2つのドライブ（SSD / HDD）で完全なディスク暗号化を使用して18.04をインストールする方法

HOWTO 2台のドライブを使用したUbuntu 18.04 LTSインストールの暗号化：プライマリSSDのOS、セカンダリHDDの/ home

これは、Ubuntu 18.04 LTSインストールの完全なディスク暗号化のガイドです。 / homeディレクトリのみの暗号化と混同しないでください。これはインストール中にオプションとして削除されたと思います。これらの手順はUbuntu 18.04 LTS用ですが、16.04 LTSでも動作するはずです。

このガイドは、Ubuntu（Linux）に精通しており、USBキーからOSをインストールできること、または少なくともこの手順を実行する方法を理解していることを前提としています。 。 また、この手順ではすべてのドライブ上のすべてのデータを破棄するため、この手順を開始する前にすべてのデータをバックアップしたことを前提としています。

あなたは警告を受けました！

このガイドは、主にここからの2つの手順の融合です（David Yatesのブログ投稿）（ https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on- ubuntu-14-10-post-install / ）およびAsk Ubuntu投稿（ ホームフォルダーを2番目のドライブに移動 ）。

まず最初に、なぜこれをしたいのですか？ラップトップ、またはコンピューター上の他の機密データを所有している場合、それが盗まれたり失われたりした場合、データを保護できる必要があります。データを保護したことについて法的責任がある場合があります。第二に、多くの（ほとんどの）システムには、OS用の小さなSSD（高速）とデータ用の大きなHDD（低速）が搭載されています。第三に、/ homeディレクトリのみを暗号化することは、/ homeがハッキングされる可能性にさらされるため、悪い考えとして認識されています（方法を聞かないでください）それはできませんでした）、部分的な暗号化はシステムを大幅に遅くします。 FDEは必要なオーバーヘッドが少ないため、システムのパフォーマンスへの影響は最小限です。

パートI：Ubuntu 18.04 LTSをプライマリドライブ（通常はSSD）にインストールします

Ubuntu 18.04 LTSを小さい方（通常はSSD）にインストールし、（i）ディスクの消去、（ii）インストールの暗号化、（iii）LVM管理を確認します。

これにより、SSDが暗号化されますが、2番目（通常はHDD）のドライブには触れません。 2番目のドライブは新しい未フォーマットのドライブであると想定していますが、この手順の前にドライブに何が入っているかは問題ではありません。このドライブ上のすべてのデータを破壊します。 Ubuntu内からソフトウェアパッケージを使用してドライブを準備します（この準備が厳密に必要かどうかはわかりませんが、テスト済みです）。すぐに移動する/ homeパーティション（フォルダ）にこれを準備するには、gPartedというGUIツールを使用してフォーマットする必要があります。

Sudo apt install gparted

GPartedを開き、2番目のHDDに移動して（/ dev/sd？Xを慎重に確認します）、既存のパーティションを削除し、ext4を使用して新しいプライマリパーティションを作成しますファイルシステム。ラベルを付けることもできますが、必ずしも必要ではありません。 「適用」を選択します。 1つのgPartedが終了したら、gPartedを閉じます。これで、2番目のドライブにLUKSコンテナーをインストールし、フォーマットする準備ができました。以下のコマンドで、sd？XをSECONDARYドライブ（プライマリドライブではない）の名前に置き換えます。 、たとえばsda1。

Sudo cryptsetup -y -v luksFormat /dev/sd?X

次に、新しいパーティションを復号化して、Ubuntuが好む最新のLinuxファイルシステムであるext4でフォーマットできるようにする必要があります。

Sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
Sudo mkfs.ext4 /dev/mapper/sd?X_crypt

2番目のHDDを頻繁にアクセスする通常のハードドライブとして使用する場合（/ homeパーティションをPart IIのポイントに移動する場合など）、起動時に2番目のドライブを自動的にマウントし、復号化する方法があります。これは、コンピューターからプライマリハードドライブ復号化パスワードの入力を求められたときです。 Aside：私は迷信的で、2つの異なる問題を想定しているため、両方のドライブに同じパスフレーズを使用していますパスフレーズ。

最初に、セカンダリドライブのパスワードとして機能するキーファイルを作成する必要があります。これにより、起動するたびに入力する必要がなくなります（プライマリハードドライブ暗号化パスワードなど）。

Sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
Sudo chmod 0400 /root/.keyfile
Sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile

キーファイルが作成されたら、nanoを使用して/ etc/crypttabに次の行を追加します

Sudo nano /etc/crypttab

この行を追加し、ファイルを保存して閉じます（/ etc/crypttab）。

sd?X_crypt UUID=<device UUID> /root/.keyfile luks,discard

パーティションのUUIDを取得して/ etc/crypttabファイルに入力するには、次のコマンドを使用します（すべてのパーティションが表示されるようにSudoを使用する必要があります）。

Sudo blkid

必要な値は、dev/mapper/sd？X_cryptではなく、/ dev/sd？XのUUIDです。また、PARTUUIDではなくUUIDをコピーしてください。

さて、この時点で（閉じて保存/ etc/crypttabファイル）、Ubuntuインストールにログイン（プライマリドライブ復号化パスワードを入力）でき、プライマリとセカンダリの両方を復号化できるはずです。ドライブ。そうでない場合、これが発生するかどうかを確認する必要がありますSTOP;問題を解決します。これが動作せず、[/ homeを移動した場合、動作しないシステムになります。

再起動して、これが実際に該当するかどうかを確認してください（デイジーチェーン復号化）。セカンダリドライブが自動的に復号化される場合、「その他の場所」を選択すると、2番目のドライブがリストに表示され、ロックアイコンが表示されますが、アイコンはnlockedになります。

2番目のドライブが自動的に復号化される場合（必要に応じて）、Part IIに進み、2番目のドライブを/ homeフォルダーのデフォルトの場所として指定します（より大きなスペース）。

パートII：/ homeパーティションをセカンダリドライブ（i.e。HDD）に移動します

セカンダリドライブのマウントポイントを作成し、新しいパーティション（セカンダリHDD）を一時的にマウントし、そこに/ homeを移動する必要があります。

Sudo mkdir /mnt/tmp
Sudo mount /dev/mapper/sd?X_crypt /mnt/tmp

/ sd？Xが/ homeの新しいパーティションであると仮定した場合（上記の通り）

次に、プライマリドライブ（SSD）からセカンダリドライブ（HDD）に/ homeフォルダーを新しい/ homeの場所にコピーします。

Sudo rsync -avx /home/ /mnt/tmp

次に、新しいパーティションを/ homeとしてマウントします

Sudo mount /dev/mapper/sd?X_crypt /home

すべてのフォルダー（データ）が存在することを確認します。

ls

ここで、新しい/ homeセカンダリドライブの場所を永続的にしたいので、移動した/ homeを自動的にマウントするためにfstabエントリを編集する必要があります=復号化されたセカンダリHDD上。

Sudo nano /etc/fstab

最後に次の行を追加します。

/dev/mapper/sd?X_crypt /home ext4 defaults 0 2

ファイルを保存して閉じます。

リブート。リブート後、/ homeが新しいセカンダリドライブに常駐し、データ用に十分なスペースが必要になります。