Installazione su disco cifrato via terminale

Questo manuale descrive come installare Trisquel in un disco rigito crittografato:

• la partizione swap sarà crittografata.
• la partizione root (/) sarà crittografata.
• la partizione boot (/boot) non può essere crittografata, ma può essere installata in una chiavetta USB o in un CD-ROM non sovrascrivibile (procedura qui non descritta).

Istruzioni

• Avviare il CD, DVD, o chiavetta USB di Trisquel in modalità Live.
• Connettersi alla rete usando NetworkManager (situato nel lato destro del pannello).
• Aprire il terminale di testo e divenire root:

sudo su

• Istallare cryptsetup e gparted:

apt-get update
apt-get install gparted
apt-get install cryptsetup

• Lanciare gparted e partizionare il disco rigido come si farebbe normalmente (so creare il filesystem sulla partizione etc...) creando partizioni valide non crittorgafate.

• Usare Wikipedia per trovare una buona cifratura. Un esempio è aes,xts,essiv:256.
• Caricare i moduli relativi alla cifratura scelta:

modprobe xts
modprobe aes_i586 
modprobe sha256

Da notare che_i586 è una versione ottimizzata di aes per i586 CPU X86 più recenti. Per un'architettura a 64 bit (amd64), si deve caricare il modulo aes_x86_64.

• Formattare la partizione scelta per root(/) con cryptsetup:

cryptsetup -y --cipher aes-xts-essiv:sha256 --key-size 512 luksFormat /dev/PARTITION

• Sostituire /dev/PARTITION con la propria partizione. Tutti i dati nella partizione verranno sovrascritti!

• Aprire la partizione:

cryptsetup luksOpen /dev/PARTITION crypto_root

• Formattare la partizione con il proprio filesystem favorito (preferibilmente ext4, o XFS se non è un problema che le partizioni XFS non possone essere ridimensionate). Per un filesystem ext4, eseguire:

mkfs.ext4 /dev/mapper/crypto_root

• Lanciare il programma di installazione di Trisquel e procedere fino al passo numero 4, partizionamento dei dischi rigidi.
• Selezionare il partizionamento manuale, quindi selezionare la partizione root (/) come /dev/mapper/crypto_root.
• Selezionare la partizione swap.
• Selezionare la partizione non crittografata /boot.
• Attenzione a non ricreare la tavola di partizionamento.
• Procedere con l'installazione. Quando è terminata, continuare ad usare Trisquel Live. Non riavviare il computer.
• Montare la propria partizione root e fare chroot in essa:

mkdir /mnt/root
mount /dev/mapper/crypto_root /mnt/root
mount /dev/ /mnt/root/dev -o bind
chroot /mnt/root mount /proc
chroot /mnt/root mount /sys
chroot /mnt/root

• Creare il file /etc/crypttab sostituendo /dev/PARTITION in modo opportuno:

echo "root /dev/disk/by-uuid/$(blkid -o value -s UUID /dev/PARTITION) none luks" >> /etc/crypttab

• Aggiungere i moduli di cifratura scelti in precedenza a /etc/modules in modo che vengano caricati all'avvio ed inclusi in initd:

echo xts >> /etc/initramfs-tools/modules
echo aes_i586 >> /etc/initramfs-tools/modules
echo aes_x86_64 >> /etc/initramfs-tools/modules # for amd64 arch
echo sha256 >> /etc/initramfs-tools/modules

• Istallare cryptsetup:

apt-get update
apt-get install cryptsetup

• Aggiornare initrd:

mount /boot
update-initramfs -u

• Uscire da chroot e disattivare tutto:

exit
umount /mnt/root/boot
umount /mnt/root/proc
umount /mnt/root/dev
umount /mnt/root/sys

• Infine, riavviare il computer. Una password verrà chiesta per sbloccare il disco rigido crittografato.