Установка ROSA c шифрованием корневого раздела (для параноиков)

Ответить
Dim
Сообщения: 326
Зарегистрирован: 09 июн 2014, 08:09
Operating system: ROSA Desktop Fresh R3

Установка ROSA c шифрованием корневого раздела (для параноиков)

Сообщение Dim » 25 апр 2015, 19:36

Попросили подготовить манул, выкладываю.

Шаг 1. Начало установки

При установке с флэшки, для записи iso образа, строго не рекомендуется использовать что-либо окромя ROSA Image Writer! При записи образа другими утилитами, загрузка попросту не пойдет. К сожалению эта прога коцает флэшку, но не волнуйтесь, она легко востанавливается GParted, который входит в состав росы.

Итак, грузимся и выбираем графический вариант установки:
Изображение

Дальше отвечая на вопросы доходим до меню выбора способа разметки:
Изображение

Разумеется выбираем ручной вариант разметки. У нас появиться следующее окно:
Изображение
Окно разметки. Переключаемся в режим эксперта, и собственно начинаем разметку.

Шаг 2. Разметка

Первым делом создаем раздел для загрузки системы, куда смонтируем /boot
Изображение

Это нужно потому, что корень нашей системы будет зашифрован и для того, что бы система могла расшифроваться и загрузиться в память, и нужен этот раздел. В случае, если бы мы не стали ничего шифровать, этот раздел не понадобился бы. Обратите внимание, что 1024 Mb это у нас 1 ГиБ. Я люблю ровные-круглые цифры в размерах разделов и именно поэтому предпочитаю размечать в режиме эксперта.
Вторым делом, создаем собственно сам зашифрованный раздел в котором и разместятся остальные разделы нашей системы, при помощи технологи LVM. Она позволяет создавать логические тома, внутри любого другого тома, в нашем случае это будет шифрованный том.

Я хочу чтобы шифрованный раздел был на 88 ГиБ, а это у нас 1024*88 = 90 112 Mb. Размечаем:
Изображение

Не забываем указать тиф ФС, а также пароль. Пароль не должен быть больше 25 символов, иначе не будет влезать в окно ввода и безобразно выходить за его пределы. Мой совет - делайте пароль ровно на 25 символов. При взломе методом перебора, устойчивость пароля определяет не его сложность, а длинна.
Итак, наш шифрованный том готов:
Изображение

Осталось добавить его в LVM - жмем соответствующую кнопку и выбираем какую нибудь аббревиатуру по душе:
Изображение

Как видим группа томов rsa создана:
Изображение
Нажимаем мышкой и переходим в него. Там у нас пока пусто:
Изображение

Создаем там раздел для подкачки:
Изображение
Его размер должен быть равен размеру вашей оперативки или чуть больше, но не более чем в два раза. Swap нужен для случаев, когда оперативная память переполнено, а писать некуда. В этих случаях комп и использует этот раздел. Также этот раздел используется для гибернации(спящий режим).

Дальше создаем наш корневой раздел:
Изображение
Его я сделал в 30 ГиБ что в Mb у нас будет 30 720. ФС выбираем btrfs, о достоинствах этой ФС вы можете... спросить гугл)

Осталось создать раздел для нашей домашней папки - /home
Изображение
Тут уже можно переключиться из режима эксперта в нормальный и создать раздел на все оставшееся место. В этом разделе будут храниться все ваши файлы и профили с настройками. ФС выбирайте XFS. Опять же, гугл в помощь)

Итак, теперь у нас все размечено:
Изображение
И можно идти дальше. Кстати, забавный баг. Размер последнего размечаемого раздела в lvm-томе, почему то отображается меньше ровно на один ГиБ. Хотя его реальный размер все же столько, сколько мы разметили.
В общем, жмем готово и продолжаем установку.

Шаг 3. Завершение установки

Ждем пока ползунок догрузиться и ставим загрузчки куда нам надо:
Изображение
Если не знайте куда надо, то просто оставьте как есть.

Дальше настраиваем своего пользователя и нас выкинет в последнее окно:
Изображение
Выключаем компьютер нажав Завершить и ТОЛЬКО после выключения вынимаем носитель.

На этот все, установка успешно завершена, можно грузиться. Отныне ваши данные надежно зашифрованы и система всегда буже спрашивать у вас пароль при загрузке:
Изображение

П.С. Если вдруг будете вместо ext4 использовать все же btrfs с XFS то советую обновить ядро на что нибудь выше 3.16 - вырастит производительность. Команды для обновления ядра:

Для x64:
$ urpmi.addmedia Kernels_3_18x http://abf-downloads.rosalinux.ru/kerne ... n/release/
$ urpmi --auto-select --auto-update



Для x86:
$ urpmi.addmedia Kernels_3_18x http://abf-downloads.rosalinux.ru/kerne ... n/release/
$ urpmi --auto-select --auto-update


И перегрузиться.
Последний раз редактировалось Dim 25 апр 2015, 23:00, всего редактировалось 1 раз.

PastorDi
Сообщения: 2638
Зарегистрирован: 25 авг 2011, 12:34
Operating system: IBM DOS, OS/2
Откуда: Санкт-Петербург
Контактная информация:

Re: Установка ROSA c шифрованием корневого раздела

Сообщение PastorDi » 25 апр 2015, 22:47

Да я вроде где-то на форуме выкладывал видео, как записать.
Похоже никто не ищет по форуму.
Вот: http://vk.com/away.php?to=https%3A%2F%2 ... 47957_6093

По видео все тоже понятно.

Dim
Сообщения: 326
Зарегистрирован: 09 июн 2014, 08:09
Operating system: ROSA Desktop Fresh R3

Re: Установка ROSA c шифрованием корневого раздела

Сообщение Dim » 25 апр 2015, 22:52

PastorDi писал(а):Да я вроде где-то на форуме выкладывал видео, как записать.
Похоже никто не ищет по форуму.
Вот: http://vk.com/away.php?to=https%3A%2F%2 ... 47957_6093

По видео все тоже понятно.
Сам я это видео не смотрел, но человек который мне написал, говорит, что делал все по видео, но у него не получалось.

keleg
Сообщения: 5387
Зарегистрирован: 15 сен 2011, 01:58

Re: Установка ROSA c шифрованием корневого раздела (для параноиков)

Сообщение keleg » 26 апр 2015, 19:08

Ой. А в чем проблема-то? Делаешь два раздела, один бут, второй рут. Для рута ставишь в инсталляторе шифрование и указываешь пароль.
Инсталлер спросит - делать ли своп файлом на руте, соглашаешься (чтоб и своп шифрованный был).
Всё работает (точно знаю т.к. раз в неделю проверяю такую конфигурацию). Если отдельными разделами делать, для каждого будет спрашивать пароль - это неудобно.
Ну и в виртуалке есть глюк, там два ядра нужно почему-то чтоб пароль проходил - в реальной конфигурации все работает устойчивей.

Ответить