id: Гость   вход   регистрация
текущее время 13:23 29/03/2024
создать
просмотр
ссылки

Двойная загрузка криптосистем (по шагам)


Цель – установить Windows и Linux с полным дисковым шифрованием и двойной загрузкой. Имеем – ноутбук, оперативная память 2 ГБ, один жесткий диск 80 ГБ.


1) Готовим разделы жесткого диска
Partition1 – основной, загрузочный, 37 ГБ
Partition2 – основной, 7 ГБ
Partition3 – основной, 0,5 ГБ
Partition4 – логический, 25 ГБ
Partition5 – логический, 4 ГБ


2) Устанавливаем Windows на первый основной раздел (Partition1)


3) Загружаемся с диска Ubuntu 10.04.2 LTS alternate CD


4) На этапе "Разметка дисков" выбираем "Вручную" и видим следующую картину
(sda) – 80.0 GB
#1 первичн. 40.1 GB В ntfs (не использовать, метка загрузочный включена)
#2 первичн. 7.5 GB (не использовать)
#3 первичн. 526.4 MB (файловая система Ext2, точка монтирования /boot, метка загрузочный включена)
#5 логическ. 27.6 GB (физический том для шифрования, dm-crypt, ключевая фраза)
#6 логическ. 4.3 GB (физический том для шифрования, dm-crypt, произвольный ключ)
В скобках указаны наши корректировки


5) На этапе "Настроить шифрование для томов" "Создать шифрованные тома" выбираем устройства /dev/sda5 и /dev/sda6


6) Вводим ключевую фразу для тома /dev/sda5


7) Настраиваем точки монтирования
sda5_crypt
#1 – 27.6 GB (журналируемая файловая система Ext3, точка монтирования / – корневая файловая система)
sda6_crypt
#1 – 4.3 GB (раздел подкачки)
Если Вы используете современный мощный компьютер и не планируете работать с приложениями, активно потребляющими оперативную память, то от создания отдельного раздела подкачки можно отказаться без заметной потери производительности, соответственно скорректировав план разметки диска на первом шаге.


8 ) Записываем сделанные изменения на диск и устанавливаем операционную систему


9) На этапе "Настройка учетных записей пользователей и паролей" на вопрос "Зашифровать домашний каталог?" отвечаем <Нет>


10) На этапе "Настраивается пакет grub-pc" на вопрос "Установить системный загрузчик GRUB в главную загрузочную запись?" отвечаем <Нет>


11) В строке "Device for boot loader installation" указываем /dev/sda3


12) Завершаем установку и загружаем Linux


13) Перезагружаем компьютер и загружаем Windows. Запускаем программу TrueCrypt (имеем наготове пустую болванку для TrueCrypt Rescue Disk).
В меню "Система" выбираем "Зашифровать системный раздел/диск..." следуем далее по вкладкам


"Область шифрования" выбираем "Зашифровать системный раздел Windows"
"Число операционых систем" выбираем "Мультизагрузка"
"Загрузочный диск" выбираем "Да"
"Число системных дисков" выбираем "1"
"Не-Windows загрузчик" выбираем "Нет" (если на данном этапе выбрать "Да", то появится окно с разъяснением, как будет работать мультизагрузка, но мастер завершит свою работу и его придется запустить вновь.)
"Настройки шифрования" (и последующие окна) – следуйте указаниям мастера и действуйте в соответствии со своими предпочтениями.


14) Шифруем системный раздел Windows (потребуется промежуточная перезагрузка)


15) Шифруем второй основной раздел (Partition2) программой TrueCrypt. Этот раздел будет доступен как для Windows-версии TrueCrypt, так и для Linux-версии TrueCrypt (он нам заменит "папку обмена" для материалов, которые не подлежат перемещению в расшифрованном виде).


*Перед началом работ желательно изучить следующие материалы


Полный русский мануал для Windows-версии программы TrueCrypt
filehttp://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip


Настройка шифрованных томов в Linux
http://www.debian.org/releases/stable/i386/ch06s03.html.ru#partman-crypto


После обновления ядра Linux также происходит обновление конфигурации загрузчика grub2.


Папка /etc/grub.d содержит скрипты, которые используются при создании конфигурационного файла grub.cfg. При обновлении grub2 они находят все установленные на компьютере операционные системы и ядра Linux и формируют в grub.cfg меню загрузки, которое мы видим.


Скрипт 10_linux отвечает за поиск ядер Linux.
Скрипт 30_os-prober отвечает за поиск других операционных систем.


Но раздел sda1, на котором установлена Windows, находится в зашифрованном состоянии. Поэтому скрипт 30_os-prober не может определить наличие на этом разделе операционной системы Windows. В итоге загрузочное меню grub2 формируется скриптами без строки для выбора Windows.


Вам нужно самостоятельно добавить в меню пункт для загрузки Windows с зашифрованного раздела и защитить его от удаления при следующем обновлении grub.cfg.


Файл 40_custom позволяет добавлять в меню свои пункты загрузки.


16) Для добавления в меню нового пункта откройте в текстовом редакторе файл /boot/grub/grub.cfg, найдите начало секции # BEGIN /etc/grub.d/10_linux # и скопируйте содержимое первого пункта меню. У меня оно выглядит так:



17) Отредактируйте строки следующим образом:



18) Результат редактирования надо добавить в конец файла 40_custom. Файл 40_custom должен заканчиваться пустой строкой, иначе последний пункт отображаться в меню не будет!


19) После сохранения файла 40_custom надо обновить файл grub.cfg. Для этого выполните команду, которая запустит скрипты в папке /etc/grub.d:



После отработки скрипта получаем такую выдачу:



После перезагрузки системы все заработает должным образом и при следующем обновлении grub.cfg пункт загрузки для Windows будет сохранен.


Если Вы хотите загрузить Linux, то на этапе дозагрузочной аутентификации TrueCrypt Boot Loader пароль к зашифрованному разделу Linux вводить не надо. Нажмите клавишу Esc и перейдите в меню загрузки Grub2. Если же Вы хотите загрузить Windows, то пароль к разделу Windows вводить надо тут, а выбор загружаемой системы уже производить из меню загрузки Grub2.


Вопросы конфигурирования grub2 хорошо изложены в Викиучебнике
http://ru.wikibooks.org/wiki/Grub_2


20) Если Вам необходимо загрузить Windows до внесения изменений в grub.cfg, то это можно сделать следующим образом.


На этапе дозагрузочной аутентификации TrueCrypt Boot Loader надо ввести пароль для зашифрованного раздела с Windows. Потом нажать клавишу "c" во время отображения меню загрузки grub2, чтобы попасть в консоль. В консоли надо последовательно выполнить три команды – 1) указать корневой раздел, 2) передать управление Windows-загрузчику NTLDR, 3) выполнить запуск.



 
На страницу: 1, 2, 3 След.
Комментарии
— SATtva (31/08/2013 08:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Винда и виндовый загрузчик не очень дружественны к альтернативным системам на том же диске, мягко говоря ... Насколько это принципиально на данный момент для текущих версий винды и линуксов — без понятия.

Знаю, что до Win7 включительно ситуация не поменялась — Винда при установке без лишних вопросов перезаписывает MBR, так что grub надо инсталлировать повторно. И, ЕМНИП, ставиться куда-либо, кроме первого раздела, она категорически не согласна.
— Гость (31/08/2013 12:54)   <#>
Может для решения данной задачи какой-нибудь os selector? Он позволит изолировать системы, что позволит более корректно работать загрузчикам.
Так же есть варианты решения такой задачи через ТС (truecrypt\скрытая система).
— Гость (31/08/2013 20:42)   <#>
В крайнем случае можно приобрести ещё один диск для установки альтернативной ОС на него. В принципе, можно и на флэшку поставить.
— Гость (31/08/2013 21:12)   <#>
Гость (31/08/2013 20:42)
Ну да. Вы о загрузке через F12(11)?
— Гость (01/09/2013 00:01)   <#>

У разных моделей ноутбуков смена выбора носителя, с которого грузиться, происходит по-разному, не обязательно через F11 или F12.
— Гость (01/09/2013 20:11)   <#>
И, ЕМНИП, ставиться куда-либо, кроме первого раздела, она категорически не согласна.

Частично, если указать другой диск (логический), то основную массу файлов она поставит на него. На первом только какие-то системные файлы. Например, если ставить две системы Windows, то первый раздел нужен только 1, там будут эти системные файлы, остальные разделы можно делать логическими.

Может для решения данной задачи какой-нибудь os selector? Он позволит изолировать системы, что позволит более корректно работать загрузчикам.
Так же есть варианты решения такой задачи через ТС (truecrypt\скрытая система).

Так там же все просто. Грузимся с LiveCD/LiveUSB, набираем команды установки и обновления конфигурации в консоли и готово http://help.ubuntu.ru/wiki/восстановление_grub
— Гость (04/09/2013 15:43)   <#>
Подскажите про начальную разбику и подготовку диска, до установки винды.Какой утилитой acroniх или gparted ?(не помню как правильно).Как к примеру бы вы разбили 500 гб, какие разделы и фс? Я знаю человек интересующийся подобной темой не должен задавать подобных вопросов, но все же, надеюсь на ваше понимание.
— Гость (04/09/2013 23:42)   <#>

fdick fdisk или его производные. Это для разбиения на первичные DOS-разделы. Разбитие же на подразделы делается при установке ОС обычно, причём не средствами fdisk, а средствами той ОС, которую устанавливаете.


/ — минимум гига 2 на всякий случай.
/usr — зависит от объёма софта, но можно гигов 20.
/var — гигов 5 надо, но зависит от того, где будут храниться временные файлы.
/boot — 100 метров хватит за глаза.
/tmp — позже перенести полностью в память, отредактировав /etc/fstab.
Остальное на /home или на кастомные разделы.
Лучше разбивать через LVM, тогда позже можно будет ресайзить разделы и шринкать ФС на них без временного переноса всей информации на сторонний диск.
— Гость (05/09/2013 07:59)   <#>
Почему под корень так мало?Обьясните какие разделы шифровать, какие логические какие основные, какую фс под каждый раздел, желательно с примерами.
— sentaus (05/09/2013 10:54, исправлен 05/09/2013 10:54)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
/ — минимум гига 2 на всякий случай.
/usr — зависит от объёма софта, но можно гигов 20.

/usr на отдельный раздел вынести уже не везде можно. Были сообщения, что в systemd что-то на эту тему умудрились сломать и чинить вроде как не собираются.

— Гость (05/09/2013 11:16)   <#>
Обьясните какие разделы шифровать
если делаете lvm, то можно полнодисковое с выносом /boot на отдельный носитель.
— Гость (05/09/2013 18:24)   <#>

Если вынести всё лишнее на внешние разделы, корень много не займёт. Там /etc, /sbin, /bin, /lib, /sys. У меня корень без мусора занимает около 300M, мне хватает. Больше всего весит /lib — там где-то 150M, остальное весит в районе единиц-десятков мегабайт, т.е. крохи.


Выделяете раздел, для простоты один, DOS-овский. К примеру, sda2. Делаете его физически шифрованным с помощью LUKS. Внутри sda2, когда подключите его как криптораздел, разбейте его на логические тома LVM (это своего рода подразделы). На каждом из томов делаете свою файловую систему (например, ext4) и указываете ей точку монтирования (/usr, /var, / или какую пожелаете).

В инсталляторе Debian при наличии стеклянных шаров это можно сделать из интерфейса при инсталляции. Нужно будет выделить раздел, сказать использовать его как encrypted physical volume (PV), потом его сконфигурировать (только после этого он спросит пассфразу на раздел), и только тогда появится виртуальная volume group, типа /dev/имя_группы, которую можно будет разбить на логические тома lvm и указать им точки монтирования. Работа не для слабонервных, логики в этом инсталляторе не много.


Не надо ставить те Linux-дистры, где systemd принудительно установлен. В Debian такого пока, к счастью, нет.
— sentaus (05/09/2013 19:24)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Не надо ставить те Linux-дистры, где systemd принудительно установлен.


А он скорее всего скоро везде будет. Ну кроме убунты, в которой свой upstart пилят.
— Гость (05/09/2013 20:34)   <#>
/usr на отдельный раздел вынести уже не везде можно. Были сообщения, что в systemd что-то на эту тему умудрились сломать и чинить вроде как не собираются.

sentaus, т.е. я просто при установке системы вставляю флешку и прописывая к ней путь указываю /usr и все? Теперь можно ничего не шифровать и система без флешки не запустится??
— Гость (05/09/2013 20:55)   <#>

И разных *BSD. Там свои rc.d-скрипты и BSD init. Просто, тупо и кондово — так, как уже нет ни в одном из линуксов.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3