|
Dimensione: 5743
Commento:
|
Dimensione: 5621
Commento:
|
| Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
| Linea 1: | Linea 1: |
| ---- /!\ '''Edit conflict - other version:''' ---- Il metodo più veloce per creare un Ubuntu Linux con filesystem criptato è l' installazione ex novo. Le istruzioni seguenti fanno riferimento alla release 10.04 LTS "Lucid Lynx". |
[[BR]] [[Indice()]] |
| Linea 5: | Linea 4: |
| ---- /!\ '''Edit conflict - your version:''' ---- Il metodo più veloce per creare un Ubuntu Linux con filesystem criptato è l' installazione ex novo. Le istruzioni seguenti fanno riferimento alla release 10.04 LTS "Lucid Lynx". |
Scopo della guida è l'installazione di Ubuntu 10.04 su partizioni cifrate.[[BR]] |
| Linea 9: | Linea 6: |
| ---- /!\ '''End of edit conflict''' ---- Lanciare Ubuntu Live CD/DVD e selezionare Try Ubuntu without installing |
= Creare un file system cifrato = Inserire il CD/DVD per l'installazione di Ubuntu e riavviare il PC. Selezionare '''''Try Ubuntu without installing'''''.[[BR]] |
| Linea 15: | Linea 11: |
| {{{sudo su }}} |
|
| Linea 16: | Linea 14: |
| ---- /!\ '''Edit conflict - other version:''' ---- sudo su |
Installare i pacchetti utili ([http://wiki.ubuntu-it.org/Hardware/DispositiviPartizioni/PartizionamentoManuale?action=show&redirect=Hardware%2FDispositiviPartizioni%2FGparted GPARTED]) e necessari (CRYPTSETUP, LVM2) digitando {{{apt-get --force-yes --yes install gparted cryptsetup lvm2 }}} Con '''gparted''' cancellare le vecchie partizioni e crearne due nuove nuove:[[BR]] - '''sda1''' delle dimensioni fra i 150 ed 250 Mb destinata ai files di bootstrap;[[BR]] - '''sda2''' delle dimensioni di almeno 6GB è destinata allo swapping ed alla restante parte del file system.[[BR]]Per ora non importa il tipo di formato (fat,ext2,...) che sceglierete per queste partizioni.[[BR]] |
| Linea 20: | Linea 19: |
| ---- /!\ '''Edit conflict - your version:''' ---- {sudo su} |
Caricare in memoria centrale i moduli rispettivamente per il "Linux Unified Key Setup" (sistema cifratura del disco), per l'algortmo di cifratura usato dal LUKS: il [http://it.wikipedia.org/wiki/Serpent SERPENT], per la modalità di cifratura dei blocchi "Xor-encrypt-xor Tweaked codecook mode with ciphertext Stealing" ([http://en.wikipedia.org/wiki/Disk_encryption_theory#XTS XTS]) e per l'algoritmo di [http://it.wikipedia.org/wiki/Hash hashing] "Research and development in advanced Integrity Primitives Evaluation Message Digest" ([http://it.wikipedia.org/wiki/RIPEMD RIPEMD]) con generazione di un hash lungo 160 bit, usati dal SERPENT. {{{modprobe dm-crypt serpent xts rmd160 }}} |
| Linea 24: | Linea 23: |
| Usare CRYPTSETUP per imporre il formato LUKS a `/dev/sda2`.[[BR]]Per una migliore sicurezza utilizzare una chiave di 512 bit e far utilizzare a SERPENT il metodo "Encrypted Salt-Sector Initialization Vector". ([http://en.wikipedia.org/wiki/ESSIV#ESSIV ESSIV]) per generare il [http://it.wikipedia.org/wiki/Vettore_di_inizializzazione vettore di inizializzazione]. {{{cryptsetup -c serpent-xts-essiv:rmd160 -s 512 luksFormat /dev/sda2 }}} CRYPTSETUP chiedera` di confermare il comando (digitanto YES) e quindi chiedera` di inserire due volte la password scelta.[[BR]] |
|
| Linea 25: | Linea 29: |
| ---- /!\ '''End of edit conflict''' ---- | Aprire il volume e rimapparlo come `/dev/mapper/dec_sda2`. {{{cryptsetup luksOpen /dev/sda2 dec_sda2 }}} |
| Linea 27: | Linea 33: |
| Installiamo quindi i pacchetti utili (gparted) e necessari (crypsetup, lvm2) digitando apt-get --force-yes --yes install gparted cryptsetup lvm2 |
Impostare per il volume virtuale `/dev/mapper/dec_sda2` gli attributi necessari a farlo sembrare un dispositivo fisico. {{{pvcreate /dev/mapper/dec_sda2 }}} |
| Linea 31: | Linea 38: |
| Lanciare gparted e cancellare le vecchie partizioni. Crearne una nuova (sda1) delle dimensioni fra i 150 ed 250 Mb destinata ai files di bootstrap e che quindi non verrà cruitata. Una seconda partizione (sda2) delle dimensioni di almeno 6GB è destinata allo swap ed alla restante parte del file system. Per adesso non importa il tipo di formattazione (fat,ext2,...) che sceglierete per sda1 e sda2. |
All'interno di `/dev/mapper/dec_sda2` creare il gruppo di volumi '''gv_dec_sda2'''. {{{vgcreate gv_dec_sda2 /dev/mapper/dec_sda2 }}} |
| Linea 37: | Linea 42: |
| Carichiamo in memoria centrale i moduli rispettivamente per il "Linux Unified Key Setup" (sistema cifratura del disco), per gli algortmi di cifratura usati dal LUKS: il "serpent" e lo "Xor-encrypt-xor Tweaked codeBook mode with ciphertext Stealing" ed in fine per l'algoritmo di hashing RIPEMD160 usato da XTS |
Aggiungere al gruppo il volume '''scambio''' per lo swapping (in questo caso di 8 GByte). {{{lvcreate -L 8G -n gv_dec_sda2/scambio mkswap -f /dev/mapper/gv_dec_sda2-scambio }}} |
| Linea 41: | Linea 47: |
| modprobe dm-crypt serpent xts rmd160 | Poi aggiungere al gruppo il volume '''radice''' per il resto del filesystem (in questo caso di 420 GByte). {{{lvcreate -L 492G -n gv_dec_sda2/radice mkfs.ext4 /dev/mapper/gv_dec_sda2-radice }}} |
| Linea 43: | Linea 52: |
| Criptiamo dunque /dev/sda2 formattandolo in modalità LUKS, cifrando in cascata con gli algoritmi serpent e XTS con metodo "Encrypted Salt-Sector Initialization Vector", utilizzando una chiave di 512 bit. |
Se tutto è andato a buon fine il comando '''lvs''' mostrera` nell'elenco i volumi '''radice''' e '''scambio'''. |
| Linea 46: | Linea 54: |
| cryptsetup -c serpent-xts-essiv:rmd160 -s 512 luksFormat /dev/sda2 | = Installare Ubuntu nel file system cifrato = |
| Linea 48: | Linea 56: |
| Il sistema chiedera` di confermare il comando (digitanto YES) e qundi chiedera` di inserire due volte la password scelta. |
Lanciare il programma d'[http://wiki.ubuntu-it.org/Installazione/Grafica installazione] di Ubuntu su HardDisk. [[BR]] Al momento di scegliere il metodo di partizionamento del disco, optare per quello manuale.[[BR]] |
| Linea 51: | Linea 60: |
| Apriamo il volume appena formattato e lo rimappiamo come /dev/mapper/dec_sda2 | Impostare il volume `/dev/mapper/gv_dec_sda2-radice` per essere formattato in '''''ext4 con journaling''''' ed associato al mount point '''/'''[[BR]] |
| Linea 53: | Linea 62: |
| cryptsetup luksOpen /dev/sda2 dec_sda2 | Impostare il volume `/dev/mapper/gv_dec_sda2-scambio` per essere usato come '''''swapping area'''''[[BR]] |
| Linea 55: | Linea 64: |
| Impostiamo per il volume virtuale /dev/mapper/dec_sda2 gli attributi necessari a farlo sembrare un dispositivo fisico. |
Impostare il volume `/dev/sda1` per essere formattato in '''''ext4 con journaling''''' ed associato al mount point `/boot`[[BR]] |
| Linea 58: | Linea 67: |
| pvcreate /dev/mapper/dec_sda2 | /!\ ~+Al termine dell' installazione non fare il REBOOT+~. |
| Linea 60: | Linea 69: |
| All'interno di /dev/mapper/dec_sda2 creiamo il gruppo di volumi gv_dec_sda2. vgcreate gv_dec_sda2 /dev/mapper/dec_sda2 |
= Impostare la decifrazione del file system al bootstrap = |
| Linea 64: | Linea 71: |
| Quindi aggiungiamo al gruppo il volume "scambio" per lo swapping (in questo caso di 8 GByte). | {{{cd /mnt mkdir radice mount /dev/mapper/gv_dec_sda2-radice radice mount /dev/sda1 radice/boot }}} |
| Linea 66: | Linea 77: |
| lvcreate -L 8G -n gv_dec_sda2/scambio mkswap -f /dev/mapper/gv_dec_sda2-scambio Poi aggiungiamo al gruppo il volume "radice" per il resto del filesystem (in questo caso di 420 GByte). lvcreate -L 492G -n gv_dec_sda2/radice mkfs.ext4 /dev/mapper/gv_dec_sda2-radice Se tutto è andato a buon fine il comando lvs mostrera` nell'elenco i volumi "radice" e "scambio". A questo punto possiamo avviare l'installazione di Ubuntu. Al momento di scegliere il metodo di partizionamento del disco, optare per quello manuale. Impostare il volume /dev/mapper/gv_dec_sda2-radice per essere formattato in "ext4 con journaling" ed associato al mount point / Impostare il volume /dev/mapper/gv_dec_sda2-scambio per essere usato come swapping area Impostare il volume /dev/sda1 per essere formattato in "ext4 con journaling" ed associato al mount point /boot Al termine dell' installazione NON DOBBIAMO FARE IL REBOOT perchè bisogna impostare il nuovo sistema per la decrittazione alla partenza. cd /mnt mkdir radice mount /dev/mapper/gv_dec_sda2-radice radice mount /dev/sda1 radice/boot Adesso la directory /mnt/radice è associata alla radice nuovo filesystem |
Adesso la directory `/mnt/radice` è associata alla radice nuovo filesystem |
| Linea 97: | Linea 80: |
| {{{mount -o bind /proc radice/proc mount -o bind /dev radice/dev mount -o bind /sys radice/sys }}} |
|
| Linea 98: | Linea 85: |
| mount -o bind /proc radice/proc mount -o bind /dev radice/dev mount -o bind /sys radice/sys |
Per poter rigenerare alcuni files di configurazione è necessario "simulare" il normale file system. {{{chroot radice }}} adesso `/mnt/radice` è diventata la directory radice di una nuova shell del terminale. |
| Linea 102: | Linea 90: |
| Per poter rigenerare alcuni files di configurazione dobbiamo "simulare" il filesystem come quando è a "regime". |
Aggiungere al nuovo sistema i pacchetti indispensabili all'accesso a `/dev/sda2` {{{apt-get --force-yes --yes install gparted cryptsetup lvm2 }}} |
| Linea 105: | Linea 94: |
| chroot radice | Aprire il file di configurazione del modulo di bootstrap di decrifrazione. {{{nano /etc/crypttab }}} |
| Linea 107: | Linea 98: |
| adesso /mnt/radice è diventata la directory radice di una nuova shell del terminale. | ed aggiungere la seguente riga: '''''dec_sda2 /dev/sda2 none luks,cypher=serpent-xts-essiv:rmd160''''' . [[BR]] Salvare il file con la combinazione di tasti '''Ctrl''' + '''O''' seguito dal tasto '''Invio''' poi uscire da ''nano'' usando la combinazione '''Ctrl''' + '''X'''.[[BR]] |
| Linea 109: | Linea 102: |
| Aggiungiamo al nuovo sistema i pacchetti indispensabili all'accesso a /dev/sda2. | Rigenerare il file di configurazione che definisce le azioni iniziali del sistema. {{{update-initramfs -c -k all }}} |
| Linea 111: | Linea 106: |
| apt-get --force-yes --yes install gparted cryptsetup lvm2 | Rigenerare il file di configurazione che definisce le azioni al momento del bootstrap. {{{update-grub2 }}} |
| Linea 113: | Linea 110: |
| Apriamo il file di configurazione del modulo di bootstrap di decrifrazione nano /etc/crypttab ed aggiungiamo la seguente riga dec_sda2 /dev/sda2 none luks,cypher=serpent-xts-essiv:rmd160 salviamo il file con la combinazione di tasti ctrl o seguito dal tasto invio poi usciamo da nano usando la combinazione ctrl x . Rigeneriamo il file di configurazione che definisce le azioni iniziali del sistema update-initramfs -c -k all Rigeneriamo il file di configurazione che definisce le azioni al momento del bootstrap update-grub2 Togliamo il livecd e riavviamo il pc. Se tutto è andato bene apparirà un messaggio che chiede la password di sblocco di /dev/sda2 ed una volta inserita la password giusta dovrebbe continuare normalmente il caricamento di ubuntu. |
Rimuovere il CD/DVD e riavviare il pc.[[BR]] Apparirà un messaggio che chiede la password di sblocco di ''/dev/sda2''. Una volta inserita la password giusta continuerà il normale caricamento di Ubuntu. |
| Linea 135: | Linea 114: |
| CategorySicurezza | CategoryNuoviDocumenti |
Scopo della guida è l'installazione di Ubuntu 10.04 su partizioni cifrate.BR
Creare un file system cifrato
Inserire il CD/DVD per l'installazione di Ubuntu e riavviare il PC. Selezionare Try Ubuntu without installing.BR
Aprire un terminale e digitare {{{sudo su }}}
Installare i pacchetti utili ([http://wiki.ubuntu-it.org/Hardware/DispositiviPartizioni/PartizionamentoManuale?action=show&redirect=Hardware%2FDispositiviPartizioni%2FGparted GPARTED]) e necessari (CRYPTSETUP, LVM2) digitando {{{apt-get --force-yes --yes install gparted cryptsetup lvm2 }}} Con gparted cancellare le vecchie partizioni e crearne due nuove nuove:BR - sda1 delle dimensioni fra i 150 ed 250 Mb destinata ai files di bootstrap;BR - sda2 delle dimensioni di almeno 6GB è destinata allo swapping ed alla restante parte del file system.BRPer ora non importa il tipo di formato (fat,ext2,...) che sceglierete per queste partizioni.BR
Caricare in memoria centrale i moduli rispettivamente per il "Linux Unified Key Setup" (sistema cifratura del disco), per l'algortmo di cifratura usato dal LUKS: il [http://it.wikipedia.org/wiki/Serpent SERPENT], per la modalità di cifratura dei blocchi "Xor-encrypt-xor Tweaked codecook mode with ciphertext Stealing" ([http://en.wikipedia.org/wiki/Disk_encryption_theory#XTS XTS]) e per l'algoritmo di [http://it.wikipedia.org/wiki/Hash hashing] "Research and development in advanced Integrity Primitives Evaluation Message Digest" ([http://it.wikipedia.org/wiki/RIPEMD RIPEMD]) con generazione di un hash lungo 160 bit, usati dal SERPENT. {{{modprobe dm-crypt serpent xts rmd160 }}}
Usare CRYPTSETUP per imporre il formato LUKS a /dev/sda2.BRPer una migliore sicurezza utilizzare una chiave di 512 bit e far utilizzare a SERPENT il metodo "Encrypted Salt-Sector Initialization Vector". ([http://en.wikipedia.org/wiki/ESSIV#ESSIV ESSIV]) per generare il [http://it.wikipedia.org/wiki/Vettore_di_inizializzazione vettore di inizializzazione]. {{{cryptsetup -c serpent-xts-essiv:rmd160 -s 512 luksFormat /dev/sda2 }}} CRYPTSETUP chiedera di confermare il comando (digitanto YES) e quindi chiedera di inserire due volte la password scelta.BR
Aprire il volume e rimapparlo come /dev/mapper/dec_sda2. {{{cryptsetup luksOpen /dev/sda2 dec_sda2 }}}
Impostare per il volume virtuale /dev/mapper/dec_sda2 gli attributi necessari a farlo sembrare un dispositivo fisico. {{{pvcreate /dev/mapper/dec_sda2 }}}
All'interno di /dev/mapper/dec_sda2 creare il gruppo di volumi gv_dec_sda2. {{{vgcreate gv_dec_sda2 /dev/mapper/dec_sda2 }}}
Aggiungere al gruppo il volume scambio per lo swapping (in questo caso di 8 GByte). {{{lvcreate -L 8G -n gv_dec_sda2/scambio mkswap -f /dev/mapper/gv_dec_sda2-scambio }}}
Poi aggiungere al gruppo il volume radice per il resto del filesystem (in questo caso di 420 GByte). {{{lvcreate -L 492G -n gv_dec_sda2/radice mkfs.ext4 /dev/mapper/gv_dec_sda2-radice }}}
Se tutto è andato a buon fine il comando lvs mostrera` nell'elenco i volumi radice e scambio.
Installare Ubuntu nel file system cifrato
Lanciare il programma d'[http://wiki.ubuntu-it.org/Installazione/Grafica installazione] di Ubuntu su HardDisk. BR Al momento di scegliere il metodo di partizionamento del disco, optare per quello manuale.BR
Impostare il volume /dev/mapper/gv_dec_sda2-radice per essere formattato in ext4 con journaling ed associato al mount point /BR
Impostare il volume /dev/mapper/gv_dec_sda2-scambio per essere usato come swapping areaBR
Impostare il volume /dev/sda1 per essere formattato in ext4 con journaling ed associato al mount point /bootBR
![/!\](/moin_static199/light/img/icons/alert.png "/!\"){kind=icon}
Al termine dell' installazione non fare il REBOOT.
Impostare la decifrazione del file system al bootstrap
{{{cd /mnt mkdir radice mount /dev/mapper/gv_dec_sda2-radice radice mount /dev/sda1 radice/boot }}}
Adesso la directory /mnt/radice è associata alla radice nuovo filesystem che manca di alcuni files sia reali che virtuali: "popoleremo" le cartelle vuote con i files del livecd. {{{mount -o bind /proc radice/proc mount -o bind /dev radice/dev mount -o bind /sys radice/sys }}}
Per poter rigenerare alcuni files di configurazione è necessario "simulare" il normale file system. {{{chroot radice }}} adesso /mnt/radice è diventata la directory radice di una nuova shell del terminale.
Aggiungere al nuovo sistema i pacchetti indispensabili all'accesso a /dev/sda2 {{{apt-get --force-yes --yes install gparted cryptsetup lvm2 }}}
Aprire il file di configurazione del modulo di bootstrap di decrifrazione. {{{nano /etc/crypttab }}}
ed aggiungere la seguente riga: dec_sda2 /dev/sda2 none luks,cypher=serpent-xts-essiv:rmd160 . BR Salvare il file con la combinazione di tasti Ctrl + O seguito dal tasto Invio poi uscire da nano usando la combinazione Ctrl + X.BR
Rigenerare il file di configurazione che definisce le azioni iniziali del sistema. {{{update-initramfs -c -k all }}}
Rigenerare il file di configurazione che definisce le azioni al momento del bootstrap. {{{update-grub2 }}}
Rimuovere il CD/DVD e riavviare il pc.BR Apparirà un messaggio che chiede la password di sblocco di /dev/sda2. Una volta inserita la password giusta continuerà il normale caricamento di Ubuntu.
