Установка на шифрованный раздел — различия между версиями

Материал из Rosalab Wiki
Перейти к: навигация, поиск
(Загрузка без ввода пароля)
 
(не показано 9 промежуточных версий 2 участников)
Строка 1: Строка 1:
== ЗАГОТОВКА СТАТЬИ ==
 
 
  
 
== Установка ==
 
== Установка ==
Строка 10: Строка 8:
  
 
* Размер - 100-200 Мb
 
* Размер - 100-200 Мb
* FS - vfat, флаг esp (если разбивка в анаконде достаточно указать тип)  
+
* FS - vfat, флаг esp (если разбивка в Анаконде, достаточно указать тип)  
 
* Точка монтирования - /boot/efi
 
* Точка монтирования - /boot/efi
  
Строка 24: Строка 22:
 
* Вот для этого раздела включаем шифрование LUKS2
 
* Вот для этого раздела включаем шифрование LUKS2
 
   
 
   
Дальнейшая установка не отличается ничем. Во время загрузки ОС после выбора пункта загрузки в меню граба на этапе initrd у вас будет запрошен пароль. Прямо поверх заставки plymouth.  
+
Дальнейшая установка не отличается ничем. Во время загрузки ОС после выбора пункта загрузки в меню граба на этапе initrd у вас будет запрашиваться пароль. Прямо поверх заставки plymouth.  
 
Описания там нет нужно вводить пароль от корневого LUKS2 раздела.
 
Описания там нет нужно вводить пароль от корневого LUKS2 раздела.
+
 
 
== Загрузка без ввода пароля ==
 
== Загрузка без ввода пароля ==
 
Как вы уже заметили загрузчики остаются на открытых разделах, чтобы защитить машину от взлома путем внесения изменений на этих разделах необходимо устанавливать пароль для UEFI.
 
Как вы уже заметили загрузчики остаются на открытых разделах, чтобы защитить машину от взлома путем внесения изменений на этих разделах необходимо устанавливать пароль для UEFI.
Строка 32: Строка 30:
 
не теряя при этом в безопасности.
 
не теряя при этом в безопасности.
  
Все современные x86_64 машины, примерно с 16го года оснащаются модулем [https://ru.wikipedia.org/wiki/TPM_(%D1%81%D0%BF%D0%B5%D1%86%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F) tpm2], который можно использовать для разблокировки раздела LUKS. Утрируя можно объяснить идею так: ключ от LUKS вместо вас вводит машина. Таким образом изъятый носитель расшифровать не получится потому что ключ в машине, а машину загрузить не получится потому-что пароль на загрузку UEFI.
+
Все современные x86_64 машины, примерно с 16го года оснащаются модулем [https://ru.wikipedia.org/wiki/TPM_(%D1%81%D0%BF%D0%B5%D1%86%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F) tpm2], который можно использовать для разблокировки раздела LUKS. Упрощенно можно объяснить идею так - ключ от LUKS вместо вас вводит машина. Таким образом изъятый носитель расшифровать не получится потому что ключ в машине, а машину загрузить не получится потому-что пароль на загрузку UEFI.
  
Есть два способа использования tpm2 для авторазблокировки корневого раздела LUKS для Linux.  
+
'''Есть два способа использования tpm2 для авторазблокировки корневого раздела LUKS для Linux.'''
  
# c использованием фреймворка clevis  
+
* c использованием фреймворка clevis
# c systemd-cryptenroll.  
+
* c systemd-cryptenroll.  
  
Оба доступны для ОС Роса платформы rosa2021.1 и новее. Для их использования подготовлены специальные пакеты с упрощающие настройку:
+
Оба доступны для ОС Роса платформы rosa2021.1 и новее. Для их использования подготовлены специальные пакеты, упрощающие настройку:
 
      
 
      
    luksunlock-systemd
+
luksunlock-systemd
    luksunlock-clevis
+
luksunlock-clevis
  
Можно выбрать любой либо устанавливать luksunlock и система выберет лучший вариант.
+
''Можно выбрать любой либо устанавливать luksunlock и система выберет лучший вариант.''
  
В консоли с правами root в системе установленной в LUKS раздел выполните:
+
'''В консоли с правами root в системе установленной в LUKS раздел выполните:'''
  
    dnf install luksunlock -y  
+
dnf install luksunlock -y  
    luksunlock
+
luksunlock
  
 
Далее следуйте указаниям утилиты, в простейшем случае понадобится только ввести пароль для LUKS раздела. После завершения работы утилиты пароль LUKS при загрузке более запрашиваться не будет.
 
Далее следуйте указаниям утилиты, в простейшем случае понадобится только ввести пароль для LUKS раздела. После завершения работы утилиты пароль LUKS при загрузке более запрашиваться не будет.
  
Для того чтобы отключить авторазблокировку корневого раздела LUKS:
+
''Важно!!! В случае использования luksunlock-clevis окошко для  ввода пароля все равно будет появляться.''
 +
 
 +
''Паниковать и пытаться вводить пароль не нужно, просто дождитесь окончания загрузки.''
 +
 
 +
'''Для того чтобы отключить авторазблокировку корневого раздела LUKS:'''
 +
 
 +
lukslock
 +
 
  
    lukslock
+
[[Категория:ROSA Server]]

Текущая версия на 15:43, 9 декабря 2024

Установка

Инсталлятор anaconda. используемый в Роса начиная с платформы rosa2021.1, позволяет создавать шифрованные разделы в том числе можно шифровать и всю корневую ФС, при условии что загрузчики будут вынесены на отдельные разделы.

Для установки с шифрованным корнем делаем следующую разбивку:

Раздел 1

  • Размер - 100-200 Мb
  • FS - vfat, флаг esp (если разбивка в Анаконде, достаточно указать тип)
  • Точка монтирования - /boot/efi

Раздел 2

  • Размер - 500-1000 Mb (для установки хватит и 300, но для обновления initrd уже недостаточно)
  • FS: ext4
  • Точка монтирования - /boot

Раздел 3

  • Размер - от 10 Gb
  • FS - любая с поддержкой юникс прав, например ext4
  • Точка монтирования - /
  • Вот для этого раздела включаем шифрование LUKS2

Дальнейшая установка не отличается ничем. Во время загрузки ОС после выбора пункта загрузки в меню граба на этапе initrd у вас будет запрашиваться пароль. Прямо поверх заставки plymouth. Описания там нет нужно вводить пароль от корневого LUKS2 раздела.

Загрузка без ввода пароля

Как вы уже заметили загрузчики остаются на открытых разделах, чтобы защитить машину от взлома путем внесения изменений на этих разделах необходимо устанавливать пароль для UEFI. Но это приведет к тому, что для загрузки вам нужно будет вводить уже два пароля, а если еще отключен автологин то уже три. Однако есть способ загружать машину без ввода пароля LUKS не теряя при этом в безопасности.

Все современные x86_64 машины, примерно с 16го года оснащаются модулем tpm2, который можно использовать для разблокировки раздела LUKS. Упрощенно можно объяснить идею так - ключ от LUKS вместо вас вводит машина. Таким образом изъятый носитель расшифровать не получится потому что ключ в машине, а машину загрузить не получится потому-что пароль на загрузку UEFI.

Есть два способа использования tpm2 для авторазблокировки корневого раздела LUKS для Linux.

  • c использованием фреймворка clevis
  • c systemd-cryptenroll.

Оба доступны для ОС Роса платформы rosa2021.1 и новее. Для их использования подготовлены специальные пакеты, упрощающие настройку:

luksunlock-systemd
luksunlock-clevis

Можно выбрать любой либо устанавливать luksunlock и система выберет лучший вариант.

В консоли с правами root в системе установленной в LUKS раздел выполните:

dnf install luksunlock -y 
luksunlock

Далее следуйте указаниям утилиты, в простейшем случае понадобится только ввести пароль для LUKS раздела. После завершения работы утилиты пароль LUKS при загрузке более запрашиваться не будет.

Важно!!! В случае использования luksunlock-clevis окошко для ввода пароля все равно будет появляться.

Паниковать и пытаться вводить пароль не нужно, просто дождитесь окончания загрузки.

Для того чтобы отключить авторазблокировку корневого раздела LUKS:

lukslock