Le disque d'installation d'Ubuntu a une option pour installer Ubuntu crypté en utilisant LUKS. Cependant, il n'y a pas d'option pour effectuer une installation cryptée à côté des partitions existantes pour un scénario de double démarrage.
Comment puis-je installer Ubuntu crypté à côté d'une autre partition à partir du disque vivant ?
Tout d'abord, si vous souhaitez installer Ubuntu crypté sur un disque dur, en remplaçant toutes les partitions et systèmes d'exploitation existants, vous pouvez le faire directement à partir du programme d'installation graphique. Ce processus manuel n'est nécessaire que pour le double démarrage.
Cette réponse a été testée avec Ubuntu 13.04.
Démarrez à partir d'un DVD live Ubuntu ou d'une clé USB, et sélectionnez "Try Ubuntu".
Créez deux partitions en utilisant GParted inclus dans le disque vivant. La première partition doit être non formatée et doit être suffisamment grande pour la racine et le swap, dans mon exemple, c'est /dev/sda3 . La deuxième partition doit avoir une taille de plusieurs centaines de mégaoctets et être formatée en ext2 ou ext3, elle sera non chiffrée et montée sur /boot (dans mon exemple, c'est /dev/sda4 ).
Dans cette capture d'écran, j'ai une installation Ubuntu non cryptée existante sur deux partitions : /dev/sda1 y /dev/sda5 Dans le cercle de gauche. J'ai créé une partition non formatée dans le disque dur. /dev/sda3 et une partition ext3 dans /dev/sda4 destiné à l'installation cryptée d'Ubuntu, mis en évidence dans le cercle à droite :
Créez un conteneur LUKS en utilisant ces commandes. Remplacer /dev/sda3 avec la partition non formatée créée précédemment, et cryptcherries avec un nom de votre choix.
sudo cryptsetup luksFormat /dev/sda3
sudo cryptsetup luksOpen /dev/sda3 cryptcherriesAvertissement : Vous remarquerez que le luksFormat se termine très rapidement, car elle n'efface pas de manière sécurisée le périphérique de bloc sous-jacent. À moins que vous ne soyez juste en train d'expérimenter et que vous ne vous souciiez pas de la sécurité contre divers types d'attaques légales, il est essentiel d'initialiser correctement le nouveau conteneur LUKS avant d'y créer des systèmes de fichiers. L'écriture de zéros dans le conteneur mappé entraînera l'écriture de données fortement aléatoires sur le périphérique bloc sous-jacent. Cette opération peut prendre un certain temps, il est donc préférable d'utiliser la commande pv pour suivre la progression :
### Only for older releases, e.g. not for 19.04, `pv` is not included in the repo must be added first
# sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
# sudo apt-get update
sudo apt-get install -y pv
sudo sh -c 'exec pv -tprebB 16m /dev/zero >"$1"' _ /dev/mapper/cryptcherriesou, si vous effectuez une installation hors ligne et que vous ne pouvez pas facilement obtenir pv :
sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16MÀ l'intérieur du conteneur LUKS monté, créez un volume physique LVM, un groupe de volumes et deux volumes logiques. Le premier volume logique sera monté à / et le second sera utilisé comme swap. vgcherries est le nom du groupe de volumes, et lvcherriesroot y lvcherriesswap sont les noms des volumes logiques, vous pouvez choisir le vôtre.
sudo pvcreate /dev/mapper/cryptcherries
sudo vgcreate vgcherries /dev/mapper/cryptcherries
sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
sudo lvcreate -n lvcherriesswap -L 1g vgcherriesCréez des systèmes de fichiers pour les deux volumes logiques : (Vous pouvez également effectuer cette étape directement à partir du programme d'installation).
sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
sudo mkswap /dev/mapper/vgcherries-lvcherriesswapSans redémarrage installez Ubuntu en utilisant l'installateur graphique (le raccourci est sur le bureau dans Xubuntu 18.04), en choisissant le partitionnement manuel. Attribuez / a /dev/mapper/vgcherries-lvcherriesroot y /boot sur la partition non chiffrée créée à l'étape 2 (dans cet exemple, /dev/sda4 ).
Une fois l'installation graphique terminée, sélectionnez "continuer le test" et ouvrez un terminal.
Trouvez l'UUID des partitions LUKS ( /dev/sda3 dans ce cas), vous en aurez besoin plus tard :
$ sudo blkid /dev/sda3
/dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"Montez les dispositifs appropriés aux endroits appropriés dans /mnt et de s'y connecter :
sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
sudo mount /dev/sda4 /mnt/boot
sudo mount --bind /dev /mnt/dev
sudo chroot /mnt
> mount -t proc proc /proc
> mount -t sysfs sys /sys
> mount -t devpts devpts /dev/ptsCréez un fichier nommé /etc/crypttab dans l'environnement chrooté pour contenir cette ligne, en remplaçant la valeur UUID par l'UUID de la partition LUKS, et vgcherries avec le nom du groupe de volumes :
# <target name> <source device> <key file> <options>
cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherriesExécutez la commande suivante dans l'environnement chrooté :
update-initramfs -k all -cRedémarrez et démarrez dans l'Ubuntu crypté. Un mot de passe devrait vous être demandé.
Vérifiez que vous utilisez la partition cryptée pour / en courant mount :
$ mount
/dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
/dev/sda4 on /boot type ext3 (rw)
# rest of output cut for brevityVérifiez que vous utilisez la partition d'échange chiffrée (et non des partitions d'échange non chiffrées provenant d'autres installations) en exécutant cette commande :
$ swapon -s
Filename Type Size Used Priority
/dev/mapper/vgcherries-lvcherriesswap partition 630780 0 -1Vérifiez que vous pouvez démarrer en mode de récupération, vous ne voulez pas découvrir plus tard en cas d'urgence que le mode de récupération ne fonctionne pas :)
Installez toutes les mises à jour, qui sont susceptibles de reconstruire le ramdisk et de mettre à jour la configuration Grub. Redémarrez et testez à la fois le mode normal et le mode de récupération.
Il est possible de créer une configuration double-boot cryptée en utilisant uniquement les outils de l'interface graphique du LiveCD Ubuntu.
gdisk ), mais vous devez d'abord faire une sauvegarde. Si vous convertissez la table de partition, vous devrez réparer le boot loader de Windows après.Dans la barre de démarrage, tapez disk partition et sélectionnez la première option (ouverture du gestionnaire de partition de disque à partir des paramètres).
Réduisez votre partition primaire à la taille Ubuntu souhaitée (j'ai simplement utilisé la valeur par défaut, divisant mon disque de 500 Go en 240 Go pour le système d'exploitation Windows et 240 Go d'espace non alloué).
Enfin - Démarrez la clé USB d'installation de 19.04.
Hit Enter sur l'option par défaut Installer Ubuntu opción.
Quand vous arrivez à l'écran qui dit Effacer tout le disque et comporte des cases à cocher, cliquez sur le bouton Autre chose (partitionnement manuel). Sinon, vous perdrez vos données Windows !
Une fois que le gestionnaire de partition de disque aura chargé votre disque, vous aurez un grand espace non alloué. Cliquez dessus et appuyez sur le bouton Ajouter pour créer des partitions.
/boot partition (primaire, ext4)./ partition. En d'autres termes, appuyez sur le bouton "changer" sur /dev/mapper/sdaX_crypt et définir le point de montage à /
Lorsque vous démarrez pour la première fois, connectez-vous, ouvrez un terminal, exécutez sudo apt-get update y sudo apt dist-upgrade redémarrez et reconnectez-vous.
Un fichier d'échange de 2 Go sera créé automatiquement. Si vous souhaitez en avoir un de 8 Go, lisez la page suivante cette réponse .
Tout d'abord, il convient d'expliquer pourquoi le chiffrement de la seule partition Linux n'est peut-être pas assez sûr pour vous :
Maintenant, j'ai suivi ce tutoriel :
Sur cette réponse, je présente une installation pas à pas (avec des photos) de Linux. Mint 19.1 XFCE y Ubuntu 18.04.2 , tous deux entièrement cryptés sur un seul disque. J'ai d'abord installé Ubuntu 18.04.2 sur /dev/sda5 et je n'ai pas créé les partitions d'échange parce que Linux Mint 19.1 y Ubuntu 18.04.2 ne les utilisent pas, c'est-à-dire qu'ils utilisent des fichiers d'échange.
Tout d'abord, insérez le Ubuntu et redémarrez la machine dans le Ubuntu session en direct, puis, sélectionnez Try Ubuntu et ouvrir un terminal, puis
sudo su -fdisk /dev/sda puis, créez les partitions suivantes
cryptsetup luksFormat /dev/sda5cryptsetup luksOpen /dev/sda5 sda5_cryptpvcreate /dev/mapper/sda5_cryptvgcreate vgubuntu /dev/mapper/sda5_cryptlvcreate -L10G -n ubuntu_root vgubuntu
lvcreate -l 100%FREE -n ubuntu_root vgubuntu (facultatif, au lieu d'exécuter lvcreate -L10G -n ubuntu_root vgubuntu vous pouvez exécuter ceci lvcreate -l 100%FREE -n ubuntu_root vgubuntu pour utiliser tout l'espace libre de votre disque, au lieu de seulement 10 Go)
/dev/sda1 monté comme /boot partition avec ext2 format/dev/mapper/vgubuntu-ubuntu_root monté comme / avec ext4 format./dev/sda comme boot loader installation
Install Now après avoir sélectionné les options ci-dessusmkdir /mnt/newrootmount /dev/mapper/vgubuntu-ubuntu_root /mnt/newrootmount -o bind /proc /mnt/newroot/procmount -o bind /dev /mnt/newroot/devmount -o bind /dev/pts /mnt/newroot/dev/ptsmount -o bind /sys /mnt/newroot/syscd /mnt/newrootchroot /mnt/newrootmount /dev/sda1 /bootblkid /dev/sda5 (copier l'UUID sans les guillemets et l'utiliser à l'étape suivante)echo sda5_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
/etc/grub.d/40_custom
/etc/default/grub et mettre
GRUB_TIMEOUT_STYLE=menuGRUB_TIMEOUT=10
update-initramfs -uupdate-grub
exitrebootUbuntu et il vous demandera correctement votre mot de passe de cryptage.
sudo apt-get updatesudo apt-get install gpartedgparted vous trouverez ceci
Pour des instructions plus détaillées, lisez le tutoriel original indiqué en haut de cette question ou recherchez sur google l'utilisation de ces commandes.
Pour les autres installations Linux, reboot su Ubuntu machine, démarrer avec Mint 19.1 (Live CD), et ouvrez une fenêtre de terminal
sudo su -cryptsetup luksFormat /dev/sda6cryptsetup luksOpen /dev/sda6 sda6_cryptpvcreate /dev/mapper/sda6_cryptvgcreate vgmint /dev/mapper/sda6_cryptlvcreate -L10G -n mint_root vgmint
lvcreate -l 100%FREE -n mint_root vgmint (facultatif, au lieu d'exécuter lvcreate -L10G -n mint_root vgmint vous pouvez exécuter ceci lvcreate -l 100%FREE -n mint_root vgmint pour utiliser tout l'espace libre de votre disque, au lieu de seulement 10 Go)
/dev/sda2 monté comme /boot partition avec ext2 format/dev/mapper/vgmint-mint_root monté comme / avec ext4 format./dev/sda2 comme boot loader installation (ne pas sélectionner /dev/sda comme avant)
Install Now après avoir sélectionné les options ci-dessusmkdir /mnt/newrootmount /dev/mapper/vgmint-mint_root /mnt/newrootmount -o bind /proc /mnt/newroot/procmount -o bind /dev /mnt/newroot/devmount -o bind /dev/pts /mnt/newroot/dev/ptsmount -o bind /sys /mnt/newroot/syscd /mnt/newrootchroot /mnt/newrootmount /dev/sda2 /bootblkid /dev/sda6 (copier l'UUID sans les guillemets et l'utiliser à l'étape suivante)echo sda6_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
update-initramfs -uupdate-grub
exitrebootLinux Mint on /dev/sda2
Mint 19.1 et a demandé le mot de passe de cryptage
sudo apt-get updatesudo apt-get install gpartedgparted vous trouverez ceci
Liens connexes :
J'ajoute une autre réponse ici car la plupart des autres ressources que j'ai trouvées (ici et ailleurs) sont un peu dépassées, et je pense que certaines des étapes peuvent être simplifiées.
Premièrement, comme mentionné dans d'autres réponses, Si vous ne voulez pas faire de double démarrage, il suffit de choisir l'option de cryptage dans le programme d'installation automatique.
Il est important de noter que cette méthode ne crypte pas /boot . Bien qu'il y ait des raisons valables pour crypter /boot le programme d'installation graphique ne le crypte pas lorsque vous effectuez une installation graphique avec LUKS. En tant que tel, j'ai suivi ce précédent, et j'ai gardé la simplicité d'un fichier non crypté. /boot partition.
Tout au long de ce guide, je vais faire référence à /dev/sda . Le vôtre peut être différent - en particulier, il peut être /dev/nvme0n1 . Il suffit d'effectuer les substitutions appropriées ci-dessous, en notant également que /dev/sda1 correspondrait à /dev/nvme0n1p1 . 1
Le partitionnement peut être effectué avec GParted, sgdisk, ou gdisk. sgdisk est le plus facile à référencer ici en tant que commande.
Configurez votre BIOS pour l'UEFI uniquement. Pas de MBR, pas de legacy boot. 2
Initialisez le lecteur en tant que lecteur GPT et créez une partition système 550M EFI formatée en FAT32 (en tant que root).
# sgdisk --zap-all /dev/sda
# sgdisk --new=1:0:+550M /dev/sda
# sgdisk --change-name=1:EFI /dev/sda
# sgdisk --typecode=1:ef00 /dev/sda
# mkfs.fat -F 32 /dev/sda1Installer Windows. Dans le programme d'installation, choisissez de créer une nouvelle partition pour Windows, et donnez-lui une taille appropriée (environ la moitié de votre disque dur). Laissez un espace non alloué que vous utiliserez plus tard pour Ubuntu. Lorsque vous faites cela, le programme d'installation crée en fait plusieurs partitions pour Windows.
Si vous le souhaitez, une fois l'installation de Windows terminée, activez BitLocker sur votre ordinateur. C: lecteur. Cela créera une autre partition.
Faire des partitions pour Ubuntu (en tant que root). La partition 768M est pour /boot . L'autre est destinée à Ubuntu et sera chiffrée avec LUKS et utilisera LVM (comme le processus d'installation par défaut le configurerait). (Si vous n'avez pas configuré BitLocker avant, vos numéros de partition seront décalés de 1 par rapport à mon exemple ci-dessous (donc mon sda5 est votre sda4).
# sgdisk --new=5:0:+768M /dev/sda
# sgdisk --new=6:0:0 /dev/sda
# sgdisk --change-name=5:/boot --change-name=6:rootfs /dev/sda
# sgdisk --typecode=5:8301 --typecode=6:8301 /dev/sda
# mkfs.ext4 -L boot /dev/sda5Configurez LUKS et LVM (en tant que root). J'ai mis 8G d'espace swap. Une bonne règle de base est la quantité de RAM dans votre système. L'espace de pagination sera crypté.
# cryptsetup luksFormat --type=luks1 /dev/sda6
# cryptsetup open /dev/sda6 sda6_crypt
# pvcreate /dev/mapper/sda6_crypt
# vgcreate ubuntu-vg /dev/mapper/sda6_crypt
# lvcreate -L 8G -n swap_1 ubuntu-vg
# lvcreate -l 100%FREE -n root ubuntu-vgInstallez Ubuntu en utilisant l'installateur graphique. Choisissez vous-même les partitions.
/dev/sda5 como ext4 para /boot
/dev/mapper/ubuntu--vg-root como ext4 para /
/dev/mapper/ubuntu--vg-swap_1 como swap
/dev/sda
Lorsque le programme d'installation est terminé, ne quittez pas. Nous devons configurer /etc/crypttab (en tant que racine). C'est ce qui déclenchera votre demande de phrase de passe au démarrage. Remplacez l'UUID dans le fichier par l'UUID de votre disque, obtenu à partir de sudo blkid /dev/sda6
# mount /dev/mapper/ubuntu--vg-root /target
# mount /dev/sda5 /target/boot
# for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done
# chroot /target
# mount -a
# echo 'sda6_crypt UUID=abcdefgh-1234-5678-9012-abcdefghijklm none luks,tries=0,discard,loud' > /etc/crypttab
# update-initramfs -k all -cC'est fait ! Si vous utilisez BitLocker sur Windows, il n'aimera pas être démarré avec Grub. Au lieu de cela, démarrez directement sur Windows à partir des options de démarrage de votre BIOS.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
