Двойная загрузка криптосистем (по шагам)
Цель – установить Windows и Linux с полным дисковым шифрованием и двойной загрузкой. Имеем – ноутбук, оперативная память 2 ГБ, один жесткий диск 80 ГБ.
[b]1) Готовим разделы жесткого диска[/b]
Partition1 – основной, загрузочный, 37 ГБ
Partition2 – основной, 7 ГБ
Partition3 – основной, 0,5 ГБ
Partition4 – логический, 25 ГБ
Partition5 – логический, 4 ГБ
[b]2) Устанавливаем Windows[/b] на первый основной раздел (Partition1)
[b]3) Загружаемся с диска[/b] Ubuntu 10.04.2 LTS alternate CD
[b]4) На этапе "Разметка дисков" выбираем "Вручную"[/b] и видим следующую картину
(sda) – 80.0 GB
#1 первичн. 40.1 GB В ntfs [color=blue](не использовать, метка загрузочный включена)[/color]
#2 первичн. 7.5 GB [color=blue](не использовать)[/color]
#3 первичн. 526.4 MB [color=blue](файловая система Ext2, точка монтирования /boot, метка загрузочный включена)[/color]
#5 логическ. 27.6 GB [color=blue](физический том для шифрования, dm-crypt, ключевая фраза)[/color]
#6 логическ. 4.3 GB [color=blue](физический том для шифрования, dm-crypt, произвольный ключ)[/color]
[color=blue]В скобках указаны наши корректировки[/color]
[b]5) На этапе "Настроить шифрование для томов" "Создать шифрованные тома"[/b] выбираем устройства /dev/sda5 и /dev/sda6
[b]6) Вводим ключевую фразу[/b] для тома /dev/sda5
[b]7) Настраиваем точки монтирования[/b]
sda5_crypt
#1 – 27.6 GB [color=blue](журналируемая файловая система Ext3, точка монтирования / – корневая файловая система)[/color]
sda6_crypt
#1 – 4.3 GB [color=blue](раздел подкачки)[/color]
Если Вы используете современный мощный компьютер и не планируете работать с приложениями, активно потребляющими оперативную память, то от создания отдельного раздела подкачки можно отказаться без заметной потери производительности, соответственно скорректировав план разметки диска на первом шаге.
[b]8 ) Записываем сделанные изменения на диск и устанавливаем операционную систему[/b]
[b]9) На этапе "Настройка учетных записей пользователей и паролей"[/b] на вопрос "Зашифровать домашний каталог?" отвечаем <Нет>
[b]10) На этапе "Настраивается пакет grub-pc"[/b] на вопрос "Установить системный загрузчик GRUB в главную загрузочную запись?" отвечаем <Нет>
[b]11) В строке "Device for boot loader installation"[/b] указываем /dev/sda3
[b]12) Завершаем установку и загружаем Linux[/b]
[b]13) Перезагружаем компьютер и загружаем Windows. Запускаем программу TrueCrypt[/b] (имеем наготове пустую болванку для TrueCrypt Rescue Disk).
В меню "Система" выбираем "Зашифровать системный раздел/диск..." следуем далее по вкладкам
"Область шифрования" выбираем "Зашифровать системный раздел Windows"
"Число операционых систем" выбираем "Мультизагрузка"
"Загрузочный диск" выбираем "Да"
"Число системных дисков" выбираем "1"
"Не-Windows загрузчик" выбираем "Нет" (если на данном этапе выбрать "Да", то появится окно с разъяснением, как будет работать мультизагрузка, но мастер завершит свою работу и его придется запустить вновь.)
"Настройки шифрования" (и последующие окна) – следуйте указаниям мастера и действуйте в соответствии со своими предпочтениями.
[b]14) Шифруем системный раздел Windows[/b] (потребуется промежуточная перезагрузка)
[b]15) Шифруем второй основной раздел[/b] (Partition2) программой TrueCrypt. Этот раздел будет доступен как для Windows-версии TrueCrypt, так и для Linux-версии TrueCrypt (он нам заменит "папку обмена" для материалов, которые не подлежат перемещению в расшифрованном виде).
*Перед началом работ желательно изучить следующие материалы
Полный русский мануал для Windows-версии программы TrueCrypt
[url=http://www.truecrypt.org/downl.....ecrypt-7.0a.zip[/url[link1]]
Настройка шифрованных томов в Linux
[url=http://www.debian.org/releases.....#partman-crypto[/url[link2]]
После обновления ядра Linux также происходит обновление конфигурации загрузчика grub2.
Папка /etc/grub.d содержит скрипты, которые используются при создании конфигурационного файла grub.cfg. При обновлении grub2 они находят все установленные на компьютере операционные системы и ядра Linux и формируют в grub.cfg меню загрузки, которое мы видим.
Скрипт 10_linux отвечает за поиск ядер Linux.
Скрипт 30_os-prober отвечает за поиск других операционных систем.
Но раздел sda1, на котором установлена Windows, находится в зашифрованном состоянии. Поэтому скрипт 30_os-prober не может определить наличие на этом разделе операционной системы Windows. В итоге загрузочное меню grub2 формируется скриптами без строки для выбора Windows.
Вам нужно самостоятельно добавить в меню пункт для загрузки Windows с зашифрованного раздела и защитить его от удаления при следующем обновлении grub.cfg.
Файл 40_custom позволяет добавлять в меню свои пункты загрузки.
[b]16) Для добавления в меню нового пункта[/b] откройте в текстовом редакторе файл /boot/grub/grub.cfg, найдите начало секции # BEGIN /etc/grub.d/10_linux # и скопируйте содержимое первого пункта меню. У меня оно выглядит так:
[code]# BEGIN /etc/grub.d/10_linux #
menuentry 'Ubuntu, с Linux 2.6.32-31-generic' --class ubuntu --class gnu-linux --class gnu --class os {
recordfail
insmod ext2
set root='(hd0,3)'
search --no-floppy --fs-uuid --set ca8d31ff-52f4-456b-aa42-6f7d10c3af36
linux /vmlinuz-2.6.32-31-generic root=/dev/mapper/sda5_crypt ro quiet splash
initrd /initrd.img-2.6.32-31-generic
}insmod ext2
set root='(hd0,3)'
search --no-floppy --fs-uuid --set ca8d31ff-52f4-456b-aa42-6f7d10c3af36
linux /vmlinuz-2.6.32-31-generic root=/dev/mapper/sda5_crypt ro quiet splash
initrd /initrd.img-2.6.32-31-generic
[/code]
[b]17) Отредактируйте строки[/b] следующим образом:
[code]menuentry 'Windows' {
recordfail
insmod ext2
set root='(hd0,1)'
chainloader +1
boot
}insmod ext2
set root='(hd0,1)'
chainloader +1
boot
[/code]
[b]18) Результат редактирования надо добавить[/b] в конец файла 40_custom. [color=red]Файл 40_custom должен заканчиваться пустой строкой, иначе последний пункт отображаться в меню не будет![/color]
[b]19) После сохранения файла 40_custom надо обновить файл grub.cfg.[/b] Для этого выполните команду, которая запустит скрипты в папке /etc/grub.d:
[code]sudo update-grub[/code]
После отработки скрипта получаем такую выдачу:
[code]nehadaim@ubuntu:$ sudo update-grub
[sudo] password for nehadaim:
Generating grub.cfg ...
Found linux image: /boot/vmlinuz-2.6.32-31-generic
Found initrd image: /boot/initrd.img-2.6.32-31-generic
Found linux image: /boot/vmlinuz-2.6.32-30-generic
Found initrd image: /boot/initrd.img-2.6.32-30-generic
Found memtest86+ image: /memtest86+.bin
done
nehadaim@ubuntu:$
[/code]
После перезагрузки системы все заработает должным образом и при следующем обновлении grub.cfg пункт загрузки для Windows будет сохранен.
Если Вы хотите загрузить Linux, то на этапе дозагрузочной аутентификации TrueCrypt Boot Loader пароль к зашифрованному разделу Linux вводить не надо. Нажмите клавишу Esc и перейдите в меню загрузки Grub2. Если же Вы хотите загрузить Windows, то пароль к разделу Windows вводить надо тут, а выбор загружаемой системы уже производить из меню загрузки Grub2.
Вопросы конфигурирования grub2 хорошо изложены в Викиучебнике
[url=http://ru.wikibooks.org/wiki/G.....org/wiki/Grub_2[/url[link3]]
[b]20) Если Вам необходимо загрузить Windows до внесения изменений в grub.cfg,[/b] то это можно сделать следующим образом.
На этапе дозагрузочной аутентификации TrueCrypt Boot Loader надо ввести пароль для зашифрованного раздела с Windows. Потом нажать клавишу "c" во время отображения меню загрузки grub2, чтобы попасть в консоль. В консоли надо последовательно выполнить три команды – 1) указать корневой раздел, 2) передать управление Windows-загрузчику NTLDR, 3) выполнить запуск.
[code]set root=(hd0,1)
chainloader +1
boot
[/code]
Ссылки
[link1] http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip]http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip[/url
[link2] http://www.debian.org/releases/stable/i386/ch06s03.html.ru#partman-crypto]http://www.debian.org/releases/stable/i386/ch06s03.html.ru#partman-crypto[/url
[link3] http://ru.wikibooks.org/wiki/Grub_2]http://ru.wikibooks.org/wiki/Grub_2[/url
[link4] https://xkcd.com/979/
[link5] http://www.pgpru.com/comment70046
[link6] http://www.pgpru.com/comment69939
Спасибо за материал.
19a) Может возникнуть ситуация, что через некоторое время после произведенных настроек загрузчика Вам придется переустановить Linux. При переустановке os-prober также не сможет определить наличие Windows. Но в случае, если на компьютере установлена только Linux, меню загрузки по умолчанию не будет отображаться, а grub2 будет загружать Вас напрямую в Linux.
Поэтому перед выполнением команды sudo update-grub Вам также надо будет закомментировать (значком #) параметр GRUB_HIDDEN_TIMEOUT в файле /etc/default/grub:
и, если есть желание, выключить таймер обратного отсчета секунд, установив его значение в -1:
Великолепно изложено, сразу захотелось попробовать!
Непонятны три момента:Почему именно эта версия?Почему именно эта файловая система?Почему именно Ext3? Или это не имеет отношения к шифрованию?
Потому что на этой версии тестировалось, а на других нет, а потому автор не гарантирует? А alternate — это потому, что стандартный инсталляционный диск Ubuntu не поддерживает шифрование всего диска.
Уважаемый Genosse, попытаюсь ответить на Ваши вопросы.
1) Именно эта версия а) позволяет осуществить полное дисковое шифрование (а версия desktop – нет, только каталога /home) и б) имеет LTS – долговременную поддержку обновлений безопасности 3 года против полутора (по-моему) лет у desktop версии, серверные версии я не использую по причине отсутствия оного, а более свежие настольниые не нравятся из-за GNOM 3.
2) она не журналируемая, файлы там неизменяемые, раздел маленький и предзагрузочная проверка целостности ФС никак не влияет на скорость загрузки, эта ФС "с историей" – проверена временем (я консерватор).
3) Не имеет, это имеет отношение только к свежести ext4 (рановато еще ей доверять шифрованные данные), я даже считаю, что на таком диске и ext2 можно ставить, но ext3 поставил только из-за наличия журнала.
Вопрос к модераторам. К сожалению, я не смог отредактировать свой пост после доработки материала. Поэтому хочу поместить переработанный вариант сюда. Если возможно, замените, пожалуйста этим текстом содержимое первого поста.
Двойная загрузка криптосистем (по шагам)
Цель — установить на ноутбук Windows и Linux с полным дисковым шифрованием и двойной загрузкой. Имеется оперативная память 2 ГБ и жесткий диск 80 ГБ.
Эту инструкцию я привожу по шагам без развернутых пояснений. Если кому интересно почему я делал именно так и выбирал именно такие параметры, то это можно узнать прочитав по приведенным ссылкам использованные мною источники.
Шаг 1) Сначала подготовим разделы жесткого диска. Я выбрал такое разбиение (для установки Windows ХР и Ubuntu 10.04.2 LTS):
Partition1 – основной, загрузочный, 40 GB
Partition2 – основной, 7,5 GB
Partition3 – основной, 500 MB
Partition4 – основной, 32 GB
Примечание: Windows 7 и более новые версии Windows по умолчанию загружаются не из раздела, в котором они установлены, а с особого маленького раздела, содержащего файлы, необходимые для загрузки системы (аналог раздела /boot в Linux системах). Если Вы будете устанавливать Windows 7, то соответственно скорректируйте план разметки своего диска.
Шаг 2) Устанавливаем Windows на первый основной раздел (Partition1).
Шаг 3) Загружаемся с диска Ubuntu 10.04.2 LTS alternate CD.
Шаг 4) На этапе "Разметка дисков" выбираем "Вручную".
sda1 – первичный, 40 GB (не использовать)
sda2 – первичный, 7,5 GB (не использовать)
sda3 – первичный, 500 MB (файловая система Ext2, точка монтирования /boot, метка загрузочный включена)
sda4 – первичный, 32 GB (физический том для шифрования, dm-crypt, ключевая фраза)
Примечание: На современных мощных компьютерах я не использую раздел подкачки. Если Вы планируете работать с приложениями, активно потребляющими оперативную память, то скорректируйте план разметки диска на первом шаге. При шифровании раздела подкачки в качестве пароля нужно использовать не ключевую фразу, а произвольный ключ.
Шаг 5) На этапе "Настроить шифрование для томов" – "Создать шифрованные тома" выбираем устройство /dev/sda4.
Шаг 6) Вводим ключевую фразу для тома /dev/sda4.
Шаг 7) Настраиваем точку монтирования:
sda4_crypt
#1 – 32 GB (журналируемая файловая система Ext3, точка монтирования / – корневая файловая система).
Шаг 8 ) Записываем сделанные изменения на диск и устанавливаем операционную систему.
Шаг 9) На этапе "Настройка учетных записей пользователей и паролей" на вопрос "Зашифровать домашний каталог?" отвечаем <Нет>.
Шаг 10) На этапе "Настраивается пакет grub-pc" на вопрос "Установить системный загрузчик GRUB в главную загрузочную запись?" отвечаем <Нет>.
Шаг 11) В строке "Device for boot loader installation" указываем /dev/sda3.
Шаг 12) Завершаем установку и загружаем Linux.
Шаг 13) Затем перезагружаем компьютер и загружаем Windows. Запускаем программу TrueCrypt (имеем наготове пустую болванку для TrueCrypt Rescue Disk).
В меню "Система" выбираем "Зашифровать системный раздел/диск..." следуем далее по вкладкам:
"Область шифрования" выбираем "Зашифровать системный раздел Windows"
Примечание: Если Вы будете шифровать Windows 7, то Вы должны решить будете ли Вы шифровать особый загрузочный раздел Windows 7, содержащий файлы, необходимые для загрузки системы. Право записи в этот раздел Windows дает только приложениям с административными привилегиями (при работе системы). TrueCrypt выполняет шифрование этого раздела, только если Вы выбрали шифрование всего системного диска (а не шифрование только раздела, в котором установлена Windows).
"Число операционных систем" выбираем "Мультизагрузка"
"Загрузочный диск" выбираем "Да"
"Число системных дисков" выбираем "1"
"Не-Windows загрузчик" выбираем "Нет"
(если на данном этапе выбрать "Да", то появится окно с разъяснением, как будет работать мультизагрузка, но мастер завершит свою работу и его придется запустить вновь.)
"Настройки шифрования" (и последующие вкладки) – следуйте указаниям мастера и действуйте в соответствии со своими предпочтениями.
Шаг 14) Шифруем системный раздел Windows (потребуется промежуточная перезагрузка).
Шаг 15) Шифруем второй основной раздел (Partition2) программой TrueCrypt. Этот раздел будет доступен как для Windows-версии TrueCrypt, так и для Linux-версии TrueCrypt (он нам заменит "папку обмена" для материалов, которые не подлежат перемещению в расшифрованном виде).
//Примечание: При установке обновлений безопасности рано или поздно будет установлено новое ядро Linux. После этого система произведет обновление конфигурационного файла /boot/grub/grub.cfg и попросит перезагрузки.
В папке /etc/grub.d находятся скрипты, которые используются при создании конфигурационного файла grub.cfg.
Скрипт 10_linux отвечает за поиск ядер Linux.
Скрипт 30_os-prober отвечает за поиск других операционных систем.
При обновлении grub2 эти скрипты находят все установленные на компьютере операционные системы и все ядра Linux и формируют в grub.cfg новое меню загрузки, которое мы видим на экране.
Проблема заключается в том, что раздел sda1, на котором установлена Windows, находится в зашифрованном состоянии. Поэтому скрипт 30_os-prober не может определить наличие на этом разделе операционной системы Windows. В итоге загрузочное меню grub2 формируется скриптами без строки для выбора загрузки Windows.
Поэтому Вам нужно будет самостоятельно добавить в меню пункт для загрузки Windows с зашифрованного раздела и защитить его от удаления при следующем обновлении grub.cfg.
Файл 40_custom позволяет добавлять в меню свои пункты загрузки.//
Шаг 16) Для добавления в меню нового пункта откройте в текстовом редакторе файл /boot/grub/grub.cfg, найдите начало секции # BEGIN /etc/grub.d/10_linux # и скопируйте в буфер обмена содержимое первого пункта меню. У меня оно выглядит так:
Шаг 17) Вставьте содержимое буфера обмена в пустой файл и отредактируйте секцию, чтобы она приняла следующий вид:
Шаг 18) Результат редактирования надо добавить в конец файла /etc/grub.d/40_custom. Файл 40_custom должен заканчиваться пустой строкой, иначе последний пункт отображаться в меню не будет!
Шаг 19) После сохранения файла 40_custom надо обновить файл /boot/grub/grub.cfg. Для этого выполните команду, которая запустит скрипты в папке /etc/grub.d:
После отработки скрипта получаем такую выдачу:
После перезагрузки системы все заработает должным образом и при следующем обновлении grub.cfg пункт загрузки для Windows будет сохранен.
Примечание: Может возникнуть ситуация, что через некоторое время после произведенных настроек загрузчика Вам придется переустановить Linux. При переустановке os-prober также не сможет определить наличие Windows. Но в случае, если на компьютере установлена только Ubuntu, меню загрузки по умолчанию не будет отображаться, а grub2 будет загружать Вас напрямую в Linux.
Шаг 20) Поэтому перед выполнением команды sudo update-grub Вам также надо будет закомментировать (значком #) параметр GRUB_HIDDEN_TIMEOUT в файле /etc/default/grub:
и, если есть желание, выключить таймер обратного отсчета секунд, установив его значение в -1:
Теперь, если при включении компьютера Вы хотите загрузить Linux, то на этапе дозагрузочной аутентификации TrueCrypt Boot Loader пароль к зашифрованному разделу Linux вводить не надо. Нажмите клавишу Esc и перейдите в меню загрузки Grub2. Если же Вы хотите загрузить Windows, то пароль к разделу Windows вводить надо тут, а выбор загружаемой системы уже производить из меню загрузки Grub2.
Примечание: Если Вам необходимо загрузить Windows до внесения изменений в grub.cfg, то это можно сделать следующим образом.
Шаг 21) На этапе дозагрузочной аутентификации TrueCrypt Boot Loader надо ввести пароль для зашифрованного раздела с Windows. Потом нажать клавишу "c" во время отображения меню загрузки grub2, чтобы попасть в консоль. В консоли надо последовательно выполнить три команды – 1) указать корневой раздел, 2) передать управление Windows-загрузчику NTLDR, 3) выполнить запуск.
Перед началом работ желательно изучить следующие материалы:
Полный русский мануал для Windows-версии программы TrueCrypt
http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip
Настройка шифрованных томов в Linux
http://www.debian.org/releases/stable/i386/ch06s03.html.ru#partman-crypto
Вопросы конфигурирования grub2 хорошо изложены в Викиучебнике
http://ru.wikibooks.org/wiki/Grub_2
Благодарю за исчерпывающие объяснения! Вы разъяснили именно те аспекты, которые я имел в виду.
сталкнулся со следующий проблемой:загрузился с live cd, с помощью grarted разбил диск следующим образом
sda1 nfts для винды 100 гб
sda2 nfts 300гб
sda3 логический 70гб,он полелен так:
sda6 4 гб подкачка
sda7 26 гб nfts.
запускаю установку debian,на этапе разаивки диска,sda3 указывают физический том для шифрования,но дальше при его настройки не дает установить туда /корневую фс,как решить?
lvm используете?
nehadaim
Это не так, по крайней мере судя по тому, что я вижу через программы разметки. Такой раздел я видел только на предустановленных системах и на этом разделе находился еще и образ для восстановления. При обычной установке Win 7 такой раздел не создаётся.
1)
Ну так Xubuntu, Kubuntu. Да и сам GNOM 3 меняется установкой KDE или другого десктопа в пару кликов, если конечно канал широкий.
1)
Истек уже срок поддержки, только у серверной остался.
Могу добавить, что кому нужны обе Win7 и WinXP, то необходимо сначало установить WinXP, а потом Win7. Тогда Win7 создаст один загрузчик на две системы Windows. То есть грузится GRUB, там linux и Win7, при выборе Win грузится загрузчик в котором можно выбрать одну из систем WinXP или Win7.
проблему с установкой корневой системы в шифрованный том решил,но появилась новая,на этапе установки grub,указывают нет,как описанной выше, указывают раздел в вручную,но ставится в раздел /boot которому я ранее выделил 600mb он не хочет,какие варианты есть?
Когда сообщаете в форуме о проблеме, но сами находите её решение, всегда описывайте его, чтобы не было вот так[link4].
Я ничего не понял.
Гость (29/08/2013 09:00), это не анон-борда и не чан, здесь другая публика рулит. Запятые, точки, пробелы — ставь всё, как положено, и пост перечитывай в предпросмотре перед отправкой.
Извините за неровный подчерк.Проблему с установкой корневой систымы была лишь из-за моей невнимательности, а именно, вначеле нужно было подождать процедуру шифрования, чего я не сделал, только потом в настройках шифрованного тома указывать /.Далее при выборе "Device for boot loader installation" указываю свой ранее созданный раздел sda5(еxt2, /boot, метка загрузочный включена, размер 600 мб ) но ставить в мой раздел отказывается котегорически. Понимаю телепатов нет,но может кто сталкивался? И еще принципиально ли первым ставить винду, у кого еще какие ошибки возникали, может кто-то внесет свои коректировки или дополнения.
У вас весь sda3 становится шифрованным томом, плакали все ваши подразделы на нём. Вы бы создали на нём два подраздела: один под /boot, второй под физический шифрованный том. В шифрованном томе ставили бы LVM.
Винда и виндовый загрузчик не очень дружественны к альтернативным системам на том же диске, мягко говоря, поэтому советуют первой ставить именно её, винду, чтобы потом дружественные к ней системы разрулили multiboot. Насколько это принципиально на данный момент для текущих версий винды и линуксов — без понятия.
Пусть для начала у него корень заработает на шифрованном разделе без LVM хотя бы. LVM только внесёт проблем. Поидее вариант «корень на шифроразделе + boot на отдельном нешифрованном» должен работать.
Что пишет? В чём состоит «категорический отказ»? Скрины инсталляции сильно бы помогли.
Знаю, что до Win7 включительно ситуация не поменялась — Винда при установке без лишних вопросов перезаписывает MBR, так что grub надо инсталлировать повторно. И, ЕМНИП, ставиться куда-либо, кроме первого раздела, она категорически не согласна.
Может для решения данной задачи какой-нибудь os selector? Он позволит изолировать системы, что позволит более корректно работать загрузчикам.
Так же есть варианты решения такой задачи через ТС (truecrypt\скрытая система).
В крайнем случае можно приобрести ещё один диск для установки альтернативной ОС на него. В принципе, можно и на флэшку поставить.
Гость (31/08/2013 20:42)
Ну да. Вы о загрузке через F12(11)?
У разных моделей ноутбуков смена выбора носителя, с которого грузиться, происходит по-разному, не обязательно через F11 или F12.
Частично, если указать другой диск (логический), то основную массу файлов она поставит на него. На первом только какие-то системные файлы. Например, если ставить две системы Windows, то первый раздел нужен только 1, там будут эти системные файлы, остальные разделы можно делать логическими.
Так там же все просто. Грузимся с LiveCD/LiveUSB, набираем команды установки и обновления конфигурации в консоли и готово http://help.ubuntu.ru/wiki/восстановление_grub
Подскажите про начальную разбику и подготовку диска, до установки винды.Какой утилитой acroniх или gparted ?(не помню как правильно).Как к примеру бы вы разбили 500 гб, какие разделы и фс? Я знаю человек интересующийся подобной темой не должен задавать подобных вопросов, но все же, надеюсь на ваше понимание.
fdickfdisk или его производные. Это для разбиения на первичные DOS-разделы. Разбитие же на подразделы делается при установке ОС обычно, причём не средствами fdisk, а средствами той ОС, которую устанавливаете./ — минимум гига 2 на всякий случай.
/usr — зависит от объёма софта, но можно гигов 20.
/var — гигов 5 надо, но зависит от того, где будут храниться временные файлы.
/boot — 100 метров хватит за глаза.
/tmp — позже перенести полностью в память, отредактировав /etc/fstab.
Остальное на /home или на кастомные разделы.
Лучше разбивать через LVM, тогда позже можно будет ресайзить разделы и шринкать ФС на них без временного переноса всей информации на сторонний диск.
Почему под корень так мало?Обьясните какие разделы шифровать, какие логические какие основные, какую фс под каждый раздел, желательно с примерами.
/usr на отдельный раздел вынести уже не везде можно. Были сообщения, что в systemd что-то на эту тему умудрились сломать и чинить вроде как не собираются.
если делаете lvm, то можно полнодисковое с выносом /boot на отдельный носитель.
Если вынести всё лишнее на внешние разделы, корень много не займёт. Там /etc, /sbin, /bin, /lib, /sys. У меня корень без мусора занимает около 300M, мне хватает. Больше всего весит /lib — там где-то 150M, остальное весит в районе единиц-десятков мегабайт, т.е. крохи.
Выделяете раздел, для простоты один, DOS-овский. К примеру, sda2. Делаете его физически шифрованным с помощью LUKS. Внутри sda2, когда подключите его как криптораздел, разбейте его на логические тома LVM (это своего рода подразделы). На каждом из томов делаете свою файловую систему (например, ext4) и указываете ей точку монтирования (/usr, /var, / или какую пожелаете).
В инсталляторе Debian при наличии стеклянных шаров это можно сделать из интерфейса при инсталляции. Нужно будет выделить раздел, сказать использовать его как encrypted physical volume (PV), потом его сконфигурировать (только после этого он спросит пассфразу на раздел), и только тогда появится виртуальная volume group, типа /dev/имя_группы, которую можно будет разбить на логические тома lvm и указать им точки монтирования. Работа не для слабонервных, логики в этом инсталляторе не много.
Не надо ставить те Linux-дистры, где systemd принудительно установлен. В Debian такого пока, к счастью, нет.
А он скорее всего скоро везде будет. Ну кроме убунты, в которой свой upstart пилят.
sentaus, т.е. я просто при установке системы вставляю флешку и прописывая к ней путь указываю /usr и все? Теперь можно ничего не шифровать и система без флешки не запустится??
И разных *BSD. Там свои rc.d-скрипты и BSD init. Просто, тупо и кондово — так, как уже нет ни в одном из линуксов.
Можно и так, но зачем? sentaus имел в виду создание виртуального (логического/физического) раздела под /usr на всё том же основном диске. Так делается для того, чтобы разные файловые системы были. Это позволяет умеренно защититься от крашей, в т.ч. связанных с физическими случайными повреждениями дисков. У меня однажды диск полетел со стола, и всё, накрылся, пришлось восстанавливать в лаборатории. Была бы одна ФС — накралось бы всё или почти всё, а так оказалось, что /usr похерился и более не монтируется, а остальные разделы в норме, всё ОК. Все данные удалось вытащить.
Бред.
Гость (05/09/2013 20:34)
посмотрите пост Гость (05/09/2013 18:24). Конечно не инструкция, но по сути нормально написано. Вы выбрали какой дистрибутив ставить будете? Когда определитесь, советы будут более конкретными.
Гость (29/08/2013 02:51)
Это не так. По крайней мере, судя по существующему положению вещей. Из Ваших слов я могу предположить, что под "обычной" установкой Вы имеете ввиду "домашнюю" установку на один компьютер с установочного компакт-диска, а не развертывание с помощью специальных инструментов таких как Windows Automated Installation Kit (WAIK 2.0), Windows System Image Manager (WSIM), Windows Preinstallation Environment (Windows PE), Microsoft Deployment Toolkit (MDT) 2010. Значение термина "предустановленная система" я, к сожалению, предположить не могу.
Грубо говоря, существует два способа "обычной" установки Windows 7 / Windows 8. Первый – установка на диск, не имеющий разделов, равно как и установка на диск, имеющий разделы, но с изменением существующей схемы разметки посредством удаления старых и создания новых разделов средствами установщика Windows. Второй – установка на диск, имеющий разделы, без изменения схемы разбиения.
При первом способе установщик Windows не предоставляет Вам выбора, и автоматически создает зарезервированный раздел без буквы, на котором находятся файлы конфигурации хранилища загрузки (BCD) и файл менеджера загрузки системы (bootmgr), который в свою очередь передает управление загрузчику операционной системы (winload.exe), находящемуся в папке System32.
При втором способе, если размер, тип и атрибуты имеющегося раздела позволяют, то Windows 7 / Windows 8 устанавливается на выбранный раздел, а вышеупомянутые файлы загрузчика размещаются в скрытой папке с:/boot.
Не грубо говоря, существуют следующие обязательные условия для создания зарезервированного раздела:
– загрузка с внешнего устройства (DVD, USB), т.к. при запуске программы установки из-под Windows нет возможности работать с разделами жесткого диска;
– общее количество первичных и дополнительного разделов жесткого диска перед началом установки не должно превышать двух. Если до начала установки диск уже поделен на 3 таких раздела, то скрытый раздел сформирован не будет, а файлы загрузки будут находиться на уже имеющемся активном разделе. Причем это может быть не тот раздел, на который устанавливается система. Количество логических разделов на дополнительном значения не имеет.
– установка должна выполняться в неразмеченную область диска. Если диск уже размечен, то при выборе раздела для установки системы необходимо не просто его отформатировать, но и создать заново, то есть раздел для установки нужно сначала удалить.
Это не так. Не следует путать скрытый раздел, зарезервированный системой для загрузочных файлов, и раздел восстановления, создаваемый производителями для возвращения компьютера к заводскому состоянию. Такие разделы имеют совершенно другие атрибуты. Возможно этот случай Вы замаскировали словами "предустановленная система", но, гадать не буду.
Размеры зарезервированного раздела в Windows 7 и Windows 8 составляют 100 и 350 Мб соответственно. В отличие от Windows 7, в которой файлы среды восстановления находятся в скрытой системной папке Recovery на разделе с операционной системой, в Windows 8 эта папка находится на разделе "Зарезервировано системой". Это основное и очень важное отличие. Даже если произошло серьезное повреждение системы или раздела с ней, у Вас всегда под рукой находится инструмент восстановления.
Автор статье указал что создает только корень и boot, а остальные? Принудитьно grub install не ставится в dev/sda2/ (sda2 в моем случае это раздел с меткой boot,ext2,600 mb) .
Не удалось выполнить
команду 'grub-install/ dev/ sda2 ' Это не
исправимая ошибка.
При использовании полнодискового шифрования с LVM это становится неактуальным. При крахе контейнера вытащить данные будет нетривиальной задачей.
Достаточно двух разделов: под /boot и под шифрованный PV. Какие на шифрованном PV создавать LV и как по ним раскидывать разделы — вопрос личных предпочтений и потребностей под конкретные задачи. На безопасность это никак не влияет. Тем более, при использовании LVM всегда можно насоздавать, наудалять или изменить размер LV.
Гость, у вас руки трясутся, когда текст набираете? Должно быть:
grub-install /dev/sda2
Если заголовок не повреждён, то в чём проблема? Да даже если и повреждён, поди наверняка можно извлечь. При физических повреждениях (царапины и т.д.) повреждается конкретное место на диске. Если разбитие на разделы было по умолчанию, и их потом не ресайзили, то один логический том на диске должен (физически) следовать попоярдку за другим, т.е. структура ничем существенно не отличается от таковой для разделов диска. Если повреждённые сектора целиком попадают в один логический LVM-том, то остальные не затронуты, и файловые системы на них должны смонтироваться без фатальных ошибок.
Сразу прошу извинения, нужен более развернутое обьяснение касательного шага 4 и 11.Как сделать разбивку с шифрованием, делать с lvm, и как, если уже установлена винда? раздел boot будет шифроваться? Как все-таки правильно поставить grub на 11 шаге?Винт один, на 500 гб, из них 100 гб на винду шифрованую TC, 100 гб под debian c шифрование(включая шифрованный раздел доступный из двух систем),остальные примерно 300 гб nfts в незашифрованном виде.
Можно поподробнее, на примере уже с установленной виндой на диске,на каком этапе шифровать диск с luks
Простите, на одном разделе с виндой? Винда же на одном разделе, а шифровать с линуксом вы собираетесь другой. Все операции над этим вторым разделом и производятся.
Последние дни тут успели уже несколько раз написать, что /boot не будет шифроваться.
Где-то на сайтах должны быть инструкции по инсталляции системы, поищите их. На уровне одного абзаца последовательность шагов уже сказана[link6]:*
*А исчерпывающее how to со скриншотами я в ближайшее писать не планирую.
Ужать раздел, который винда занимает.** После этого должно появиться свободное место на диске (будет выглядеть, как другой виртуальный диск). Далее можно в инсталляторе указать Linux'у ставиться на свободное место, при этом можно будет доразбить его так, чтобы получилось несколько разделов на нём, и Linux занял только один из них.
**В древности это умел делать Acronis Selector, как сейчас это делается с современными UEFI и прочим говном — не знаю.
Гость (13/09/2013 00:36)
Зачем же вы Gparted оскорбляете?
Два движения: выделение фразы и перетаскивание на строку поиска. Клик по первой ссылке в поисковике – читаем. Это общеупотребительное словосочетание в компьютерной среде.
Посыпаю голову пеплом. Встроенные средства Win 7 неудобны и не использовались ни разу.
А...! Вон как!? Мне нужно будет это запомнить. Не заходя сюда по два с половиной года действительно сильно отстаешь. Как человек, к 'компьютерной среде' отношения не имеющий, вынужденно PS Не вижу смысла вести диалог, когда главной целью собеседника является лишь его последнее слово в дискусии.
2Гость, у которого ничего не получается ни сделать, ни понять.
Вы бампуете этот боян в честь памяти Кащенко? Или кроме лулзов Вам еще что-то нужно? Эта нить давно уже представляет чисто теоретический (исторический) интерес. Поверьте, эта двойная загрузка Вам не нужна, как и никому другому. Намучаетесь Вы с ней. То время, которое можно потратить на удовольствие от общения с компьютером, Вы убьете на разбор бесполезной технологии. Ну тогда удачи Вам. Или лулзов. По потребности.
Через пару лет загляну. Видимо смерть двача широко разбросала его яркую плеяду по другим форумам.