it-swarm.dev

Avvio multiplo con crittografia completa del disco rigido e autenticazione pre-avvio

Come impostare un sistema multiboot che supporti la crittografia completa del disco rigido e l'autenticazione pre-avvio.

Ho un sistema con Ubuntu, Windows 7, Windows XP e vorrei installare Red Hat. Uso il boot loader grub 2. Quale software supporta questa configurazione, per la crittografia dell'unità completa con autenticazione pre-avvio? Esiste l'autenticazione pre-boot TrueCrypt per Windows, ma funzionerà bene con grub 2? Quale altro software di crittografia del disco è possibile utilizzare per il lato Linux?

26
dabest1

Prima di leggere tutto questo, ricorda che questa tecnica ha almeno 5 anni - è probabilmente molto più semplice ormai (vedi le altre risposte). (Ma è stato sicuramente divertente capirlo.)

L'ho fatto qualche anno fa con Fedora 10 e Windows Vista per dimostrare come tutte le complessità si incastrano. È stato un po 'coinvolto (soprattutto perché Windows Vista non "gioca bene con gli altri" e non ama essere installato secondo), ma alla fine ho trovato un metodo adatto a me. Il tuo caso è più complesso perché hai 3 SO esistenti e vuoi aggiungerne un altro sul tuo disco.

Poiché non ho mai tentato di farlo sulla grandezza di 4 sistemi operativi, lascerò la maggior parte di esso a te (il vero partizionamento e simili) e proverò a prendere i principi di sicurezza generali dalla mia esperienza e applicarli a la tua situazione. Inoltre, nel mio caso, ho iniziato da zero su un'unità che avevo cancellato. Questo è stato più un esperimento che un'esposizione di esperti ... quindi prendi alcune cose con un pizzico di "sale" (niente gioco di parole previsto) e non ritenermi responsabile. :)


Ricorda, questi sono solo i miei appunti. Dovrai adattarli alla tua situazione. Quindi eccoci qui:

Problemi risolti con il metodo qui descritto

  • Il disco rigido del mio notebook potrebbe contenere solo 4 partizioni primarie.

  • Le partizioni primarie sono le uniche su cui i sistemi operativi possono essere installati (Windows, comunque).

  • Le partizioni primarie sono le uniche partizioni da cui è possibile avviare il sistema

  • Ogni partizione estesa conta come partizione primaria.

  • Potrebbero essere necessarie 6 o 7 partizioni.

  • TrueCrypt non può crittografare un'intera unità che ha più partizioni, sistemi operativi e vari file system quando viene eseguita su una sola

  • TrueCrypt non funziona bene con Grub o qualsiasi caricatore di avvio non Windows.

  • A Windows piace essere installato per primo e solo su una partizione contrassegnata come "avviabile" (o, se nessuna partizione è contrassegnata come "avviabile")

Benefici alla fine

  • Dopo il prompt iniziale del caricatore di avvio, il montaggio di varie partizioni crittografate potrebbe essere automatizzato con script. (<3 TrueCrypt)

  • I file possono essere condivisi tra sistemi operativi crittografati (con password).

  • Ogni partizione è crittografata, anche il file di scambio.

Come funzionano i bootloader

  • Installiamo e utilizziamo il boot loader predefinito di Windows sull'MBR. Questo è ciò per cui il computer verrà avviato per primo.

  • Installiamo GRUB (boot loader di Fedora), ma non sull'MBR. Questo sarà semplicemente disponibile per noi per l'avvio in un secondo momento.

  • Installiamo TrueCrypt che assume il boot loader di Windows. Il boot loader di TrueCrypt entra nell'MBR. All'avvio, l'utente eseguirà l'autenticazione con TrueCrypt, quindi verrà portato al caricatore di avvio di Windows dove diventa disponibile l'opzione Vista o Linux (in realtà GRUB).

  • Alla fine, il mio processo di avvio era simile al seguente:

Diagram of full-disk encrypted dual-boot process

Diagramma del processo di doppio avvio crittografato dell'intero disco (le caselle gialle sono partizioni crittografate; i lucchetti sono un altro livello di sicurezza)

Possibili aggiustamenti per la tua situazione

  • Non ho usato Truecrypt sul lato Linux se non per montare le partizioni di Windows. Non sono sicuro di come montare partizioni crittografate Linux native da Windows, quindi la mia installazione era piuttosto unidirezionale. Potresti considerare l'utilizzo di Truecrypt per crittografare almeno il tuo Linux /home e lascia che la crittografia Linux nativa protegga il /swap partizione, ad esempio. Ciò potrebbe consentire a Truecrypt sul lato Windows di montare i tuoi file Linux.

  • Partizionare nuovamente il disco rigido sul posto o aggiungere un'altra unità per Red Hat. Le persone su SuperUser probabilmente ne sanno di più.

  • Scopri come partizionerai il tuo disco rigido in anticipo ... non hai bisogno di tutte le partizioni che ho usato.

Requisiti

  • Un computer con almeno un disco rigido che desideri pulire (esegui prima il backup dei dati, ovviamente ...)

  • Dischi di installazione dei sistemi operativi che si desidera installare

  • Gparted LiveCD o LiveUSB

  • TrueCrypt

  • EasyBCD per modificare il boot loader di Windows (Esiste una versione gratuita ...)


Istruzioni

Eseguire il backup dei dati. Pulirai completamente il disco rigido e lo riformatterai molto presto.

Riformattare l'intera unità. Per fare ciò, utilizzo Gparted LiveCD. Se non vuoi usare Gparted, il programma di installazione di Fedora 10 viene fornito con un editor di partizioni. Ma è un po 'più complicato. Dovrai completare parzialmente l'installazione di Fedora per accedervi, applicare le modifiche al disco, quindi uscire dall'installazione perché Fedora non dovrebbe essere installata per prima. (L'editor delle partizioni di Windows Vista NON è abbastanza potente. Non puoi usarlo per questo.) Incoraggio fortemente l'uso di un LiveCD o LiveUSB di Gparted.

Ho pensato a come dividere il mio disco e dopo un po 'mi sono inventato questo:

Partition map

Layout della partizione per dual boot Fedora 10 e Windows Vista con TrueCrypt

Vorrei averli dimensionati diversamente col senno di poi, ma puoi farlo come vuoi. Ogni lucchetto indica una partizione crittografata. I lucchetti gialli con "TC" sono crittografati con TrueCrypt in Windows. Quelli blu sono criptati da Fedora. Come puoi vedere, ogni partizione - tranne, ovviamente, la partizione/boot - è crittografata. Le partizioni contrassegnate in rosso sono per Windows. Il nero è per Linux.

Ok, quindi questa è una configurazione che funziona per me. Fondamentalmente, vorrai queste cose:

  • Una partizione di avvio principale per mettere Grub (il caricatore di avvio che Fedora può installare per te) - Raccomando da 50 a 100 megabyte. Non contrassegnarlo come "avviabile" durante il partizionamento: Windows si lamenterà.

  • Una partizione estesa per contenere tutte le partizioni "dati" o "varie". Questo conterrà la tua directory Fedora/home (sostanzialmente la cartella "My Documents" di Linux), la partizione di backup di Windows (opzionale) e il tuo file di scambio Linux (altamente raccomandato). Il file di scambio dovrebbe essere almeno grande quanto la capacità della tua RAM.

  • Una partizione primaria per Windows Vista da installare.

  • Una partizione primaria per Fedora 10 su cui installare.

Partiziona il tuo disco in quanto tale e assicurati di formattarlo con i file system appropriati. È possibile utilizzare la tabella sopra come riferimento.

Annota le dimensioni delle tue partizioni (in ordine) e il loro filesystem. Ne avrai bisogno durante le installazioni del sistema operativo.

Inizia l'installazione di Windows Vista. Sarai costretto a fare un'installazione personalizzata. Scegli la partizione NTFS primaria che hai prenotato per l'installazione di Windows. Non dimenticare di caricare i driver del disco rigido, soprattutto sui laptop. Se l'installazione di Windows si blocca intorno al 70%, è necessario installare i driver SATA per il laptop. Una volta caricati i driver e selezionato la partizione giusta, installare Windows.

Dopo l'installazione di Windows, avviare normalmente e terminare l'installazione. Non perdere ancora troppo tempo a personalizzare le cose. Una volta in esecuzione, spegni e inserisci il DVD di Fedora 10. Avvia a quello e installa Fedora. Tuttavia, prendere nota di quanto segue:

  • Assicurati di scegliere di fare un layout personalizzato per il tuo partizionamento. Fedora vorrà cancellare le cose e creare il suo layout di partizione preferito per impostazione predefinita. Non lasciarlo fare questo. Assicurati di andare direttamente alla parte in cui è possibile visualizzare e modificare le informazioni sulla partizione corrente.

  • Non formattare le partizioni NTFS. Windows è su uno di questi.

  • Assicurarsi di impostare il punto di montaggio per la partizione piccola (100 MB?) Su/boot. -Seleziona "Formatta come" e seleziona "ext3". Non è possibile crittografare questa partizione.

  • Imposta il punto di montaggio per la partizione per la tua directory/home su ... hai indovinato:/home. Seleziona "Formato come" e seleziona "ext3", quindi scegli l'opzione "Crittografa".

  • Impostare il punto di montaggio per la partizione per il file di scambio come/swap. Linux dovrà formattarlo e, ovviamente, selezionare "Crittografa".

  • Impostare il punto di montaggio per la partizione per l'installazione principale di Fedora su "/". Seleziona "Formato come" e seleziona "ext3", quindi scegli l'opzione "Crittografa".

Prima di continuare, assicurarsi che nessuna delle partizioni NTFS abbia un segno di spunta accanto a loro. In tal caso, saranno formattati e dovrai ricominciare da capo. Continua. Fedora ti avvertirà che eliminerà tutti i dati sulle partizioni modificate. Va bene. Potrebbe essere necessario impostare anche le password ora. Vai avanti e fallo.

Presto ti chiederà del boot loader. Percorri attentamente qui. Non scrivere il GRUB nell'MBR. Quando viene visualizzato il messaggio "Installa il caricatore di avvio su/dev/sda1" ("sda1" potrebbe essere diverso) - mantieni la casella selezionata ma fai clic su "Cambia dispositivo" e scegli invece "primo settore della partizione di avvio".

Dopo quel passaggio, dovresti essere a casa libero. Completa l'installazione e riavvia il computer. Si avvierà direttamente in Windows.

Una volta caricato Windows, scarica e installa EasyBCD. Ti consigliamo di modificare facilmente il caricatore di avvio di Windows. Aggiungi una voce al boot loader: fai clic su "Aggiungi/Rimuovi voci" - scegli la scheda "Linux", seleziona "GRUB" dal menu a discesa e chiamalo come qualcosa di intelligente. Scegli la partizione che contiene GRUB, non Fedora. Lascia la casella deselezionata.

Aggiungi la voce, quindi prova a riavviare. Ora dovresti essere in grado di avviare Fedora o Windows! Avviare di nuovo in Windows e crittografarlo, come segue:

Installa TrueCrypt e crea un nuovo volume. Scegli "Crittografa la partizione di sistema o l'intera unità di sistema". Da questo punto, dovrai scegliere le opzioni appropriate. Leggili attentamente! Non ricordo l'esatta sequenza, ma è necessario specificare "Avvio multiplo" ad un certo punto. Alla fine chiederà se Windows ha il proprio boot loader nell'MBR o se viene utilizzato un boot loader diverso (come GRUB). Ricorda: stiamo usando il boot loader di Windows (vogliamo che Truecrypt lo "sorpassi").

Una volta terminata la procedura guidata per la creazione del volume, ti verrà chiesto di "Testare" il sistema. Si riavvierà per te. Dovrebbe avviarsi nel caricatore di avvio TrueCrypt in cui si digita la password. Successivamente, dovrebbe caricare il caricatore di avvio di Windows in cui è possibile eseguire l'avvio in Linux o Windows.

Da qui, completa la crittografia della partizione di sistema di Windows, quindi ricorda di crittografare qualsiasi altra partizione NTFS creata per Windows.

Al termine, prova ad avviare Linux. Dovrebbe andare al GRUB dove puoi selezionare Fedora o cambiare idea e tornare a Windows. All'avvio di Fedora, ti verrà chiesta la password mentre monta le partizioni crittografate .


Tl; dr (Troppo lungo; non letto)

Mi ci sono voluti alcuni tentativi per farlo bene con due sistemi operativi, e ha impiegato l'uso di software come EasyBCD, Truecrypt e Gparted, ma alla fine ho avuto successo ... per 2 sistemi operativi. Buona fortuna con 4. La chiave è pianificare in modo efficace. Dimensiona e formatta correttamente le tue partizioni, quindi installa i sistemi operativi nell'ordine corretto. (Di solito Windows inizia per primo.)

PS. Hm, per una soluzione più semplice, anche se non esattamente quello che hai chiesto: hai considerato di eseguire 3 dei 4 sistemi operativi in ​​macchine virtuali? È possibile crittografare la macchina host, proteggendo così gli altri 3 contemporaneamente. (E se sei preoccupato di perdere i file VHD, ricorda che puoi anche crittografare completamente i sistemi operativi guest.)

25
Matt

Necro'd per l'aggiornamento:

Questo è diventato molto più facile ora; la versione più recente di TrueCrypt è compatibile con Linux e consente schemi di doppio avvio che coinvolgono più partizioni e GRUB.

Istruzioni complete qui .

6
Steve

L'autenticazione pre-boot (PBA) può essere fornita in due modi:

  1. Attraverso il software

Se si desidera fare affidamento esclusivamente sul software e richiede l'autenticazione pre-avvio, ovvero un software esegue la crittografia (sul posto o prima dell'installazione dei sistemi operativi) e installa e gestisce l'ambiente di autenticazione pre-avvio (PBA), esempi di tale configurazione e i nomi dei software sono disponibili qui . Come afferma l'articolo,

I sistemi FDE comportano un certo sovraccarico del processore (e quindi dell'alimentazione) per eseguire la crittografia e la decrittografia al volo, e l'impatto di ciò dipende dalla quantità di I/O del disco che le singole applicazioni richiesta. Per gli utenti che svolgono tipiche attività di produttività di posta elettronica e ufficio, è improbabile che l'impatto sulle prestazioni sia evidente, ma può essere significativo per attività ad alta intensità di dati come l'elaborazione video, a meno che il processore principale del computer e il prodotto FDE supportino entrambi Intel AES- Istruzioni NI per la crittografia e la decrittografia con accelerazione hardware.

Quindi, un'altra soluzione sarebbe quella di utilizzare la crittografia hardware.

. 2. Attraverso l'hardware

Qui puoi usare un Self-Encrypting Drive (SED) e utilizzare entrambe le funzionalità di sicurezza ATA (che consentono un'autenticazione pre-boot come un modulo TPM) o optare per un SED conforme a OPAL (2.0) del TCG e utilizzarlo con uno dei i software (principalmente solo per Windows) in grado di sfruttarli. Microsoft ha fatto una specifica su tali unità, vedi qui , quindi se hai eseguito l'aggiornamento a Windows 8 e soddisfano i requisiti BitLocker inizializzerà l'unità e installerà un PBA su di essa, gestendo le chiavi di crittografia.

Ad esempio, è possibile copiare/reinstallare i sistemi operativi su un SSD Crucial M500 e utilizzare il software standalone SecureDoc di WinMagic o se si è passati a Windows 8 BitLocker. Quindi, è possibile installare gli altri sistemi operativi seguendo lo schema desiderato.

Fai attenzione, poiché la crittografia hardware è una specie di blackbox e devi fidarti del produttore che l'ha implementata. Lo stesso vale per i software non liberi, in quanto nessun software libero è ancora in grado di gestire unità compatibili OPAL.

1
neitsab

Linux può essere installato su una partizione logica all'interno di una partizione estesa (Windows è quella che rifiuta l'avvio da logici all'interno di estesa).

Come avviare da un logico all'interno di un esteso senza toccare il contenuto della partizione primaria:

Supose: hai spazio di partizione all'interno della partizione estesa) e avvia da un LiveCD come SystemRescueCD per fare il lavoro, dopo che l'HDD si avvierà dalla partizione logica all'interno della partizione estesa ... il trucco è fatto grazie al bootloader Grub2 che può farlo , può eseguire l'avvio da una partizione estesa.

  • Avvia qualsiasi LiveCD come SystemRescueCd che ha Grub2 e GParted (per l'interfaccia GUI durante la creazione di partizioni)
  • All'interno della partizione estesa creare (uso GParted) una partizione logica con formato ext4 (o qualsiasi altro supportato da Grub2)
  • Ora dalla console montare tale partizione come/boot e installare grub2 con: grub2-install/dev/sda # (dove # è il numero della partizione)
  • Con un editor di testo crea il /boot/grub/grub.cfg (vedi internet per esempi)
  • Riavviare, estrarre il LiveCD
  • Il PC si avvierà da MBR (stiamo parlando di partizioni estese, GPT non ha alcun senso qui), caricherà Grub2 da quella partizione logica all'interno dell'estensione e da lì può caricare Linux/residente su un'altra partizione logica all'interno dell'estensione partizione.

Inoltre, se non hai Windows (meglio dire se hai solo uno o più Linux) non c'è bisogno di QUALSIASI partizione primaria, puoi avere tutti Linux all'interno di partizioni logiche con una sola partizione estesa che occupa il 100% del DISCO FISSO.

Nota: forse BSD e altri sistemi operativi possono anche trovarsi all'interno di partizioni logiche, non ho esperienza su di esse, mi dispiace!

Il grande trucco: il bootloader Grub2 può avviarsi da partizioni logiche interne con 0, 1, 2 o 3 partizioni primarie, può anche eseguire il chainload al secondo HDD se è presente un secondo HDD, inoltre può far apparire il secondo HDD sul sistema operativo come se fosse il prima (con il comando drivemap), ecc.

Unico aspetto negativo: TrueCrypt/VeraCrypt Windows crittografato fa schifo su come si avvia ... forza di avere la traccia 0 del disco con i propri dati, quindi non è compatibile con due o più Windows né con Grub2, perché diavolo hanno fatto non programmarlo usando la traccia PBR invece della traccia MBR? così possiamo fare l'avvio multiplo con finestre crittografate (più di una finestra per disco) !!!

0
Anonimo