Двойная загрузка криптосистем (по шагам)

Цель – установить Windows и Linux с полным дисковым шифрованием и двойной загрузкой. Имеем – ноутбук, оперативная память 2 ГБ, один жесткий диск 80 ГБ.

1) Готовим разделы жесткого диска
Partition1 – основной, загрузочный, 37 ГБ
Partition2 – основной, 7 ГБ
Partition3 – основной, 0,5 ГБ
Partition4 – логический, 25 ГБ
Partition5 – логический, 4 ГБ

2) Устанавливаем Windows на первый основной раздел (Partition1)

3) Загружаемся с диска Ubuntu 10.04.2 LTS alternate CD

4) На этапе "Разметка дисков" выбираем "Вручную" и видим следующую картину
(sda) – 80.0 GB
#1 первичн. 40.1 GB В ntfs (не использовать, метка загрузочный включена)
#2 первичн. 7.5 GB (не использовать)
#3 первичн. 526.4 MB (файловая система Ext2, точка монтирования /boot, метка загрузочный включена)
#5 логическ. 27.6 GB (физический том для шифрования, dm-crypt, ключевая фраза)
#6 логическ. 4.3 GB (физический том для шифрования, dm-crypt, произвольный ключ)
В скобках указаны наши корректировки

5) На этапе "Настроить шифрование для томов" "Создать шифрованные тома" выбираем устройства /dev/sda5 и /dev/sda6

6) Вводим ключевую фразу для тома /dev/sda5

7) Настраиваем точки монтирования
sda5_crypt
#1 – 27.6 GB (журналируемая файловая система Ext3, точка монтирования / – корневая файловая система)
sda6_crypt
#1 – 4.3 GB (раздел подкачки)
Если Вы используете современный мощный компьютер и не планируете работать с приложениями, активно потребляющими оперативную память, то от создания отдельного раздела подкачки можно отказаться без заметной потери производительности, соответственно скорректировав план разметки диска на первом шаге.

8 ) Записываем сделанные изменения на диск и устанавливаем операционную систему

9) На этапе "Настройка учетных записей пользователей и паролей" на вопрос "Зашифровать домашний каталог?" отвечаем <Нет>

10) На этапе "Настраивается пакет grub-pc" на вопрос "Установить системный загрузчик GRUB в главную загрузочную запись?" отвечаем <Нет>

11) В строке "Device for boot loader installation" указываем /dev/sda3

12) Завершаем установку и загружаем Linux

13) Перезагружаем компьютер и загружаем Windows. Запускаем программу TrueCrypt (имеем наготове пустую болванку для TrueCrypt Rescue Disk).
В меню "Система" выбираем "Зашифровать системный раздел/диск..." следуем далее по вкладкам

"Область шифрования" выбираем "Зашифровать системный раздел Windows"
"Число операционых систем" выбираем "Мультизагрузка"
"Загрузочный диск" выбираем "Да"
"Число системных дисков" выбираем "1"
"Не-Windows загрузчик" выбираем "Нет" (если на данном этапе выбрать "Да", то появится окно с разъяснением, как будет работать мультизагрузка, но мастер завершит свою работу и его придется запустить вновь.)
"Настройки шифрования" (и последующие окна) – следуйте указаниям мастера и действуйте в соответствии со своими предпочтениями.

14) Шифруем системный раздел Windows (потребуется промежуточная перезагрузка)

15) Шифруем второй основной раздел (Partition2) программой TrueCrypt. Этот раздел будет доступен как для Windows-версии TrueCrypt, так и для Linux-версии TrueCrypt (он нам заменит "папку обмена" для материалов, которые не подлежат перемещению в расшифрованном виде).

*Перед началом работ желательно изучить следующие материалы

Полный русский мануал для Windows-версии программы TrueCrypt
file http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip

Настройка шифрованных томов в Linux
http://www.debian.org/releases/stable/i386/ch06s03.html.ru#partman-crypto

После обновления ядра Linux также происходит обновление конфигурации загрузчика grub2.

Папка /etc/grub.d содержит скрипты, которые используются при создании конфигурационного файла grub.cfg. При обновлении grub2 они находят все установленные на компьютере операционные системы и ядра Linux и формируют в grub.cfg меню загрузки, которое мы видим.

Скрипт 10_linux отвечает за поиск ядер Linux.
Скрипт 30_os-prober отвечает за поиск других операционных систем.

Но раздел sda1, на котором установлена Windows, находится в зашифрованном состоянии. Поэтому скрипт 30_os-prober не может определить наличие на этом разделе операционной системы Windows. В итоге загрузочное меню grub2 формируется скриптами без строки для выбора Windows.

Вам нужно самостоятельно добавить в меню пункт для загрузки Windows с зашифрованного раздела и защитить его от удаления при следующем обновлении grub.cfg.

Файл 40_custom позволяет добавлять в меню свои пункты загрузки.

16) Для добавления в меню нового пункта откройте в текстовом редакторе файл /boot/grub/grub.cfg, найдите начало секции # BEGIN /etc/grub.d/10_linux # и скопируйте содержимое первого пункта меню. У меня оно выглядит так:

### BEGIN /etc/grub.d/10_linux ### menuentry 'Ubuntu, с Linux 2.6.32-31-generic' --class ubuntu --class gnu-linux --class gnu --class os { recordfail insmod ext2 set root='(hd0,3)' search --no-floppy --fs-uuid --set ca8d31ff-52f4-456b-aa42-6f7d10c3af36 linux /vmlinuz-2.6.32-31-generic root=/dev/mapper/sda5_crypt ro quiet splash initrd /initrd.img-2.6.32-31-generic }

17) Отредактируйте строки следующим образом:

menuentry 'Windows' { recordfail insmod ext2 set root='(hd0,1)' chainloader +1 boot }

18) Результат редактирования надо добавить в конец файла 40_custom. Файл 40_custom должен заканчиваться пустой строкой, иначе последний пункт отображаться в меню не будет!

19) После сохранения файла 40_custom надо обновить файл grub.cfg. Для этого выполните команду, которая запустит скрипты в папке /etc/grub.d:

sudo update-grub

После отработки скрипта получаем такую выдачу:

nehadaim@ubuntu:~$ sudo update-grub [sudo] password for nehadaim: Generating grub.cfg ... Found linux image: /boot/vmlinuz-2.6.32-31-generic Found initrd image: /boot/initrd.img-2.6.32-31-generic Found linux image: /boot/vmlinuz-2.6.32-30-generic Found initrd image: /boot/initrd.img-2.6.32-30-generic Found memtest86+ image: /memtest86+.bin done nehadaim@ubuntu:~$

После перезагрузки системы все заработает должным образом и при следующем обновлении grub.cfg пункт загрузки для Windows будет сохранен.

Если Вы хотите загрузить Linux, то на этапе дозагрузочной аутентификации TrueCrypt Boot Loader пароль к зашифрованному разделу Linux вводить не надо. Нажмите клавишу Esc и перейдите в меню загрузки Grub2. Если же Вы хотите загрузить Windows, то пароль к разделу Windows вводить надо тут, а выбор загружаемой системы уже производить из меню загрузки Grub2.

Вопросы конфигурирования grub2 хорошо изложены в Викиучебнике
http://ru.wikibooks.org/wiki/Grub_2

20) Если Вам необходимо загрузить Windows до внесения изменений в grub.cfg, то это можно сделать следующим образом.

На этапе дозагрузочной аутентификации TrueCrypt Boot Loader надо ввести пароль для зашифрованного раздела с Windows. Потом нажать клавишу "c" во время отображения меню загрузки grub2, чтобы попасть в консоль. В консоли надо последовательно выполнить три команды – 1) указать корневой раздел, 2) передать управление Windows-загрузчику NTLDR, 3) выполнить запуск.

set root=(hd0,1) chainloader +1 boot

На страницу: 1, 2, 3 След.

Комментарии

—	*Гость* (05/09/2013 21:01) <#>

>т.е. я просто при установке системы вставляю флешку и прописывая к ней путь указываю /usr и все?

Можно и так, но зачем? sentaus имел в виду создание виртуального (логического/физического) раздела под /usr на всё том же основном диске. Так делается для того, чтобы разные файловые системы были. Это позволяет умеренно защититься от крашей, в т.ч. связанных с физическими случайными повреждениями дисков. У меня однажды диск полетел со стола, и всё, накрылся, пришлось восстанавливать в лаборатории. Была бы одна ФС — накралось бы всё или почти всё, а так оказалось, что /usr похерился и более не монтируется, а остальные разделы в норме, всё ОК. Все данные удалось вытащить.

>Теперь можно ничего не шифровать и система без флешки не запустится??

Бред.

—	*Гость* (05/09/2013 22:08) <#>

Гость (05/09/2013 20:34)
посмотрите пост Гость (05/09/2013 18:24). Конечно не инструкция, но по сути нормально написано. Вы выбрали какой дистрибутив ставить будете? Когда определитесь, советы будут более конкретными.

—	nehadaim (06/09/2013 02:00) профиль/связь <#> комментариев: 7 документов: 1 редакций: 0

Гость (29/08/2013 02:51)

Это не так, по крайней мере судя по тому, что я вижу через программы разметки. Такой раздел я видел только на предустановленных системах и на этом разделе находился еще и образ для восстановления. При обычной установке Win 7 такой раздел не создаётся.

Это не так. По крайней мере, судя по существующему положению вещей. Из Ваших слов я могу предположить, что под "обычной" установкой Вы имеете ввиду "домашнюю" установку на один компьютер с установочного компакт-диска, а не развертывание с помощью специальных инструментов таких как Windows Automated Installation Kit (WAIK 2.0), Windows System Image Manager (WSIM), Windows Preinstallation Environment (Windows PE), Microsoft Deployment Toolkit (MDT) 2010. Значение термина "предустановленная система" я, к сожалению, предположить не могу.
Грубо говоря, существует два способа "обычной" установки Windows 7 / Windows 8. Первый – установка на диск, не имеющий разделов, равно как и установка на диск, имеющий разделы, но с изменением существующей схемы разметки посредством удаления старых и создания новых разделов средствами установщика Windows. Второй – установка на диск, имеющий разделы, без изменения схемы разбиения.
При первом способе установщик Windows не предоставляет Вам выбора, и автоматически создает зарезервированный раздел без буквы, на котором находятся файлы конфигурации хранилища загрузки (BCD) и файл менеджера загрузки системы (bootmgr), который в свою очередь передает управление загрузчику операционной системы (winload.exe), находящемуся в папке System32.
При втором способе, если размер, тип и атрибуты имеющегося раздела позволяют, то Windows 7 / Windows 8 устанавливается на выбранный раздел, а вышеупомянутые файлы загрузчика размещаются в скрытой папке с:/boot.
Не грубо говоря, существуют следующие обязательные условия для создания зарезервированного раздела:
– загрузка с внешнего устройства (DVD, USB), т.к. при запуске программы установки из-под Windows нет возможности работать с разделами жесткого диска;
– общее количество первичных и дополнительного разделов жесткого диска перед началом установки не должно превышать двух. Если до начала установки диск уже поделен на 3 таких раздела, то скрытый раздел сформирован не будет, а файлы загрузки будут находиться на уже имеющемся активном разделе. Причем это может быть не тот раздел, на который устанавливается система. Количество логических разделов на дополнительном значения не имеет.
– установка должна выполняться в неразмеченную область диска. Если диск уже размечен, то при выборе раздела для установки системы необходимо не просто его отформатировать, но и создать заново, то есть раздел для установки нужно сначала удалить.

Это не так ... и на этом разделе находился еще и образ для восстановления

Это не так. Не следует путать скрытый раздел, зарезервированный системой для загрузочных файлов, и раздел восстановления, создаваемый производителями для возвращения компьютера к заводскому состоянию. Такие разделы имеют совершенно другие атрибуты. Возможно этот случай Вы замаскировали словами "предустановленная система", но, гадать не буду.
Размеры зарезервированного раздела в Windows 7 и Windows 8 составляют 100 и 350 Мб соответственно. В отличие от Windows 7, в которой файлы среды восстановления находятся в скрытой системной папке Recovery на разделе с операционной системой, в Windows 8 эта папка находится на разделе "Зарезервировано системой". Это основное и очень важное отличие. Даже если произошло серьезное повреждение системы или раздела с ней, у Вас всегда под рукой находится инструмент восстановления.

—	*Гость* (06/09/2013 10:54) <#>

Автор статье указал что создает только корень и boot, а остальные? Принудитьно grub install не ставится в dev/sda2/ (sda2 в моем случае это раздел с меткой boot,ext2,600 mb) .
Не удалось выполнить
команду 'grub-install/ dev/ sda2 ' Это не
исправимая ошибка.

—	unknown (06/09/2013 20:38) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

У меня однажды диск полетел со стола, и всё, накрылся, пришлось восстанавливать в лаборатории. Была бы одна ФС — накралось бы всё или почти всё, а так оказалось, что /usr похерился и более не монтируется, а остальные разделы в норме, всё ОК. Все данные удалось вытащить.

При использовании полнодискового шифрования с LVM это становится неактуальным. При крахе контейнера вытащить данные будет нетривиальной задачей.

Достаточно двух разделов: под /boot и под шифрованный PV. Какие на шифрованном PV создавать LV и как по ним раскидывать разделы — вопрос личных предпочтений и потребностей под конкретные задачи. На безопасность это никак не влияет. Тем более, при использовании LVM всегда можно насоздавать, наудалять или изменить размер LV.

—	*Гость* (08/09/2013 04:07) <#>

>Не удалось выполнить

>команду 'grub-install/ dev/ sda2 ' Это не

>исправимая ошибка.

Гость, у вас руки трясутся, когда текст набираете? Должно быть:
grub-install /dev/sda2

>При использовании полнодискового шифрования с LVM это становится неактуальным. При крахе контейнера вытащить данные будет нетривиальной задачей.

Если заголовок не повреждён, то в чём проблема? Да даже если и повреждён, поди наверняка можно извлечь. При физических повреждениях (царапины и т.д.) повреждается конкретное место на диске. Если разбитие на разделы было по умолчанию, и их потом не ресайзили, то один логический том на диске должен (физически) следовать попоярдку за другим, т.е. структура ничем существенно не отличается от таковой для разделов диска. Если повреждённые сектора целиком попадают в один логический LVM-том, то остальные не затронуты, и файловые системы на них должны смонтироваться без фатальных ошибок.

—	*Гость* (12/09/2013 09:56) <#>

Сразу прошу извинения, нужен более развернутое обьяснение касательного шага 4 и 11.Как сделать разбивку с шифрованием, делать с lvm, и как, если уже установлена винда? раздел boot будет шифроваться? Как все-таки правильно поставить grub на 11 шаге?Винт один, на 500 гб, из них 100 гб на винду шифрованую TC, 100 гб под debian c шифрование(включая шифрованный раздел доступный из двух систем),остальные примерно 300 гб nfts в незашифрованном виде.

—	*Гость* (12/09/2013 10:03) <#>

Выделяете раздел, для простоты один, DOS-овский. К примеру, sda2. Делаете его физически шифрованным с помощью LUKS. Внутри sda2, когда подключите его как криптораздел, разбейте его на логические тома LVM (это своего рода подразделы). На каждом из томов делаете свою файловую систему (например, ext4) и указываете ей точку монтирования (/usr, /var, / или какую пожелаете).

Можно поподробнее, на примере уже с установленной виндой на диске,на каком этапе шифровать диск с luks

—	SATtva (12/09/2013 19:31) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Как сделать разбивку с шифрованием, делать с lvm, и как, если уже установлена винда?

Простите, на одном разделе с виндой? Винда же на одном разделе, а шифровать с линуксом вы собираетесь другой. Все операции над этим вторым разделом и производятся.

—	*Гость* (13/09/2013 00:28) <#>

> раздел boot будет шифроваться?

Последние дни тут успели уже несколько раз написать, что /boot не будет шифроваться.

> Как сделать разбивку с шифрованием, делать с lvm, и как

/comment70046: Мне понадобилось поставить систему — и я потратил ночь на изучение LVM, прочитал почти весь хандбук, освоил матчасть. Потом сел за инсталлятор, и ещё долго мучился. Если я на это потратил 2 дня, как это объяснить другому в трёх предложениях?

Где-то на сайтах должны быть инструкции по инсталляции системы, поищите их. На уровне одного абзаца последовательность шагов уже сказана:^*

В инсталляторе Debian при наличии стеклянных шаров это можно сделать из интерфейса при инсталляции. Нужно будет выделить раздел, сказать использовать его как encrypted physical volume (PV), потом его сконфигурировать (только после этого он спросит пассфразу на раздел), и только тогда появится виртуальная volume group, типа /dev/имя_группы, которую можно будет разбить на логические тома lvm и указать им точки монтирования. Работа не для слабонервных, логики в этом инсталляторе не много.

^*А исчерпывающее how to со скриншотами я в ближайшее писать не планирую.

—	*Гость* (13/09/2013 00:36) <#>

> Как сделать разбивку с шифрованием, делать с lvm, и как, если уже установлена винда?

Ужать раздел, который винда занимает.^** После этого должно появиться свободное место на диске (будет выглядеть, как другой виртуальный диск). Далее можно в инсталляторе указать Linux'у ставиться на свободное место, при этом можно будет доразбить его так, чтобы получилось несколько разделов на нём, и Linux занял только один из них.

^**В древности это умел делать Acronis Selector, как сейчас это делается с современными UEFI и прочим говном — не знаю.

—	*Гость* (14/09/2013 02:32) <#>

Гость (13/09/2013 00:36)
Зачем же вы Gparted оскорбляете?

—	*Гость* (14/09/2013 02:45) <#>

Значение термина "предустановленная система" я, к сожалению, предположить не могу.

Два движения: выделение фразы и перетаскивание на строку поиска. Клик по первой ссылке в поисковике – читаем. Это общеупотребительное словосочетание в компьютерной среде.

Первый – установка на диск, не имеющий разделов, равно как и установка на диск, имеющий разделы, но с изменением существующей схемы разметки посредством удаления старых и создания новых разделов средствами установщика Windows.

При первом способе установщик Windows не предоставляет Вам выбора, и автоматически создает зарезервированный раздел без буквы, на котором находятся файлы конфигурации хранилища загрузки (BCD) и файл менеджера загрузки системы (bootmgr), который в свою очередь передает управление загрузчику операционной системы (winload.exe), находящемуся в папке System32.

Посыпаю голову пеплом. Встроенные средства Win 7 неудобны и не использовались ни разу.

—	nehadaim (14/09/2013 11:49) профиль/связь <#> комментариев: 7 документов: 1 редакций: 0

выделение ... перетаскивание ... Клик ... – читаем

А...! Вон как!? Мне нужно будет это запомнить. Не заходя сюда по два с половиной года действительно сильно отстаешь.

Это общеупотребительное словосочетание в компьютерной среде

Как человек, к 'компьютерной среде' отношения не имеющий, вынужденно

Посыпаю голову пеплом

PS Не вижу смысла вести диалог, когда главной целью собеседника является лишь его последнее слово в дискусии.

2Гость, у которого ничего не получается ни сделать, ни понять.
Вы бампуете этот боян в честь памяти Кащенко? Или кроме лулзов Вам еще что-то нужно? Эта нить давно уже представляет чисто теоретический (исторический) интерес. Поверьте, эта двойная загрузка Вам не нужна, как и никому другому. Намучаетесь Вы с ней. То время, которое можно потратить на удовольствие от общения с компьютером, Вы убьете на разбор бесполезной технологии. Ну тогда удачи Вам. Или лулзов. По потребности.

Через пару лет загляну. Видимо смерть двача широко разбросала его яркую плеяду по другим форумам.

На страницу: 1, 2, 3 След.

Ваша оценка документа [показать результаты]