Le disque d'installation Ubuntu 13.04 a une option pour installer Ubuntu chiffré à l'aide de LUKS. Cependant, il n'y a pas d'option permettant d'effectuer une installation chiffrée avec des partitions existantes pour un scénario à double démarrage.

Comment puis-je installer Ubuntu chiffré avec une autre partition du disque live?

Tout d'abord, si vous souhaitez installer Ubuntu chiffré sur un disque dur en remplaçant les partitions et les systèmes d'exploitation existants, vous pouvez le faire directement à partir du programme d'installation graphique. Ce processus manuel n'est requis que pour le double démarrage.

Cette réponse a été testée avec Ubuntu 13.04.

1. Démarrez à partir d’un DVD live ou d’une clé USB Ubuntu, puis sélectionnez "Essayer Ubuntu".

2. Créez deux partitions en utilisant GParted inclus dans le disque live. La première partition ne devrait pas être formatée et devrait être assez grande pour root et swap, dans mon exemple, c’est /dev/sda3. La seconde partition doit faire plusieurs centaines de mégaoctets et être formatée en ext2 ou ext3. Elle sera non chiffrée et montée /boot(dans mon exemple, c'est /dev/sda4).

   Dans cette capture d'écran, j'ai une installation existante d'Ubuntu non chiffrée dans deux partitions: /dev/sda1et /dev/sda5, surlignez dans le cercle à gauche. J'ai créé une partition non formatée dans /dev/sda3et une partition ext3 dans /dev/sda4, destinées à l'installation chiffrée d'Ubuntu, mises en évidence dans le cercle à droite:

   

3. Créez un conteneur LUKS à l'aide de ces commandes. Remplacez-la /dev/sda3par la partition non formatée créée précédemment et cryptcherriespar un nom de votre choix.

   sudo cryptsetup luksFormat /dev/sda3
   sudo cryptsetup luksOpen /dev/sda3 cryptcherries
   

4. Avertissement : vous remarquerez que l' luksFormatétape s'est terminée très rapidement, car le périphérique sous-jacent en bloc n'est pas effacé de manière sécurisée. À moins que vous ne fassiez qu'essayer, et que vous ne vous préoccupiez pas de la sécurité contre différents types d'attaque judiciaire, il est essentiel d'initialiser correctement le nouveau conteneur LUKS avant de créer des systèmes de fichiers. L'écriture de zéros dans le conteneur mappé entraîne l'écriture de données aléatoires fortes sur le périphérique de bloc sous-jacent. Cela peut prendre un certain temps, il est donc préférable d’utiliser la pvcommande pour surveiller les progrès:

   ### Only for older releases, e.g. not for 19.04, `pv` is not included in the repo must be added first
   # sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) universe"
   # sudo apt-get update
   
   sudo apt-get install -y pv
   sudo sh -c 'exec pv -tprebB 16m /dev/zero >"$1"' _ /dev/mapper/cryptcherries
   

   ou, si vous effectuez une installation hors ligne et que vous ne pouvez pas obtenir facilement pv:

   sudo dd if=/dev/zero of=/dev/mapper/cryptcherries bs=16M
   

5. Dans le conteneur LUKS monté, créez un volume physique LVM, un groupe de volumes et deux volumes logiques. Le premier volume logique sera monté sur /et le second sera utilisé comme échange. vgcherriesest le nom du groupe de volumes et, et lvcherriesrootet lvcherriesswapsont les noms des volumes logiques, vous pouvez choisir le vôtre.

   sudo pvcreate /dev/mapper/cryptcherries
   sudo vgcreate vgcherries /dev/mapper/cryptcherries
   sudo lvcreate -n lvcherriesroot -L 7.5g vgcherries
   sudo lvcreate -n lvcherriesswap -L 1g vgcherries
   

6. Créez des systèmes de fichiers pour les deux volumes logiques: (Vous pouvez également effectuer cette étape directement à partir du programme d'installation.)

   sudo mkfs.ext4 /dev/mapper/vgcherries-lvcherriesroot
   sudo mkswap /dev/mapper/vgcherries-lvcherriesswap
   

7. Sans redémarrer , installez Ubuntu à l’aide du programme d’installation graphique (le raccourci se trouve sur le bureau dans Xubuntu 18.04), en choisissant un partitionnement manuel. Attribuez /à /dev/mapper/vgcherries-lvcherriesrootet /bootà la partition non chiffrée créée à l'étape 2 (dans cet exemple, /dev/sda4).

8. Une fois l’installateur graphique terminé, sélectionnez "poursuivre les tests" et ouvrez un terminal.

9. Recherchez l'UUID des partitions LUKS ( /dev/sda3dans ce cas), vous en aurez besoin plus tard:

   $ sudo blkid /dev/sda3
   /dev/sda3: UUID="8b80b3a7-6a33-4db3-87ce-7f126545c74af" TYPE="crypto_LUKS"
   

10. Montez les périphériques appropriés aux emplacements appropriés /mntet chrootez dessus:

    sudo mount /dev/mapper/vgcherries-lvcherriesroot /mnt
    sudo mount /dev/sda4 /mnt/boot
    sudo mount --bind /dev /mnt/dev
    sudo chroot /mnt
    > mount -t proc proc /proc
    > mount -t sysfs sys /sys
    > mount -t devpts devpts /dev/pts
    

11. Créez un fichier nommé /etc/crypttabdans l'environnement chrooté pour contenir cette ligne, en remplaçant la valeur UUID par l'UUID de la partition LUKS et vgcherriespar le nom du groupe de volumes:

    # <target name> <source device> <key file> <options>
    cryptcherries UUID=8b80b3a7-6a33-4db3-87ce-7f126545c74af none luks,retry=1,lvm=vgcherries
    

12. Exécutez la commande suivante dans l'environnement chrooté:

    update-initramfs -k all -c
    

13. Redémarrez et démarrez dans Ubuntu crypté. Vous devriez être invité à entrer un mot de passe.

14. Vérifiez que vous utilisez la partition chiffrée pour /en exécutant mount:

    $ mount
    /dev/mapper/vgcherries-lvcherriesroot on / type ext4 (rw,errors=remount-ro)
    /dev/sda4 on /boot type ext3 (rw)
    # rest of output cut for brevity
    

15. Vérifiez que vous utilisez la partition swap chiffrée (et non des partitions swap non chiffrées d'autres installations) en exécutant cette commande:

    $ swapon -s
    Filename                              Type      Size   Used Priority
    /dev/mapper/vgcherries-lvcherriesswap partition 630780 0    -1
    

16. Vérifiez que vous pouvez démarrer en mode de récupération, vous ne voulez pas savoir plus tard, lors d’une urgence, que le mode de récupération ne fonctionne pas :)

17. Installez les mises à jour susceptibles de reconstruire le disque mémoire et de mettre à jour la configuration de grub. Redémarrez et testez le mode normal et le mode de récupération.

Il est possible de créer une configuration à double démarrage chiffrée en utilisant uniquement les outils d'interface graphique du LiveCD Ubuntu.

Conditions préalables

• Une clé USB avec l'installateur Ubuntu 19.04.
• Si vous avez une carte mère EFI, assurez-vous que le disque utilise la table de partition GUID (GPT). L'utilisation d'un disque MBR avec cette méthode semble échouer. Vous pouvez convertir un MBR en GPT avec des outils Linux ( gdisk), mais vous devez d'abord faire une sauvegarde. Si vous convertissez la table de partition, vous devrez réparer le chargeur de démarrage Windows ultérieurement.

les fenêtres

• Dans la barre de démarrage, tapez disk partitionet sélectionnez la première option (ouvrir le gestionnaire de partition de disque à partir des paramètres).

• Réduisez la taille de votre partition principale à la taille souhaitée pour Ubuntu (je viens d’utiliser la valeur par défaut, divisant mon lecteur de 500 Go en un système d’exploitation Windows de 240 Go et un espace non alloué de 240 Go).

BIOS

• Désactivez le démarrage sécurisé (si vous avez bitlocker, vous devez le redéfinir pour pouvoir démarrer en toute sécurité sous Windows à chaque fois) - cela me convient parfaitement car Ubu est mon système d'exploitation principal, utilisez simplement windoze pour les jeux.

Ubuntu LiveCD

Enfin - Démarrez dans le programme d’installation USB 19.04

• Appuyez Entersur l'option d' installation par défaut Ubuntu .

• Quand vous arrivez à l'écran qui dit Effacer tout le disque et a des cases à cocher, cliquez sur l'option Quelque chose d'autre (partitionnement manuel). Sinon, vous perdrez vos données Windows!

Une fois que le gestionnaire de partition de disque a chargé votre disque, vous disposez d'un grand espace non alloué. Cliquez dessus et cliquez sur le bouton Ajouter pour créer des partitions.

• Commencez par créer une /bootpartition de 500 Mo (principale, ext4).
• Deuxièmement, avec le reste de l’espace, créez un volume chiffré. Cela créera une seule partition LV. Modifiez-le pour qu'il soit la /partition racine sélectionnée .
• Ensuite, le reste du processus d’installation fonctionnera normalement.

Lorsque vous démarrez pour la première fois, connectez-vous, ouvrez un terminal, exécutez sudo apt-get updateet sudo apt dist-upgraderedémarrez, puis reconnectez-vous.

Un fichier d'échange de 2 Go sera créé automatiquement. Si vous voulez plutôt un 8 Go, lisez cette réponse .

Tout d’abord, explique pourquoi seul le chiffrement de la partition Linux peut ne pas être suffisamment sécurisé:

1. https://superuser.com/questions/1013944/encrypted-boot-in-a-luks-lvm-ubuntu-installation
2. https://security.stackexchange.com/questions/166075/fr/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil-maid-a
3. https://www.reddit.com/r/linux/comments/6e5qlz/benefits_of_encrypting_the_boot_partition/
4. https://unix.stackexchange.com/questions/422860/why-should-we-encrypt-the-system-partition-and-not-only-home
5. https://www.coolgeeks101.com/howto/infrastructure/full-disk-encryption-ubuntu-usb-detached-luks-header/
6. https://superuser.com/questions/1324389/how-to-avoid-encrypted-boot-partition-password-prompt-in-lvm-arch-linux

Maintenant, j'ai suivi ce tutoriel:

1. https://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive
2. http://web.archive.org/web/20160402040105/http://www.oxygenimpaired.com/multiple-linux-distro-installs-on-a-luks-encrypted-harddrive

Sur cette réponse, je présente une installation étape par étape (avec des images) de Linux Mint 19.1 XFCEet Ubuntu 18.04.2entièrement cryptée sur un seul disque. Tout d' abord j'ai installé Ubuntu 14.04.2sur /dev/sda5et je n'ai pas créé les partitions d'échange car Linux Mint 19.1et Ubuntu 18.04.2ne les utilisent pas, par exemple, ils utilisent des fichiers d'échange.

Ubuntu 18.04.2 Beaver bionique

Tout d’abord, insérez le Ubuntusupport d’installation et redémarrez la machine dans la Ubuntusession en direct, puis sélectionnez Try Ubuntuet ouvrez un terminal, puis

1. sudo su -
2. fdisk /dev/sda, puis, créez les partitions suivantes
   • 
3. cryptsetup luksFormat /dev/sda5
4. cryptsetup luksOpen /dev/sda5 sda5_crypt
5. pvcreate /dev/mapper/sda5_crypt
6. vgcreate vgubuntu /dev/mapper/sda5_crypt
7. lvcreate -L10G -n ubuntu_root vgubuntu
   • lvcreate -l 100%FREE -n ubuntu_root vgubuntu(facultatif, au lieu de courir lvcreate -L10G -n ubuntu_root vgubuntu, vous pouvez l'exécuter lvcreate -l 100%FREE -n ubuntu_root vgubuntupour utiliser tout votre espace disque disponible, au lieu de seulement 10 Go)
   • 
8. Ne fermez pas le terminal et ouvrez le programme d’installation de la distribution, sélectionnez Autre chose et installez-le avec
   • /dev/sda1monté en /bootpartition avec ext2format
   • /dev/mapper/vgubuntu-ubuntu_rootmonté comme /avec le ext4format.
   • /dev/sda comme installation du chargeur de démarrage
   • Ne marque rien d'autre
   • 
   • 
9. Ne redémarrez pas, cliquez sur Continuer avec Linux, puis sélectionnez le terminal ouvert.
10. mkdir /mnt/newroot
11. mount /dev/mapper/vgubuntu-ubuntu_root /mnt/newroot
12. mount -o bind /proc /mnt/newroot/proc
13. mount -o bind /dev /mnt/newroot/dev
14. mount -o bind /dev/pts /mnt/newroot/dev/pts
15. mount -o bind /sys /mnt/newroot/sys
16. cd /mnt/newroot
17. chroot /mnt/newroot
18. mount /dev/sda1 /boot
19. blkid /dev/sda5 (copier l'UUID sans les guillemets et l'utiliser à l'étape suivante)
20. echo sda5_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
21. Créer le fichier /etc/grub.d/40_custom
    • 
22. Modifier /etc/default/grubet définir
    • GRUB_TIMEOUT_STYLE=menu
    • GRUB_TIMEOUT=10
    • 
23. update-initramfs -u
24. update-grub
    • 
    • 
25. exit
26. reboot
27. Après le redémarrage de votre ordinateur, sélectionnez l'option Ubuntuet il vous demandera correctement votre mot de passe de cryptage
    • 
28. Après vous être connecté, lancez
    • sudo apt-get update
    • sudo apt-get install gparted
29. Et en ouvrant gpartedvous trouverez ceci
    • 

Pour des instructions plus détaillées, lisez le didacticiel original indiqué en haut de cette question ou recherchez sur Google à propos de l'utilisation de ces commandes.

Linux Mint 19.1 Cannelle

Pour les installations Linux restantes , démarrez rebootvotre ordinateur avec l’installateur (Live CD) et ouvrez une fenêtre de terminal.UbuntuMint 19.1

1. sudo su -
2. cryptsetup luksFormat /dev/sda6
3. cryptsetup luksOpen /dev/sda6 sda6_crypt
4. pvcreate /dev/mapper/sda6_crypt
5. vgcreate vgmint /dev/mapper/sda6_crypt
6. lvcreate -L10G -n mint_root vgmint
   • lvcreate -l 100%FREE -n mint_root vgmint(facultatif, au lieu de courir lvcreate -L10G -n mint_root vgmint, vous pouvez le lancer lvcreate -l 100%FREE -n mint_root vgmintpour utiliser tout votre espace disque disponible, au lieu de seulement 10 Go)
   • 
   • 
7. Ne fermez pas le terminal et ouvrez le programme d’installation de la distribution, sélectionnez Autre chose et installez-le avec
   • /dev/sda2monté en /bootpartition avec ext2format
   • /dev/mapper/vgmint-mint_rootmonté comme /avec le ext4format.
   • /dev/sda2comme installation du chargeur de démarrage (ne pas sélectionner /dev/sdacomme auparavant)
   • Ne marque rien d'autre
   • 
   • 
8. Ne redémarrez pas, cliquez sur Continuer avec Linux, puis sélectionnez le terminal ouvert.
9. mkdir /mnt/newroot
10. mount /dev/mapper/vgmint-mint_root /mnt/newroot
11. mount -o bind /proc /mnt/newroot/proc
12. mount -o bind /dev /mnt/newroot/dev
13. mount -o bind /dev/pts /mnt/newroot/dev/pts
14. mount -o bind /sys /mnt/newroot/sys
15. cd /mnt/newroot
16. chroot /mnt/newroot
17. mount /dev/sda2 /boot
18. blkid /dev/sda6 (copier l'UUID sans les guillemets et l'utiliser à l'étape suivante)
19. echo sda6_crypt UUID=5f22073b-b4ab-4a95-85bb-130c9d3b24e4 none luks > /etc/crypttab
    • 
    • 
    • 
20. update-initramfs -u
21. update-grub
    • 
    • 
22. exit
23. reboot
24. Après le redémarrage de votre ordinateur, sélectionnez l'option Linux Mint on /dev/sda2
    • 
25. Ensuite, il démarrera correctement Mint 19.1et demandera le mot de passe de cryptage
    • 
26. Après vous être connecté, lancez
    • sudo apt-get update
    • sudo apt-get install gparted
27. Et en ouvrant gpartedvous trouverez ceci
    • 

Liens connexes:

1. Comment redimensionner une partition LVM active?
2. Comment redimensionner une partition LVM? (ie: volume physique)
3. https://www.tecmint.com/extend-and-reduce-lvms-in-linux/
4. Grub chainloader ne fonctionne pas avec Windows 8
5. Démarrage UEFI avec chiffrement / démarrage sur Ubuntu 14.04 LTS