5350
Commento:
|
← Versione 27 del 18/10/2020 21.36.53 ⇥
0
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 1: | Linea 1: |
Il metodo più veloce per creare un Ubuntu Linux con file system cifrato è l' installazione ex novo.[[BR]] Le istruzioni seguenti fanno riferimento alla release 10.04 LTS "Lucid Lynx".[[BR]] = Creiamo un file system cifrato = Lanciare Ubuntu LiveCD/DVD e selezionare '''''Try Ubuntu without installing'''''.[[BR]] Aprire un terminale e digitare {{{sudo su }}} Installiamo quindi i pacchetti utili (gparted) e necessari (crypsetup, lvm2) digitando {{{apt-get --force-yes --yes install gparted cryptsetup lvm2 }}} Lanciare [http://wiki.ubuntu-it.org/Hardware/DispositiviPartizioni/PartizionamentoManuale?action=show&redirect=Hardware%2FDispositiviPartizioni%2FGparted gparted] e cancellare le vecchie partizioni.[[BR]] Crearne una nuova (sda1) delle dimensioni fra i 150 ed 250 Mb destinata ai files di bootstrap e che quindi non verrà criptata.[[BR]] Una seconda partizione (sda2) delle dimensioni di almeno 6GB è destinata allo swapping ed alla restante parte del file system.[[BR]] Per adesso non importa il tipo di formattazione (fat,ext2,...) che sceglierete per sda1 e sda2.[[BR]] Carichiamo in memoria centrale i moduli rispettivamente per il "Linux Unified Key Setup" (sistema cifratura del disco),per gli algortmi di cifratura usati dal ''luks'': il ''serpent'' e lo "Xor-encrypt-xor Tweaked codeBook mode with ciphertext Stealing" ed in fine per l'algoritmo di hashing ''ripemd160'' usato da ''xts''. {{{modprobe dm-crypt serpent xts rmd160 }}} Criptiamo dunque ''/dev/sda2'' formattandolo in modalità ''luks'', cifrando in cascata con gli algoritmi ''serpent'' e ''xts'' con metodo "Encrypted Salt-Sector Initialization Vector", utilizzando una chiave di 512 bit. {{{cryptsetup -c serpent-xts-essiv:rmd160 -s 512 luksFormat /dev/sda2 }}} Il sistema chiedera` di confermare il comando (digitanto '''YES''') e qundi chiedera` di inserire due volte la password scelta.[[BR]] Apriamo il volume appena formattato e lo rimappiamo come ''/dev/mapper/dec_sda2''. {{{cryptsetup luksOpen /dev/sda2 dec_sda2 }}} Impostiamo per il volume virtuale ''/dev/mapper/dec_sda2'' gli attributi necessari a farlo sembrare un dispositivo fisico. {{{pvcreate /dev/mapper/dec_sda2 }}} All'interno di ''/dev/mapper/dec_sda2'' creiamo il gruppo di volumi ''gv_dec_sda2''. {{{vgcreate gv_dec_sda2 /dev/mapper/dec_sda2 }}} Quindi aggiungiamo al gruppo il volume ''scambio'' per lo swapping (in questo caso di 8 GByte). {{{lvcreate -L 8G -n gv_dec_sda2/scambio mkswap -f /dev/mapper/gv_dec_sda2-scambio }}} Poi aggiungiamo al gruppo il volume ''radice'' per il resto del filesystem (in questo caso di 420 GByte). {{{lvcreate -L 492G -n gv_dec_sda2/radice mkfs.ext4 /dev/mapper/gv_dec_sda2-radice }}} Se tutto è andato a buon fine il comando '''lvs''' mostrera` nell'elenco i volumi ''radice'' e ''scambio''. = Installiamo Ubuntu nel file system cifrato = A questo punto possiamo avviare [http://wiki.ubuntu-it.org/Installazione/Grafica l'installazione di Ubuntu].[[BR]] Al momento di scegliere il metodo di partizionamento del disco, optare per quello manuale.[[BR]] Impostare il volume ''/dev/mapper/gv_dec_sda2-radice'' per essere formattato in ''ext4 con journaling'' ed associato al mount point '''/'''[[BR]] Impostare il volume ''/dev/mapper/gv_dec_sda2-scambio'' per essere usato come ''swapping area''[[BR]] Impostare il volume ''/dev/sda1'' per essere formattato in ''ext4 con journaling'' ed associato al mount point ''/boot''[[BR]] /!\ Al termine dell' installazione ~+non dobbiamo fare il reboot+~. = Impostiamo la decifrazione del file system al bootstrap = {{{cd /mnt mkdir radice mount /dev/mapper/gv_dec_sda2-radice radice mount /dev/sda1 radice/boot }}} Adesso la directory ''/mnt/radice'' è associata alla radice nuovo filesystem che manca di alcuni files sia reali che virtuali: "popoleremo" le cartelle vuote con i files del livecd. {{{mount -o bind /proc radice/proc mount -o bind /dev radice/dev mount -o bind /sys radice/sys }}} Per poter rigenerare alcuni files di configurazione dobbiamo "simulare" il normale file system. {{{chroot radice }}} adesso ''/mnt/radice'' è diventata la directory radice di una nuova shell del terminale. Aggiungiamo al nuovo sistema i pacchetti indispensabili all'accesso a ''/dev/sda2''. {{{apt-get --force-yes --yes install gparted cryptsetup lvm2 }}} Apriamo il file di configurazione del modulo di bootstrap di decrifrazione. {{{nano /etc/crypttab }}} ed aggiungiamo la seguente riga: '''dec_sda2 /dev/sda2 none luks,cypher=serpent-xts-essiv:rmd160''' . [[BR]] Salviamo il file con la combinazione di tasti '''''ctrl o''''' seguito dal tasto '''''invio''''' poi usciamo da ''nano'' usando la combinazione '''''ctrl x'''''.[[BR]] Rigeneriamo il file di configurazione che definisce le azioni iniziali del sistema. {{{update-initramfs -c -k all }}} Rigeneriamo il file di configurazione che definisce le azioni al momento del bootstrap. {{{update-grub2 }}} Togliamo il livecd e riavviamo il pc.[[BR]] Se tutto è andato bene apparirà un messaggio che chiede la password di sblocco di ''/dev/sda2'' ed una volta inserita la password giusta dovrebbe continuare normalmente il caricamento di ubuntu. ---- CategoryNuoviDocumenti CategorySicurezza |