Двойная загрузка криптосистем (по шагам)
Цель – установить Windows и Linux с полным дисковым шифрованием и двойной загрузкой. Имеем – ноутбук, оперативная память 2 ГБ, один жесткий диск 80 ГБ.
1) Готовим разделы жесткого диска
Partition1 – основной, загрузочный, 37 ГБ
Partition2 – основной, 7 ГБ
Partition3 – основной, 0,5 ГБ
Partition4 – логический, 25 ГБ
Partition5 – логический, 4 ГБ
2) Устанавливаем Windows на первый основной раздел (Partition1)
3) Загружаемся с диска Ubuntu 10.04.2 LTS alternate CD
4) На этапе "Разметка дисков" выбираем "Вручную" и видим следующую картину
(sda) – 80.0 GB
#1 первичн. 40.1 GB В ntfs (не использовать, метка загрузочный включена)
#2 первичн. 7.5 GB (не использовать)
#3 первичн. 526.4 MB (файловая система Ext2, точка монтирования /boot, метка загрузочный включена)
#5 логическ. 27.6 GB (физический том для шифрования, dm-crypt, ключевая фраза)
#6 логическ. 4.3 GB (физический том для шифрования, dm-crypt, произвольный ключ)
В скобках указаны наши корректировки
5) На этапе "Настроить шифрование для томов" "Создать шифрованные тома" выбираем устройства /dev/sda5 и /dev/sda6
6) Вводим ключевую фразу для тома /dev/sda5
7) Настраиваем точки монтирования
sda5_crypt
#1 – 27.6 GB (журналируемая файловая система Ext3, точка монтирования / – корневая файловая система)
sda6_crypt
#1 – 4.3 GB (раздел подкачки)
Если Вы используете современный мощный компьютер и не планируете работать с приложениями, активно потребляющими оперативную память, то от создания отдельного раздела подкачки можно отказаться без заметной потери производительности, соответственно скорректировав план разметки диска на первом шаге.
8 ) Записываем сделанные изменения на диск и устанавливаем операционную систему
9) На этапе "Настройка учетных записей пользователей и паролей" на вопрос "Зашифровать домашний каталог?" отвечаем <Нет>
10) На этапе "Настраивается пакет grub-pc" на вопрос "Установить системный загрузчик GRUB в главную загрузочную запись?" отвечаем <Нет>
11) В строке "Device for boot loader installation" указываем /dev/sda3
12) Завершаем установку и загружаем Linux
13) Перезагружаем компьютер и загружаем Windows. Запускаем программу TrueCrypt (имеем наготове пустую болванку для TrueCrypt Rescue Disk).
В меню "Система" выбираем "Зашифровать системный раздел/диск..." следуем далее по вкладкам
"Область шифрования" выбираем "Зашифровать системный раздел Windows"
"Число операционых систем" выбираем "Мультизагрузка"
"Загрузочный диск" выбираем "Да"
"Число системных дисков" выбираем "1"
"Не-Windows загрузчик" выбираем "Нет" (если на данном этапе выбрать "Да", то появится окно с разъяснением, как будет работать мультизагрузка, но мастер завершит свою работу и его придется запустить вновь.)
"Настройки шифрования" (и последующие окна) – следуйте указаниям мастера и действуйте в соответствии со своими предпочтениями.
14) Шифруем системный раздел Windows (потребуется промежуточная перезагрузка)
15) Шифруем второй основной раздел (Partition2) программой TrueCrypt. Этот раздел будет доступен как для Windows-версии TrueCrypt, так и для Linux-версии TrueCrypt (он нам заменит "папку обмена" для материалов, которые не подлежат перемещению в расшифрованном виде).
*Перед началом работ желательно изучить следующие материалы
Полный русский мануал для Windows-версии программы TrueCrypt
http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip
Настройка шифрованных томов в Linux
http://www.debian.org/releases/stable/i386/ch06s03.html.ru#partman-crypto
После обновления ядра Linux также происходит обновление конфигурации загрузчика grub2.
Папка /etc/grub.d содержит скрипты, которые используются при создании конфигурационного файла grub.cfg. При обновлении grub2 они находят все установленные на компьютере операционные системы и ядра Linux и формируют в grub.cfg меню загрузки, которое мы видим.
Скрипт 10_linux отвечает за поиск ядер Linux.
Скрипт 30_os-prober отвечает за поиск других операционных систем.
Но раздел sda1, на котором установлена Windows, находится в зашифрованном состоянии. Поэтому скрипт 30_os-prober не может определить наличие на этом разделе операционной системы Windows. В итоге загрузочное меню grub2 формируется скриптами без строки для выбора Windows.
Вам нужно самостоятельно добавить в меню пункт для загрузки Windows с зашифрованного раздела и защитить его от удаления при следующем обновлении grub.cfg.
Файл 40_custom позволяет добавлять в меню свои пункты загрузки.
16) Для добавления в меню нового пункта откройте в текстовом редакторе файл /boot/grub/grub.cfg, найдите начало секции # BEGIN /etc/grub.d/10_linux # и скопируйте содержимое первого пункта меню. У меня оно выглядит так:
17) Отредактируйте строки следующим образом:
18) Результат редактирования надо добавить в конец файла 40_custom. Файл 40_custom должен заканчиваться пустой строкой, иначе последний пункт отображаться в меню не будет!
19) После сохранения файла 40_custom надо обновить файл grub.cfg. Для этого выполните команду, которая запустит скрипты в папке /etc/grub.d:
После отработки скрипта получаем такую выдачу:
После перезагрузки системы все заработает должным образом и при следующем обновлении grub.cfg пункт загрузки для Windows будет сохранен.
Если Вы хотите загрузить Linux, то на этапе дозагрузочной аутентификации TrueCrypt Boot Loader пароль к зашифрованному разделу Linux вводить не надо. Нажмите клавишу Esc и перейдите в меню загрузки Grub2. Если же Вы хотите загрузить Windows, то пароль к разделу Windows вводить надо тут, а выбор загружаемой системы уже производить из меню загрузки Grub2.
Вопросы конфигурирования grub2 хорошо изложены в Викиучебнике
http://ru.wikibooks.org/wiki/Grub_2
20) Если Вам необходимо загрузить Windows до внесения изменений в grub.cfg, то это можно сделать следующим образом.
На этапе дозагрузочной аутентификации TrueCrypt Boot Loader надо ввести пароль для зашифрованного раздела с Windows. Потом нажать клавишу "c" во время отображения меню загрузки grub2, чтобы попасть в консоль. В консоли надо последовательно выполнить три команды – 1) указать корневой раздел, 2) передать управление Windows-загрузчику NTLDR, 3) выполнить запуск.
комментариев: 11558 документов: 1036 редакций: 4118
Знаю, что до Win7 включительно ситуация не поменялась — Винда при установке без лишних вопросов перезаписывает MBR, так что grub надо инсталлировать повторно. И, ЕМНИП, ставиться куда-либо, кроме первого раздела, она категорически не согласна.
Так же есть варианты решения такой задачи через ТС (truecrypt\скрытая система).
Ну да. Вы о загрузке через F12(11)?
У разных моделей ноутбуков смена выбора носителя, с которого грузиться, происходит по-разному, не обязательно через F11 или F12.
Частично, если указать другой диск (логический), то основную массу файлов она поставит на него. На первом только какие-то системные файлы. Например, если ставить две системы Windows, то первый раздел нужен только 1, там будут эти системные файлы, остальные разделы можно делать логическими.
Так там же все просто. Грузимся с LiveCD/LiveUSB, набираем команды установки и обновления конфигурации в консоли и готово http://help.ubuntu.ru/wiki/восстановление_grub
fdickfdisk или его производные. Это для разбиения на первичные DOS-разделы. Разбитие же на подразделы делается при установке ОС обычно, причём не средствами fdisk, а средствами той ОС, которую устанавливаете./ — минимум гига 2 на всякий случай.
/usr — зависит от объёма софта, но можно гигов 20.
/var — гигов 5 надо, но зависит от того, где будут храниться временные файлы.
/boot — 100 метров хватит за глаза.
/tmp — позже перенести полностью в память, отредактировав /etc/fstab.
Остальное на /home или на кастомные разделы.
Лучше разбивать через LVM, тогда позже можно будет ресайзить разделы и шринкать ФС на них без временного переноса всей информации на сторонний диск.
комментариев: 1060 документов: 16 редакций: 32
/usr на отдельный раздел вынести уже не везде можно. Были сообщения, что в systemd что-то на эту тему умудрились сломать и чинить вроде как не собираются.
Если вынести всё лишнее на внешние разделы, корень много не займёт. Там /etc, /sbin, /bin, /lib, /sys. У меня корень без мусора занимает около 300M, мне хватает. Больше всего весит /lib — там где-то 150M, остальное весит в районе единиц-десятков мегабайт, т.е. крохи.
Выделяете раздел, для простоты один, DOS-овский. К примеру, sda2. Делаете его физически шифрованным с помощью LUKS. Внутри sda2, когда подключите его как криптораздел, разбейте его на логические тома LVM (это своего рода подразделы). На каждом из томов делаете свою файловую систему (например, ext4) и указываете ей точку монтирования (/usr, /var, / или какую пожелаете).
В инсталляторе Debian при наличии стеклянных шаров это можно сделать из интерфейса при инсталляции. Нужно будет выделить раздел, сказать использовать его как encrypted physical volume (PV), потом его сконфигурировать (только после этого он спросит пассфразу на раздел), и только тогда появится виртуальная volume group, типа /dev/имя_группы, которую можно будет разбить на логические тома lvm и указать им точки монтирования. Работа не для слабонервных, логики в этом инсталляторе не много.
Не надо ставить те Linux-дистры, где systemd принудительно установлен. В Debian такого пока, к счастью, нет.
комментариев: 1060 документов: 16 редакций: 32
А он скорее всего скоро везде будет. Ну кроме убунты, в которой свой upstart пилят.
sentaus, т.е. я просто при установке системы вставляю флешку и прописывая к ней путь указываю /usr и все? Теперь можно ничего не шифровать и система без флешки не запустится??
И разных *BSD. Там свои rc.d-скрипты и BSD init. Просто, тупо и кондово — так, как уже нет ни в одном из линуксов.