Installazione su disco cifrato via terminale

Questo manuale descrive come installare Trisquel in un disco rigito crittografato:

  • la partizione swap sarà crittografata.
  • la partizione root (/) sarà crittografata.
  • la partizione boot (/boot) non può essere crittografata, ma può essere installata in una chiavetta USB o in un CD-ROM non sovrascrivibile (procedura qui non descritta).

Istruzioni

  • Avviare il CD, DVD, o chiavetta USB di Trisquel in modalità Live.
  • Connettersi alla rete usando NetworkManager (situato nel lato destro del pannello).
  • Aprire il terminale di testo e divenire root:

sudo su
  • Istallare cryptsetup e gparted:

apt-get update
apt-get install gparted
apt-get install cryptsetup
  • Lanciare gparted e partizionare il disco rigido come si farebbe normalmente (so creare il filesystem sulla partizione etc...) creando partizioni valide non crittorgafate.

  • Usare Wikipedia per trovare una buona cifratura. Un esempio è aes,xts,essiv:256.
  • Caricare i moduli relativi alla cifratura scelta:

modprobe xts
modprobe aes_i586 
modprobe sha256
Da notare che_i586 è una versione ottimizzata di aes per i586 CPU X86 più recenti. Per un'architettura a 64 bit (amd64), si deve caricare il modulo aes_x86_64.

  • Formattare la partizione scelta per root(/) con cryptsetup:

cryptsetup -y --cipher aes-xts-essiv:sha256 --key-size 512 luksFormat /dev/PARTITION
  • Sostituire /dev/PARTITION con la propria partizione. Tutti i dati nella partizione verranno sovrascritti!

  • Aprire la partizione:

cryptsetup luksOpen /dev/PARTITION crypto_root
  • Formattare la partizione con il proprio filesystem favorito (preferibilmente ext4, o XFS se non è un problema che le partizioni XFS non possone essere ridimensionate). Per un filesystem ext4, eseguire:

mkfs.ext4 /dev/mapper/crypto_root
  • Lanciare il programma di installazione di Trisquel e procedere fino al passo numero 4, partizionamento dei dischi rigidi.
  • Selezionare il partizionamento manuale, quindi selezionare la partizione root (/) come /dev/mapper/crypto_root.
  • Selezionare la partizione swap.
  • Selezionare la partizione non crittografata /boot.
  • Attenzione a non ricreare la tavola di partizionamento.
  • Procedere con l'installazione. Quando è terminata, continuare ad usare Trisquel Live. Non riavviare il computer.
  • Montare la propria partizione root e fare chroot in essa:

mkdir /mnt/root
mount /dev/mapper/crypto_root /mnt/root
mount /dev/ /mnt/root/dev -o bind
chroot /mnt/root mount /proc
chroot /mnt/root mount /sys
chroot /mnt/root
  • Creare il file /etc/crypttab sostituendo /dev/PARTITION in modo opportuno:

echo "root /dev/disk/by-uuid/$(blkid -o value -s UUID /dev/PARTITION) none luks" >> /etc/crypttab
  • Aggiungere i moduli di cifratura scelti in precedenza a /etc/modules in modo che vengano caricati all'avvio ed inclusi in initd:

echo xts >> /etc/initramfs-tools/modules
echo aes_i586 >> /etc/initramfs-tools/modules
echo aes_x86_64 >> /etc/initramfs-tools/modules # for amd64 arch
echo sha256 >> /etc/initramfs-tools/modules
  • Istallare cryptsetup:

apt-get update
apt-get install cryptsetup
  • Aggiornare initrd:

mount /boot
update-initramfs -u
  • Uscire da chroot e disattivare tutto:

exit
umount /mnt/root/boot
umount /mnt/root/proc
umount /mnt/root/dev
umount /mnt/root/sys
  • Infine, riavviare il computer. Una password verrà chiesta per sbloccare il disco rigido crittografato.

Revisioni

09/21/2012 - 18:34
Kobe