Wéi verschlësselt Dir Voll Disk beim Installéiere vun Ubuntu 22.04

Linux Verdeelungen hunn eng super Aarbecht gemaach fir zousätzlech Schutz ze kréien andeems se voll Disk Verschlësselung bréngen an de Maart Leader sinn.

Ubuntu ass och mat ville Feature gebündelt an Disk Verschlësselung ass ee vun hinnen. Voll Disk Verschlësselung aktivéieren ass entscheedend fir déi, déi hir privat Donnéeën zu all Präis ofséchere wëllen, och wann Ären Apparat geklaut gëtt, well et erfuerdert datt Dir de Passwuert bei all Boot gitt.

Déi voll Disk Verschlësselung kann nëmme aktivéiert ginn beim Installéiere vum Betribssystem, well déi voll Disk Verschlësselung gëtt op all Partition vun Ärem Drive applizéiert, wat och d'Boot an d'Swap Partition enthält. An dëst ass de Grond firwat mir verlaangt sinn et vum Ufank vun der Installatioun z'aktivéieren.

Dëse Schrëtt-fir-Schrëtt Tutorial wäert Iech guidéieren wéi Dir voll Disk Verschlësselung op Ubuntu 22.04 aktivéiere kënnt a fir dësen Zweck benotze mir de LVM (Logical Volume Management) a LUKS (fir Verschlësselungszwecker).

  • E bootbar USB-Laufwerk.
  • Internetverbindung mat genuch Bandbreedung fir grouss Dateien erofzelueden.
  • UEFI aktivéiert Motherboard.

Awer ier Dir op de Prozess spréngt, loosst eis eng kuerz Iddi iwwer d'Virdeeler an Nodeeler vun der Disk Encryption hunn.

All Feature ass mat senge Vir- an Nodeeler gebündelt an dëst ass och uwendbar am Fall vun der Disk Verschlësselung. Also et ass ëmmer eng gutt Iddi ze wëssen wat ze erwaarden a wat net vun de Schrëtt déi wäerte maachen.

  • Schützt Är sensibel Donnéeën virum Déif - Jo, dëst ass déi spannendst Feature vun der Scheifverschlësselung well Är privat Donnéeën ëmmer geséchert sinn och wann Äre System geklaut gëtt. Dëse Punkt ass méi passend am Fall vu mobilen Apparater wéi Laptops déi méi Chancen hunn fir geklaut ze ginn.
  • Späichert Är Donnéeën vun der Iwwerwaachung - D'Chancen datt Äre System gehackt gëtt sinn minimal op Linux, awer ka gemaach ginn wann de Benotzer net intelligent genuch ass fir sech vu fësche Scams ze schützen. Och wann Äre Computer ënner Attack ass, kann den Hacker net op Är Donnéeën zougräifen, wat en anere Beweis ass deen et erméiglecht.

  • Performance Impakt - Dëst kann nëmme mat wéineg Ressourcen op d'Systemer applizéiert ginn, well de modernen Computer d'Verschlësselung ouni Problem handhaben kann, awer trotzdem fannt Dir e bësse méi lues Lies- a Schreifgeschwindegkeet beim Gebrauch.

No eis ass voll Disk Verschlësselung ëmmer déi schlau Wiel well et vill Virdeeler bitt, während et einfach ass d'Nodeeler mat e puer méi Ressourcen ze iwwerwannen. Also wann Dir ok sidd mat e bësse Performance drop fir besser Sécherheet, loosst eis de Verschlësselungsprozess starten.

Verschlësselt de ganzen Disk an Ubuntu 22.04

Dëst ass Ufängerfrëndleche Guide an et soll Iech duerch all Schrëtt guidéieren mëttlerweil kënne fortgeschratt Benotzer nach ëmmer dovunner profitéieren.

Besicht déi offiziell Ubuntu Download Säit a wielt d'Ubuntu 22.04 LTS Versioun, déi automatesch ufänkt erofzelueden.

Fir den Ubuntu ISO Bild op den USB Drive ze flashen, benotze mir Balena Etcher, deen automatesch den OS erkennt deen Dir am Moment benotzt. Wann Dir fäerdeg sidd Balena Etcher z'installéieren, installéiere se op Ärem System.

Fir d'ISO-Datei ze verbrennen, öffnen balenaEtcher a wielt d'Optioun Flash from Datei a wielt déi kierzlech erofgeluede Ubuntu 22.04 ISO Datei.

Als nächst, wielt de Drive op deem mir d'ISO Datei flashen wëllen. Wielt d'Optioun \Select Zil an et wäert all op Ärem System montéierte Fuerwen oplëschten.Vun den verfügbaren Optiounen, wielt den USB oder DVD Drive.

Wann mir eis USB-Laufwerk erfollegräich geflitzt hunn, ass et Zäit fir vum USB-Laufwerk ze booten. Fir vum USB ze booten, restart Äre System a benotzt F10, F2, F12, F1 oder DEL wärend Äre System opstart. Vun do aus, musst Dir Ären USB als Boot Drive wielen.

Soubal mir iwwer USB gestart sinn, kënne mir op d'Partitionéierung an d'Verschlësselungsdeel weidergoen. Dëst kéint e puer nei Benotzer iwwerwältegt well et komplex ausgesäit, awer Dir musst just all Schrëtt verfollegen an Dir kritt Äre System a kenger Zäit verschlësselt.

NOTÉIERT: E puer Kommandoen sinn ënnerschiddlech fir Nvme SSD Benotzer, also liest w.e.g. d'Instruktioune ier Dir de Kommando applizéiert wéi mir se getrennt hunn wann néideg.

Wann Dir an Ubuntu boot, kritt Dir zwou Optiounen: Probéiert Ubuntu an Installéiere Ubuntu. Wéi mir d'Partitionen verschlësselen, musse mir e Live Ëmfeld benotzen. Also wielt déi éischt Optioun mam Label Probéiert Ubuntu.

Klickt op Aktivitéiten uewe lénks a gitt Sich no Terminal. Hit Enter op dat éischt Resultat an et wäert den Terminal fir eis opmaachen. Als nächst wiesselt op de Root Benotzer, well all d'Befehle, déi mir benotze wäerten administrativ Privilegien erfuerderen.

$ sudo -i

Wéi déi kommend Kommandoen héich op BASH vertrauen, loosst eis vun eiser Default Shell op BASH duerch de folgende Kommando wiesselen:

# bash

Als nächst, identifizéieren d'Installatiounsziel, mir sinn erfuerderlech all montéiert Späichergeräter mat dem folgenden Kommando ze lëschten:

# lsblk

Dir kënnt d'Zilpartition ganz einfach duerch d'Gréisst identifizéieren an an de meeschte Fäll gëtt se als sda a vda benannt. A mengem Fall ass et sda mat der Gréisst vun 20GB.

Dës Sektioun ass nëmme fir Iech applicabel wann Dir HDD fir SATA SSDs benotzt. Also wann Dir een sidd mat Nvme SSD ausgestatt, gëtt d'Verännerlech Nimm allocéieren am Schrëtt hei ënnen erkläert.

Wéi mäi Zil-Apparat sda genannt gëtt, muss ech de folgende Kommando benotzen:

# export DEV="/dev/sda"

Wann Dir een sidd deen Nvme benotzt, ass den Nummschema fir Ären Zilapparat als /dev/nvme$ {CONTROLLER}n$ {NAMESPACE}p$ {PARTITION} also wann et nëmmen eng Partition ass, da wier et hu méiglecherweis en ähnlechen Numm wéi de Kommando:

# export DEV="/dev/nvme0n1"

Elo, loosst eis d'Variabel fir de verschlësselte Gerätsmapper konfiguréieren duerch de folgende Kommando:

# export DM="${DEV##*/}"

All Nvme Apparat brauch 'p' am Suffix also benotzt gegebene Kommandoen fir Suffix ze addéieren:

# export DEVP="${DEV}$( if [[ "$DEV" =~ "nvme" ]]; then echo "p"; fi )"
# export DM="${DM}$( if [[ "$DM" =~ "nvme" ]]; then echo "p"; fi )"

Fir eng nei GPT Partitionstabell ze kreéieren, benotze mir de sgdidk Utility mat dem folgenden Kommando:

# sgdisk --print $DEV

Elo kënne mir sécher all verfügbar Daten ewechhuelen, awer wann Dir dëse System niewent existente Partitionen installéiert, vermeit w.e.g. dëse Schrëtt.

Fir d'Daten ze formatéieren, benotzt de folgende Kommando:

# sgdisk --zap-all $DEV

Mir ginn eng 2MB Partition fir BIOS-Modus GRUB's Kärbild, 768MB Bootpartition, an 128MB fir den EFI Dateisystem, an de verbleiwen Raum gëtt dem Benotzer zougewisen, wou Dir Är gewënschte Donnéeën späichere kënnt.

Benotzt déi gegebene Befehle een nom aneren fir Ären Drive ze partitionéieren:

# sgdisk --new=1:0:+768M $DEV
# sgdisk --new=2:0:+2M $DEV
# sgdisk --new=3:0:+128M $DEV
# sgdisk --new=5:0:0 $DEV
# sgdisk --typecode=1:8301 --typecode=2:ef02 --typecode=3:ef00 --typecode=5:8301 $DEV

Fir den Numm vun de Partitionen z'änneren, benotzt déi gegebene Kommandoen:

# sgdisk --change-name=1:/boot --change-name=2:GRUB --change-name=3:EFI-SP --change-name=5:rootfs $DEV
# sgdisk --hybrid 1:2:3 $DEV

Fir kierzlech erstallt Partitionen ze lëschten, benotzt de folgende Kommando:

# sgdisk --print $DEV

Loosst eis eise Verschlësselungsprozess starten andeems Dir d'Bootpartition verschlësselt. Dir musst JO an all Mutzen tippen wann et ëm Är Erlaabnis freet.

# cryptsetup luksFormat --type=luks1 ${DEV}1

Elo, loosst eis d'OS-Partition verschlësselen duerch de folgende Kommando:

# cryptsetup luksFormat --type=luks1 ${DEV}5

Fir weider Installatioun musse mir déi verschlësselte Partitionen opmaachen andeems Dir déi folgend Kommandoen benotzt fir d'Boot- an OS-Partitionen opzemaachen.

# cryptsetup open ${DEV}1 LUKS_BOOT
# cryptsetup open ${DEV}5 ${DM}5_crypt

Dëse Schrëtt ass nëmmen applicabel wann Äre System mat Nvme SSD ausgestatt ass. Benotzt déi folgend Kommandoen fir d'Boot- an OS-Partitionen ze verschlësselen:

# cryptsetup luksFormat --type=luks1 ${DEVP}1
# cryptsetup luksFormat --type=luks1 ${DEVP}5

Elo, loosst eis déi verschlësselte Partitionen opmaachen well et néideg ass fir eis weider an der Installatioun ze veraarbecht.

# cryptsetup open ${DEVP}1 LUKS_BOOT
# cryptsetup open ${DEVP}5 ${DM}5_crypt

Dëst ass ee vun de wichtegste Schrëtt wéi wann net gemaach, den Installateur deaktivéiert d'Fäegkeet fir Dateiesystem ze schreiwen. Benotzt de folgende Kommando fir d'Formatéierung unzefänken:

# mkfs.ext4 -L boot /dev/mapper/LUKS_BOOT

Wann Äre System mat HDD a SATA SSD ausgestatt ass, benotzt de folgende Kommando fir et an FAT16 ze formatéieren:

# mkfs.vfat -F 16 -n EFI-SP ${DEV}3

Also wann Äre System Nvme SSD benotzt, kënnt Dir déi 3. Partition einfach mat dem folgenden Kommando formatéieren:

# mkfs.vfat -F 16 -n EFI-SP ${DEVP}3

LVM ass eng vun deene Funktiounen déi ech am meeschte bewonneren. Och wann Dir keng LVM Feature benotzt, aktivéiert et wäert Äre System net schueden an an Zukunft, wann Dir eng Feature braucht déi LVM bitt, kënnt Dir se ouni Probleemer benotzen.

Hei wäerte mir 4GB op d'Swap-Partition allokéieren déi Disk Space benotzt wann de System aus der Erënnerung leeft. Mir allocéieren och 80% vum fräie Raum fir ze root, sou datt de Benotzer säin Disk Space bis maximal Potenzial benotze kann.

Natierlech kënnt Dir et no Äre Gebrauchsfäll änneren a souguer an Zukunft änneren. Benotzt déi gegebene Kommandoen een nom aneren an Äre System wäert LVM prett sinn a keng Zäit:

# pvcreate /dev/mapper/${DM}5_crypt
# vgcreate ubuntu--vg /dev/mapper/${DM}5_crypt
# lvcreate -L 4G -n swap_1 ubuntu—vg
# lvcreate -l 80%FREE -n root ubuntu--vg

Et ass Zäit den Ubuntu Installer unzefänken. Just miniméiert den Installateur an Dir fannt den Installateur um Heembildschierm.

Egal ob Dir mat normaler Installatioun oder minimal gitt, et ass un Iech, awer e puer Optioune musse gewielt ginn fir Iech eng besser Erfahrung ze kréien, an déi Updates installéieren an Drëtt-Partei-Treiber a Codecs déi sécher Är Benotzererfarung verbesseren a spueren Dir Zäit no Installatioun.

An der Sektioun vum Installatiounstyp, wielt d'Optioun mam Label Eppes anescht wat eis hëlleft fir Partitionen ze managen déi mir just manuell erstallt hunn.

Hei fannt Dir verschidde Partitionen mam selwechten Numm. Dir kënnt den ursprénglechen einfach z'identifizéieren well den Installateur déi geholl Gréisst ernimmt. Elo, loosst eis mat LUKS_BOOT ufänken.

Wielt LUKS_BOOT a klickt op de Knäppchen änneren.

Elo wielt den Ext4 Journaling Dateisystem an der éischter Optioun. Aktivéiert d'Partitionsoptioun Formatéieren an am Mountpunkt wielt /boot.

Ähnlech wielt ubuntu–vg-root a klickt op de Changement Knäppchen. Hei, wielt den Ext4 Journaling Dateisystem an der éischter Optioun. Aktivéiert d'Partitionsoptioun Formatéieren an an der leschter, wielt d'Optioun \/.

Elo wielt ubuntu–vg-swap_1 a klickt op d'Optiounsknäppchen. Wielt d'Swap Beräich Optioun an dat ass et.

Finaliséiert d'Ännerungen a wielt Är aktuell Positioun.

Nodeems Dir de Benotzer erstallt hutt, klickt net op de Knäppchen installéieren elo well mir e puer Kommandoen applizéieren just nodeems en neie Benotzer erstallt gouf. Erstellt de Benotzer mat engem staarke Passwuert.

Just nodeems Dir e Benotzer erstallt hutt, öffnen Ären Terminal a benotzt déi gegebene Befehle wéi mir d'Verschlësselung op GRUB aktivéieren ier d'Installatioun ufänkt:

# while [ ! -d /target/etc/default/grub.d ]; do sleep 1; done; echo "GRUB_ENABLE_CRYPTODISK=y" > /target/etc/default/grub.d/local.cfg

Wann d'Installatioun fäerdeg ass, klickt op weider Testen wéi mir op e puer Ännerungen ginn, déi eis nach ëmmer erfuerderen e bootbaren Drive ze benotzen.

An dëser Sektioun wäerte mir Drive montéieren, erfuerderlech Packagen installéieren an e puer néideg Ännerungen maachen fir d'Verschlësselung ze maachen. Also öffnen Ären Terminal a befollegt déi gegebene Schrëtt:

Chroot gëtt benotzt fir Zougang zu de Partitionen op deenen mir Ubuntu just installéiert hunn. Benotzt déi gegebene Befehle, vun deenen een d'Montage Drive an d'Schafe vu Chroot-Ëmfeld involvéiert.

# mount /dev/mapper/ubuntu----vg-root /target
# for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done 
# chroot /target
# mount -a

Cryptsetup Package wäert verantwortlech sinn fir verschlësselte Dateien beim Bootzäit ze spären a mir kënnen et einfach mam gegebene Kommando installéieren:

# apt install -y cryptsetup-initramfs

D'Schlësseldatei gëtt benotzt fir de Passwuert fir d'Entschlësselung ze iwwerpréiwen an et gëtt bei /boot/ gespäichert, wat och eng verschlësselte Partition ass. Benotzt de gegebene Kommando fir weider ze goen:

# echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook 
# echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf

Mir wäerten eng Schlësseldatei vun 512 Bytes erstellen, et sécher maachen, an och verschlësselte Bänn derbäisetzen. Dir kënnt dat erreechen andeems Dir déi gegebene Kommandoen benotzt:

# mkdir /etc/luks
# dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1
# chmod u=rx,go-rwx /etc/luks
# chmod u=r,go-rwx /etc/luks/boot_os.keyfile

Dëst soll ee vun de leschte Schrëtt sinn, well mir sinn zimlech no bei der erfollegräicher Verschlësselung vun eisem System. Benotzt de folgende Kommando fir Schlësselen an der boot_os.key Datei ze addéieren.

# cryptsetup luksAddKey ${DEV}1 /etc/luks/boot_os.keyfile
# cryptsetup luksAddKey ${DEV}5 /etc/luks/boot_os.keyfile

Fir Schlësselen op crypttab ze addéieren, benotzt de folgende Kommando:

# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEV}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
# echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEV}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

Wann Dir Nvme SSD benotzt, kënnt Dir de folgende Kommando benotze fir Schlësselen op boot_os.file ze addéieren:

# cryptsetup luksAddKey ${DEVP}1 /etc/luks/boot_os.keyfile
# cryptsetup luksAddKey ${DEVP}5 /etc/luks/boot_os.keyfile

Ähnlech, fir Schlësselen an crypttab ze addéieren, benotzt de folgende Kommando:

# echo "LUKS_BOOT UUID=$(blkid -s UUID -o value ${DEVP}1) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab
# echo "${DM}5_crypt UUID=$(blkid -s UUID -o value ${DEVP}5) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

Loosst eis d'Initialramfs Dateien aktualiséieren, well et d'Spär Scripten an d'Schlësseldatei duerch de folgende Kommando addéiere wäert:

# update-initramfs -u -k all

Elo, restart Äre System an et wäert Iech op d'GRUB Pass-phrase Prompt kréien fir Äre System ze booten.

D'Haaptvirdeeler hannert dësem Guide war eng einfach ze verfollegen Prozedur ze maachen, wou souguer Ufänger hire System kënne sécheren andeems se voll Disk Verschlësselung an Ubuntu aktivéieren.