[sisyphus] Как установить систему на зашифрованный диск?

Stas stas.grumbler на gmail.com
Пт Мар 9 16:28:59 MSK 2018


Приветствую!


On 09.03.2018 01:04, Michael A. Kangin wrote:
>
> Простите за такой вопрос в 2018 году, но я опять в непонятках - где
> можно в инсталляторе сказать, чтобы зашифровать при установке весь диск?
>
> Ну т.е. про то, что /boot и всякие EFI System/BIOS boot разделы должны
> остаться нетронутыми - это понятно, но вот /, swap, /home и /var
> хотелось бы иметь зашифрованными, и чтобы при загрузке вводить только
> один пароль на всех.
>
> Как это вообще сделать, я более-менее представляю несколькими
> методами, сплошной закат солнца вручную. Про всякие хитрые лив-сборки
> тоже представляю.
>
> А из штатного инсталлятора от штатной alt-workstation, по феншую?

Из коробки - никак.
Во-первых, возьмём метод "несколько разделов LUKS" на физическом диске
или массиве RAID. Инсталлятор не знает, что для всех ваших томов LUKS вы
задали один и тот же пароль, он просто перечисляет все разделы LUKS в
/etc/cryptsetup, а при загрузке скрипт смотрит в него и инициализирует
каждый том отдельно.
Во-вторых, возьмём метод "раздел LUKS делаем виртуальным диском", на
котором уже LVM (разделы на loop-дивайсе - задача нетривиальная), и в
этом LVM создаём тома. Такая сложная конфигурация не предусмотрена в
инсталляторе, к тому же важен порядок инициализации в initrd, чтобы
сначала выполнялся ctyptsetup для доступных томов, потом LVM, потом
снова cryptsetup для оставшихся томов - в реальности используется
намного более простая логика: cryptsetup перед монтированием тома.

-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - jabber: grumbler на grumbler.org
 - email: stas.grumbler на gmail.com и stas на vashadmin.su
 - телефоны в Е-бурге +79045430461, +79222112259, +79505571146



Подробная информация о списке рассылки Sisyphus