LUKS (Linux Unified Key Setup) adalah metode enkripsi standar de-facto yang digunakan pada sistem berbasis Linux. Sementara penginstal Debian sangat mampu membuat wadah LUKS, ia tidak memiliki kemampuan untuk mengenali dan karena itu menggunakan kembali wadah yang sudah ada. Dalam artikel ini kita melihat bagaimana kita dapat mengatasi masalah ini menggunakan penginstal “DVD1”, dan menjalankannya dalam mode “lanjutan”.
Dalam tutorial ini Anda akan belajar :
- Cara menginstal Debian di “mode lanjutan”
- Cara memuat penginstal modul tambahan yang diperlukan untuk membuka kunci perangkat LUKS yang ada
- Cara melakukan instalasi pada wadah LUKS yang ada
- Cara menambahkan entri dalam file crypttab dari sistem yang baru diinstal dan membuat ulang initramfnya
Cara menginstal Debian pada wadah LUKS yang ada
Persyaratan dan konvensi perangkat lunak yang digunakan
Kategori | Persyaratan, Konvensi, atau Versi Perangkat Lunak yang Digunakan |
---|---|
Sistem | Debian |
Perangkat Lunak | Tidak diperlukan perangkat lunak khusus |
Lainnya | Penginstal DVD Debian |
Konvensi | # – mengharuskan perintah-linux yang diberikan untuk dieksekusi dengan hak akses root baik secara langsung sebagai pengguna root atau dengan menggunakan sudo command$ – mengharuskan perintah-linux yang diberikan untuk dieksekusi sebagai pengguna biasa yang tidak memiliki hak istimewa |
Masalahnya:menggunakan kembali wadah LUKS yang ada
Seperti yang telah kami katakan, penginstal Debian sangat mampu membuat dan menginstal distribusi pada wadah LUKS (satu pengaturan tipikal adalah LVM pada LUKS), namun saat ini tidak dapat mengenali dan membuka yang sudah ada
; mengapa kita membutuhkan fitur ini? Misalkan, misalnya, kita telah membuat wadah LUKS secara manual, dengan beberapa pengaturan enkripsi yang tidak dapat disesuaikan dari penginstal distribusi, atau bayangkan kita memiliki beberapa volume logis di dalam wadah yang tidak ingin kita hancurkan (mungkin itu berisi beberapa data); dengan menggunakan prosedur standar installer, kita akan dipaksa untuk membuat wadah LUKS baru, dan menghancurkan yang sudah ada. Dalam tutorial ini kita akan melihat bagaimana, dengan beberapa langkah tambahan, kita dapat mengatasi masalah ini.
Mengunduh penginstal DVD
Untuk dapat melakukan tindakan yang dijelaskan dalam tutorial ini, kita harus mengunduh dan menggunakan penginstal DVD Debian, karena berisi beberapa pustaka yang tidak tersedia di netinstall Versi:kapan. Untuk mengunduh gambar instalasi melalui torrent, kita dapat menggunakan salah satu tautan di bawah ini, tergantung pada arsitektur mesin kita:
- 64-bit
- 32-bit
Dari link di atas kita bisa mendownload file torrent yang bisa kita gunakan untuk mendapatkan image installernya. Yang harus kita download adalah DVD1
mengajukan. Untuk mendapatkan ISO instalasi, kita harus menggunakan klien torrent sebagai Transmisi . Setelah gambar diunduh, kami dapat memverifikasinya dengan mengunduh SHA256SUM
yang sesuai dan SHA256SUM.sign
file dan ikuti tutorial ini tentang cara memverifikasi integritas gambar iso distribusi Linux. Saat siap, kita dapat menulis gambar pada dukungan yang dapat digunakan sebagai perangkat boot:baik a (DVD atau USB), dan mem-boot mesin kita darinya.
Menggunakan mode instalasi lanjutan
Saat kita mem-boot mesin menggunakan perangkat yang telah kita siapkan, kita harus memvisualisasikan syslinux berikut ini menu:
Kami memilih Opsi lanjutan entri, lalu Instalasi pakar grafis (atau Penginstalan ahli jika kita ingin menggunakan penginstal berbasis ncurses, yang menggunakan lebih sedikit sumber daya):
Setelah kami memilih dan mengkonfirmasi entri menu, penginstal akan mulai dan kami akan memvisualisasikan daftar langkah-langkah instalasi:
Kami mengikuti langkah-langkah penginstalan sampai kami tiba di Muat komponen penginstal dari CD satu. Di sini kita memiliki perubahan untuk memilih perpustakaan tambahan yang harus dimuat oleh penginstal. Minimum yang ingin kami pilih dari daftar adalah Crypto-dm-modules dan mode penyelamatan (gulir daftar ke bawah untuk melihatnya):
Membuka secara manual wadah LUKS yang ada dan mempartisi disk
Pada titik ini kita dapat melanjutkan seperti biasa sampai kita tiba di Deteksi disk melangkah. Sebelum melakukan langkah ini, kita perlu beralih ke tty dan buka wadah LUKS yang ada dari baris perintah. Untuk melakukannya, kita dapat menekan tombol Ctrl+Alt+F3 kombinasi tombol dan tekan Enter untuk mendapatkan prompt. Dari prompt kita membuka perangkat LUKS dengan meluncurkan perintah berikut:
# cryptsetup luksOpen /dev/vda5 cryptdevice Enter passphrase for /dev/vda5:
Dalam hal ini perangkat LUKS sebelumnya disetel pada /dev/vda5
partisi, Anda tentu saja harus menyesuaikan ini dengan kebutuhan Anda. Kami akan diminta untuk memasukkan kata sandi untuk wadah untuk membukanya. Nama device mapper yang kita gunakan di sini (cryptdevice) adalah yang akan kita gunakan nanti di /etc/crypttab
berkas.
Setelah langkah ini dilakukan, kita dapat beralih kembali ke penginstal (Ctrl+Alt+F5 ) dan lanjutkan dengan Deteksi disk lalu dengan Disk partisi Langkah. Di Disk partisi menu kita pilih entri "Manual":
Perangkat LUKS yang tidak terkunci dan volume logis yang terkandung di dalamnya akan muncul dalam daftar partisi yang tersedia, siap digunakan sebagai target untuk pengaturan sistem kami. Setelah kami siap, kami dapat melanjutkan penginstalan hingga tiba di Selesaikan penginstalan melangkah. Sebelum melakukannya, kita perlu membuat entri di sistem yang baru diinstal crypttab
untuk perangkat LUKS, karena tidak dibuat secara default, dan buat ulang initramf sistem untuk membuat perubahan efektif.
Membuat entri di /etc/crypttab dan membuat ulang initramfs
Mari beralih kembali ke tty kita gunakan sebelumnya (Ctrl+Alt+F3 ). Yang perlu kita lakukan sekarang, adalah menambahkan entri secara manual di /etc/crypttab
file sistem yang baru diinstal untuk perangkat LUKS. Untuk melakukan itu, kita harus me-mount partisi root dari sistem baru di suatu tempat (mari kita gunakan /mnt
direktori) dan pasang beberapa sistem file semu yang menyediakan informasi penting tentang direktori yang sesuai di dalamnya. Dalam kasus kami, sistem file root ada di /dev/debian-vg/root
volume logis:
# mount /dev/debian-vg/root /mnt # mount /dev /mnt/dev # mount /sys /mnt/sys # mount /proc /mnt/proc
Karena dalam hal ini kami memiliki partisi boot terpisah (/dev/vda1
), kita juga perlu memasangnya di /mnt/boot
:
# mount /dev/vda1 /mnt/boot
Pada titik ini kita harus chroot ke dalam sistem yang diinstal:
# chroot /mnt
Terakhir, kita dapat membuka /etc/crypttab
file dengan salah satu editor teks yang tersedia, (vi misalnya), dan tambahkan entri berikut:
cryptdevice /dev/vda5 none luks
Elemen pertama pada baris di atas adalah nama device mapper yang kita gunakan di atas ketika kita membuka container LUKS secara manual; itu akan digunakan setiap kali wadah dibuka selama boot sistem.
Elemen kedua adalah partisi yang digunakan sebagai perangkat LUKS (dalam hal ini kami mereferensikannya dengan jalur (/dev/vda5
), tetapi ide yang lebih baik adalah merujuknya melalui UUID
).
Elemen ketiga adalah lokasi file kunci yang digunakan untuk membuka wadah:di sini kami menempatkan none karena kami tidak menggunakannya (ikuti tutorial kami tentang Cara menggunakan file sebagai kunci perangkat LUKS jika Anda ingin mengetahui cara mencapai pengaturan semacam ini).
Elemen terakhir di baris ini menampung opsi yang harus digunakan untuk perangkat terenkripsi:di sini kita baru saja menggunakan luks untuk menentukan bahwa perangkat tersebut adalah wadah LUKS.
Setelah kami memperbarui /etc/crypttab
file, kami dapat melanjutkan lebih jauh dan membuat ulang initramfs . Pada distribusi berbasis Debian dan debian, untuk melakukan tindakan ini kami menggunakan update-initramfs
perintah:
# update-initramfs -k all -c
Di sini kami menggunakan -c
opsi untuk menginstruksikan perintah untuk membuat initramf baru alih-alih memperbarui yang sudah ada, dan -k
untuk menentukan untuk kernel apa initramfs harus dibuat. Dalam hal ini kami melewati all
sebagai argumen, jadi satu untuk setiap kernel yang ada akan dibuat.
Setelah initramfs dibuat, kami beralih kembali ke penginstal (Ctrl+Alt+F5 ) dan lanjutkan dengan langkah terakhir:Selesaikan penginstalan . Ketika instalasi kita akan diminta reboot untuk mengakses sistem yang baru diinstal. Jika semuanya berjalan seperti yang diharapkan, selama boot sistem, kita akan diminta memasukkan frasa sandi untuk membuka kunci wadah LUKS:
Kesimpulan
Dalam tutorial ini kita belajar bagaimana mengatasi keterbatasan penginstal Debian yang tidak mampu mengenali dan membuka wadah LUKS yang ada untuk melakukan instalasi sistem di dalamnya. Kami mempelajari cara menggunakan penginstal dalam "Mode lanjutan" untuk dapat memuat beberapa modul tambahan yang memungkinkan kami membuka kunci wadah secara manual dengan beralih ke tty. Setelah wadah dibuka, itu dikenali dengan benar oleh penginstal dan dapat digunakan tanpa masalah. Satu-satunya bagian rumit dari penyiapan ini adalah kita harus ingat untuk membuat entri untuk wadah di sistem yang baru diinstal crypttab
file, dan perbarui initramfs-nya.