie auch die Gastbetriebssysteme vollständig verschlüsseln können.)

25
Matt

Necro'd für Update:

Das ist jetzt viel einfacher geworden; Die neueste Version von TrueCrypt ist Linux-fähig und ermöglicht Dual-Boot-Schemata mit mehreren Partitionen und GRUB.

Vollständige Anleitung hier .

6
Steve

Die Pre-Boot-Authentifizierung (PBA) kann auf zwei Arten bereitgestellt werden:

  1. Durch Software

Wenn Sie sich ausschließlich auf Software verlassen möchten und eine Pre-Boot-Authentifizierung benötigen, dh eine Software führt die Verschlüsselung durch (vor Ort oder vor der Installation der Betriebssysteme) und installiert und verwaltet die Pre-Boot-Authentifizierungsumgebung (PBA), Beispiele für ein solches Setup und Software-Namen finden Sie hier . Wie der Artikel besagt,

FDE-Systeme erfordern einen gewissen Prozessor nd damit Strom-) Aufwand, um die Verschlüsselung und Entschlüsselung im laufenden Betrieb durchzuführen. Die Auswirkungen hängen von der Menge der Festplatten-E/A ab, die einzelne Anwendungen ausführen Nachfrage. Für Benutzer, die typische E-Mail- und Office-Produktivitätsaktivitäten ausführen, ist es unwahrscheinlich, dass die Auswirkungen auf die Leistung spürbar sind. Sie können jedoch für sehr datenintensive Aktivitäten wie die Videoverarbeitung von Bedeutung sein, es sei denn, sowohl der Hauptprozessor des Computers als auch das FDE-Produkt unterstützen Intels AES- NI-Anweisungen für hardwarebeschleunigte Ver- und Entschlüsselung.

Eine andere Lösung wäre daher die Verwendung der Hardwareverschlüsselung.

. 2. Durch Hardware

Hier können Sie ein Self-Encrypting Drive (SED) verwenden und entweder ATA-Sicherheitsfunktionen (die eine Pre-Boot-Authentifizierung wie bei einem TPM-Modul ermöglichen) oder die OPAL (2.0) -kompatible SED eines TCG verwenden und eine davon verwenden die (meist nur Windows) Software, die sie nutzen kann. Microsoft hat eine Spezifikation für solche Laufwerke erstellt (siehe --- (hier ). Wenn Sie also ein Upgrade auf Windows 8 durchgeführt haben und die Anforderungen erfüllen, initialisiert BitLocker Ihr Laufwerk und installiert eine PBA darauf, während Sie die Verschlüsselungsschlüssel verwalten.

So können Sie beispielsweise Ihre Betriebssysteme auf eine Crucial M500-SSD kopieren/neu installieren und die eigenständige SecureDoc-Software von WinMagic verwenden oder ein Upgrade auf Windows 8 BitLocker durchführen. Anschließend können Sie Ihre anderen Betriebssysteme nach einem beliebigen Schema installieren.

Seien Sie jedoch vorsichtig, da die Hardwareverschlüsselung eine Art Blackbox ist und Sie dem Hersteller vertrauen müssen, der sie implementiert hat. Gleiches gilt für nicht-libre-Software, da noch keine libre-Software OPAL-kompatible Laufwerke verwalten kann.

1
neitsab

Linux kann auf einer logischen Partition in einer erweiterten Partition installiert werden (Windows ist dasjenige, das sich weigert, von Logicals in Extended zu booten).

So booten Sie von einem logischen innerhalb eines erweiterten, ohne den Inhalt der primären Partition zu berühren:

Angenommen: Sie haben Speicherplatz für die Partition innerhalb der erweiterten Partition) und booten von einer LiveCD wie SystemRescueCD, um die Arbeit zu erledigen, nachdem die Festplatte von der logischen Partition innerhalb der erweiterten Partition gestartet wurde. Der Trick wird dank des Grub2-Bootloaders ausgeführt, der dies kann kann von einer erweiterten Partition booten.

  • Starten Sie eine LiveCD wie SystemRescueCd mit Grub2 und GParted (für die GUI-Oberfläche beim Erstellen einer Partition).
  • Erstellen Sie innerhalb der erweiterten Partition (ich verwende GParted) eine logische Partition mit dem Format ext4 (oder einer anderen, die Grub2 unterstützt).
  • Hängen Sie nun von der Konsole aus eine Partition wie/boot ein und installieren Sie grub2 mit: grub2-install/dev/sda # (wobei # die Nummer der Partition ist)
  • Erstellen Sie mit einem Texteditor die Datei /boot/grub/grub.cfg (Beispiele finden Sie im Internet).
  • Starten Sie neu und extrahieren Sie die LiveCD
  • Der PC bootet von MBR (es handelt sich um erweiterte Partitionen, GPT hat hier keinen Sinn), lädt Grub2 von dieser logischen Partition innerhalb der erweiterten Partition und kann von dort Linux laden/sich auf einer anderen logischen Partition innerhalb der Extende befinden Trennwand.

Wenn Sie kein Windows haben (am besten, wenn Sie nur ein oder mehrere Linux-Versionen haben), sind KEINE primären Partitionen erforderlich. Sie können alle Linux-Dateien in logischen Partitionen mit nur einer erweiterten Partition haben, die 100% der Windows-Partitionen übernimmt Festplatte.

Hinweis: Möglicherweise können sich BSD und andere Betriebssysteme auch in logischen Partitionen befinden. Ich habe keine Erfahrung damit. Entschuldigung!

Der große Trick: Der Grub2-Bootloader kann von innerhalb logischer Partitionen mit 0, 1, 2 oder 3 primären Partitionen booten, kann auch auf eine zweite Festplatte verketten, wenn eine zweite Festplatte vorhanden ist, und kann dem Betriebssystem auch eine zweite Festplatte erscheinen lassen, als wäre es die zuerst (mit Drivemap-Befehl) usw.

Nachteil: TrueCrypt/VeraCrypt-verschlüsseltes Windows nervt beim Booten ... es zwingt dazu, Track 0 der Festplatte mit eigenen Daten zu versehen, sodass es weder mit zwei oder mehr Windows noch mit Grub2 kompatibel ist, warum zum Teufel haben sie das getan? Programmieren Sie es nicht mit PBR-Track anstelle von MBR-Track? So können wir Multi-Boot mit verschlüsselten Fenstern durchführen (mehr als ein Fenster pro Festplatte) !!!

0
Anonimo