Двойная загрузка криптосистем (по шагам)
Цель – установить Windows и Linux с полным дисковым шифрованием и двойной загрузкой. Имеем – ноутбук, оперативная память 2 ГБ, один жесткий диск 80 ГБ.
1) Готовим разделы жесткого диска
Partition1 – основной, загрузочный, 37 ГБ
Partition2 – основной, 7 ГБ
Partition3 – основной, 0,5 ГБ
Partition4 – логический, 25 ГБ
Partition5 – логический, 4 ГБ
2) Устанавливаем Windows на первый основной раздел (Partition1)
3) Загружаемся с диска Ubuntu 10.04.2 LTS alternate CD
4) На этапе "Разметка дисков" выбираем "Вручную" и видим следующую картину
(sda) – 80.0 GB
#1 первичн. 40.1 GB В ntfs (не использовать, метка загрузочный включена)
#2 первичн. 7.5 GB (не использовать)
#3 первичн. 526.4 MB (файловая система Ext2, точка монтирования /boot, метка загрузочный включена)
#5 логическ. 27.6 GB (физический том для шифрования, dm-crypt, ключевая фраза)
#6 логическ. 4.3 GB (физический том для шифрования, dm-crypt, произвольный ключ)
В скобках указаны наши корректировки
5) На этапе "Настроить шифрование для томов" "Создать шифрованные тома" выбираем устройства /dev/sda5 и /dev/sda6
6) Вводим ключевую фразу для тома /dev/sda5
7) Настраиваем точки монтирования
sda5_crypt
#1 – 27.6 GB (журналируемая файловая система Ext3, точка монтирования / – корневая файловая система)
sda6_crypt
#1 – 4.3 GB (раздел подкачки)
Если Вы используете современный мощный компьютер и не планируете работать с приложениями, активно потребляющими оперативную память, то от создания отдельного раздела подкачки можно отказаться без заметной потери производительности, соответственно скорректировав план разметки диска на первом шаге.
8 ) Записываем сделанные изменения на диск и устанавливаем операционную систему
9) На этапе "Настройка учетных записей пользователей и паролей" на вопрос "Зашифровать домашний каталог?" отвечаем <Нет>
10) На этапе "Настраивается пакет grub-pc" на вопрос "Установить системный загрузчик GRUB в главную загрузочную запись?" отвечаем <Нет>
11) В строке "Device for boot loader installation" указываем /dev/sda3
12) Завершаем установку и загружаем Linux
13) Перезагружаем компьютер и загружаем Windows. Запускаем программу TrueCrypt (имеем наготове пустую болванку для TrueCrypt Rescue Disk).
В меню "Система" выбираем "Зашифровать системный раздел/диск..." следуем далее по вкладкам
"Область шифрования" выбираем "Зашифровать системный раздел Windows"
"Число операционых систем" выбираем "Мультизагрузка"
"Загрузочный диск" выбираем "Да"
"Число системных дисков" выбираем "1"
"Не-Windows загрузчик" выбираем "Нет" (если на данном этапе выбрать "Да", то появится окно с разъяснением, как будет работать мультизагрузка, но мастер завершит свою работу и его придется запустить вновь.)
"Настройки шифрования" (и последующие окна) – следуйте указаниям мастера и действуйте в соответствии со своими предпочтениями.
14) Шифруем системный раздел Windows (потребуется промежуточная перезагрузка)
15) Шифруем второй основной раздел (Partition2) программой TrueCrypt. Этот раздел будет доступен как для Windows-версии TrueCrypt, так и для Linux-версии TrueCrypt (он нам заменит "папку обмена" для материалов, которые не подлежат перемещению в расшифрованном виде).
*Перед началом работ желательно изучить следующие материалы
Полный русский мануал для Windows-версии программы TrueCrypt
http://www.truecrypt.org/download/thirdparty/localizations/langpack-ru-2.0.0-for-truecrypt-7.0a.zip
Настройка шифрованных томов в Linux
http://www.debian.org/releases/stable/i386/ch06s03.html.ru#partman-crypto
После обновления ядра Linux также происходит обновление конфигурации загрузчика grub2.
Папка /etc/grub.d содержит скрипты, которые используются при создании конфигурационного файла grub.cfg. При обновлении grub2 они находят все установленные на компьютере операционные системы и ядра Linux и формируют в grub.cfg меню загрузки, которое мы видим.
Скрипт 10_linux отвечает за поиск ядер Linux.
Скрипт 30_os-prober отвечает за поиск других операционных систем.
Но раздел sda1, на котором установлена Windows, находится в зашифрованном состоянии. Поэтому скрипт 30_os-prober не может определить наличие на этом разделе операционной системы Windows. В итоге загрузочное меню grub2 формируется скриптами без строки для выбора Windows.
Вам нужно самостоятельно добавить в меню пункт для загрузки Windows с зашифрованного раздела и защитить его от удаления при следующем обновлении grub.cfg.
Файл 40_custom позволяет добавлять в меню свои пункты загрузки.
16) Для добавления в меню нового пункта откройте в текстовом редакторе файл /boot/grub/grub.cfg, найдите начало секции # BEGIN /etc/grub.d/10_linux # и скопируйте содержимое первого пункта меню. У меня оно выглядит так:
17) Отредактируйте строки следующим образом:
18) Результат редактирования надо добавить в конец файла 40_custom. Файл 40_custom должен заканчиваться пустой строкой, иначе последний пункт отображаться в меню не будет!
19) После сохранения файла 40_custom надо обновить файл grub.cfg. Для этого выполните команду, которая запустит скрипты в папке /etc/grub.d:
После отработки скрипта получаем такую выдачу:
После перезагрузки системы все заработает должным образом и при следующем обновлении grub.cfg пункт загрузки для Windows будет сохранен.
Если Вы хотите загрузить Linux, то на этапе дозагрузочной аутентификации TrueCrypt Boot Loader пароль к зашифрованному разделу Linux вводить не надо. Нажмите клавишу Esc и перейдите в меню загрузки Grub2. Если же Вы хотите загрузить Windows, то пароль к разделу Windows вводить надо тут, а выбор загружаемой системы уже производить из меню загрузки Grub2.
Вопросы конфигурирования grub2 хорошо изложены в Викиучебнике
http://ru.wikibooks.org/wiki/Grub_2
20) Если Вам необходимо загрузить Windows до внесения изменений в grub.cfg, то это можно сделать следующим образом.
На этапе дозагрузочной аутентификации TrueCrypt Boot Loader надо ввести пароль для зашифрованного раздела с Windows. Потом нажать клавишу "c" во время отображения меню загрузки grub2, чтобы попасть в консоль. В консоли надо последовательно выполнить три команды – 1) указать корневой раздел, 2) передать управление Windows-загрузчику NTLDR, 3) выполнить запуск.
Можно и так, но зачем? sentaus имел в виду создание виртуального (логического/физического) раздела под /usr на всё том же основном диске. Так делается для того, чтобы разные файловые системы были. Это позволяет умеренно защититься от крашей, в т.ч. связанных с физическими случайными повреждениями дисков. У меня однажды диск полетел со стола, и всё, накрылся, пришлось восстанавливать в лаборатории. Была бы одна ФС — накралось бы всё или почти всё, а так оказалось, что /usr похерился и более не монтируется, а остальные разделы в норме, всё ОК. Все данные удалось вытащить.
Бред.
посмотрите пост Гость (05/09/2013 18:24). Конечно не инструкция, но по сути нормально написано. Вы выбрали какой дистрибутив ставить будете? Когда определитесь, советы будут более конкретными.
комментариев: 7 документов: 1 редакций: 0
Это не так. По крайней мере, судя по существующему положению вещей. Из Ваших слов я могу предположить, что под "обычной" установкой Вы имеете ввиду "домашнюю" установку на один компьютер с установочного компакт-диска, а не развертывание с помощью специальных инструментов таких как Windows Automated Installation Kit (WAIK 2.0), Windows System Image Manager (WSIM), Windows Preinstallation Environment (Windows PE), Microsoft Deployment Toolkit (MDT) 2010. Значение термина "предустановленная система" я, к сожалению, предположить не могу.
Грубо говоря, существует два способа "обычной" установки Windows 7 / Windows 8. Первый – установка на диск, не имеющий разделов, равно как и установка на диск, имеющий разделы, но с изменением существующей схемы разметки посредством удаления старых и создания новых разделов средствами установщика Windows. Второй – установка на диск, имеющий разделы, без изменения схемы разбиения.
При первом способе установщик Windows не предоставляет Вам выбора, и автоматически создает зарезервированный раздел без буквы, на котором находятся файлы конфигурации хранилища загрузки (BCD) и файл менеджера загрузки системы (bootmgr), который в свою очередь передает управление загрузчику операционной системы (winload.exe), находящемуся в папке System32.
При втором способе, если размер, тип и атрибуты имеющегося раздела позволяют, то Windows 7 / Windows 8 устанавливается на выбранный раздел, а вышеупомянутые файлы загрузчика размещаются в скрытой папке с:/boot.
Не грубо говоря, существуют следующие обязательные условия для создания зарезервированного раздела:
– загрузка с внешнего устройства (DVD, USB), т.к. при запуске программы установки из-под Windows нет возможности работать с разделами жесткого диска;
– общее количество первичных и дополнительного разделов жесткого диска перед началом установки не должно превышать двух. Если до начала установки диск уже поделен на 3 таких раздела, то скрытый раздел сформирован не будет, а файлы загрузки будут находиться на уже имеющемся активном разделе. Причем это может быть не тот раздел, на который устанавливается система. Количество логических разделов на дополнительном значения не имеет.
– установка должна выполняться в неразмеченную область диска. Если диск уже размечен, то при выборе раздела для установки системы необходимо не просто его отформатировать, но и создать заново, то есть раздел для установки нужно сначала удалить.
Это не так. Не следует путать скрытый раздел, зарезервированный системой для загрузочных файлов, и раздел восстановления, создаваемый производителями для возвращения компьютера к заводскому состоянию. Такие разделы имеют совершенно другие атрибуты. Возможно этот случай Вы замаскировали словами "предустановленная система", но, гадать не буду.
Размеры зарезервированного раздела в Windows 7 и Windows 8 составляют 100 и 350 Мб соответственно. В отличие от Windows 7, в которой файлы среды восстановления находятся в скрытой системной папке Recovery на разделе с операционной системой, в Windows 8 эта папка находится на разделе "Зарезервировано системой". Это основное и очень важное отличие. Даже если произошло серьезное повреждение системы или раздела с ней, у Вас всегда под рукой находится инструмент восстановления.
Не удалось выполнить
команду 'grub-install/ dev/ sda2 ' Это не
исправимая ошибка.
комментариев: 9796 документов: 488 редакций: 5664
При использовании полнодискового шифрования с LVM это становится неактуальным. При крахе контейнера вытащить данные будет нетривиальной задачей.
Достаточно двух разделов: под /boot и под шифрованный PV. Какие на шифрованном PV создавать LV и как по ним раскидывать разделы — вопрос личных предпочтений и потребностей под конкретные задачи. На безопасность это никак не влияет. Тем более, при использовании LVM всегда можно насоздавать, наудалять или изменить размер LV.
Гость, у вас руки трясутся, когда текст набираете? Должно быть:
grub-install /dev/sda2
Если заголовок не повреждён, то в чём проблема? Да даже если и повреждён, поди наверняка можно извлечь. При физических повреждениях (царапины и т.д.) повреждается конкретное место на диске. Если разбитие на разделы было по умолчанию, и их потом не ресайзили, то один логический том на диске должен (физически) следовать попоярдку за другим, т.е. структура ничем существенно не отличается от таковой для разделов диска. Если повреждённые сектора целиком попадают в один логический LVM-том, то остальные не затронуты, и файловые системы на них должны смонтироваться без фатальных ошибок.
Можно поподробнее, на примере уже с установленной виндой на диске,на каком этапе шифровать диск с luks
комментариев: 11558 документов: 1036 редакций: 4118
Простите, на одном разделе с виндой? Винда же на одном разделе, а шифровать с линуксом вы собираетесь другой. Все операции над этим вторым разделом и производятся.
Последние дни тут успели уже несколько раз написать, что /boot не будет шифроваться.
Где-то на сайтах должны быть инструкции по инсталляции системы, поищите их. На уровне одного абзаца последовательность шагов уже сказана:*
*А исчерпывающее how to со скриншотами я в ближайшее писать не планирую.
Ужать раздел, который винда занимает.** После этого должно появиться свободное место на диске (будет выглядеть, как другой виртуальный диск). Далее можно в инсталляторе указать Linux'у ставиться на свободное место, при этом можно будет доразбить его так, чтобы получилось несколько разделов на нём, и Linux занял только один из них.
**В древности это умел делать Acronis Selector, как сейчас это делается с современными UEFI и прочим говном — не знаю.
Зачем же вы Gparted оскорбляете?
Два движения: выделение фразы и перетаскивание на строку поиска. Клик по первой ссылке в поисковике – читаем. Это общеупотребительное словосочетание в компьютерной среде.
Посыпаю голову пеплом. Встроенные средства Win 7 неудобны и не использовались ни разу.
комментариев: 7 документов: 1 редакций: 0
2Гость, у которого ничего не получается ни сделать, ни понять.
Вы бампуете этот боян в честь памяти Кащенко? Или кроме лулзов Вам еще что-то нужно? Эта нить давно уже представляет чисто теоретический (исторический) интерес. Поверьте, эта двойная загрузка Вам не нужна, как и никому другому. Намучаетесь Вы с ней. То время, которое можно потратить на удовольствие от общения с компьютером, Вы убьете на разбор бесполезной технологии. Ну тогда удачи Вам. Или лулзов. По потребности.
Через пару лет загляну. Видимо смерть двача широко разбросала его яркую плеяду по другим форумам.