it-swarm-vi.com

Đa khởi động với mã hóa ổ cứng đầy đủ và xác thực trước khi khởi động

Làm cách nào tôi có thể thiết lập một hệ thống multiboot hỗ trợ mã hóa toàn bộ ổ cứng và xác thực tiền khởi động.

Tôi có một hệ thống với Ubuntu, Windows 7, Windows XP và tôi muốn cài đặt Red Hat. Tôi sử dụng bộ tải khởi động grub 2. Phần mềm nào sẽ hỗ trợ thiết lập này, để mã hóa toàn bộ ổ đĩa với xác thực trước khi khởi động? Có TrueCrypt cho xác thực tiền khởi động Windows, nhưng nó sẽ chơi Nice với grub 2 chứ? Tôi có thể sử dụng phần mềm mã hóa đĩa nào khác cho phía Linux?

26
dabest1

Trước khi bạn đọc tất cả những điều này, hãy nhớ rằng kỹ thuật này ít nhất 5 tuổi - bây giờ có lẽ dễ dàng hơn nhiều (xem các câu trả lời khác). (Nhưng chắc chắn sẽ rất vui khi tìm ra tất cả.)

Tôi đã làm điều này một vài năm trước với Fedora 10 và Windows Vista để chứng minh làm thế nào tất cả những điều phức tạp phù hợp với nhau. Nó có một chút liên quan (chủ yếu là vì Windows Vista không "chơi tốt với người khác" và không thích cài đặt thứ hai), nhưng cuối cùng tôi đã tìm thấy một phương pháp phù hợp với mình. Trường hợp của bạn phức tạp hơn vì bạn có 3 hệ điều hành hiện có và bạn muốn thêm một hệ điều hành khác vào ổ đĩa của mình.

Bởi vì tôi chưa bao giờ thử điều này ở mức độ lớn của 4 hệ điều hành, tôi sẽ để phần lớn cho bạn (phân vùng lại thực tế và như vậy) và sẽ cố gắng áp dụng các nguyên tắc bảo mật chung từ kinh nghiệm của tôi và áp dụng chúng cho hoàn cảnh của bạn. Cũng lưu ý rằng trong trường hợp của tôi, tôi đã bắt đầu từ đầu trên một ổ đĩa mà tôi đã xóa. Đây là một thử nghiệm nhiều hơn là một chuyên gia ... vì vậy hãy lấy một vài thứ với một hạt "muối" (không có ý định chơi chữ) và đừng bắt tôi phải chịu trách nhiệm. :)


Hãy nhớ rằng, đây chỉ là ghi chú của tôi. Bạn sẽ phải điều chỉnh chúng cho tình huống của bạn. Vì vậy, ở đây chúng tôi đi:

Các vấn đề được khắc phục bằng phương pháp được mô tả ở đây

  • Máy tính xách tay của tôi Đĩa cứng chỉ có thể chứa 4 phân vùng chính.

  • Các phân vùng chính là những phân vùng duy nhất mà HĐH có thể được cài đặt (Windows, dù sao đi nữa).

  • Các phân vùng chính là các phân vùng duy nhất mà hệ thống có thể khởi động từ

  • Mỗi phân vùng mở rộng được tính là một phân vùng chính.

  • 6 hoặc 7 phân vùng có thể cần thiết.

  • TrueCrypt có thể mã hóa toàn bộ ổ đĩa có nhiều phân vùng, hệ điều hành và các hệ thống tệp khác nhau khi nó chỉ chạy trên một

  • TrueCrypt không chơi tốt với Grub hoặc bất kỳ trình tải khởi động không phải Windows nào.

  • Windows thích được cài đặt trước và chỉ trên một phân vùng được gắn cờ là có khả năng khởi động được (hoặc, nếu không có phân vùng nào được gắn cờ

Lợi ích cuối cùng

  • Sau khi nhắc nhở bộ tải khởi động ban đầu, việc gắn các phân vùng được mã hóa khác nhau có thể được tự động hóa với các tập lệnh. (<3 Truecrypt)

  • Các tập tin có thể được chia sẻ giữa các hệ điều hành được mã hóa (bằng mật khẩu).

  • Mỗi và mọi phân vùng được mã hóa, thậm chí trao đổi tập tin.

Làm thế nào các bộ tải khởi động làm việc cùng nhau

  • Chúng tôi cài đặt và sử dụng bộ tải khởi động mặc định của Windows vào MBR. Đây là những gì máy tính sẽ khởi động đầu tiên.

  • Chúng tôi cài đặt GRUB (bộ tải khởi động Fedora,), nhưng không cài đặt cho MBR. Điều này sẽ chỉ có sẵn để chúng tôi khởi động sau.

  • Chúng tôi cài đặt TrueCrypt tiếp quản bộ tải khởi động Windows. Trình tải khởi động TrueCrypt vào đi vào MBR. Khi khởi động, người dùng sẽ xác thực bằng TrueCrypt sau đó được đưa đến trình tải khởi động Windows nơi tùy chọn Vista hoặc Linux (thực tế là GRUB) có sẵn.

  • Cuối cùng, quá trình khởi động của tôi trông như thế này:

Diagram of full-disk encrypted dual-boot process

Sơ đồ quy trình khởi động kép được mã hóa toàn bộ đĩa (hộp màu vàng là phân vùng được mã hóa; khóa móc là một lớp bảo mật khác)

Điều chỉnh có thể cho tình huống của bạn

  • Tôi đã không sử dụng Truecrypt ở phía Linux ngoại trừ để gắn kết các phân vùng Windows. Tôi không chắc chắn làm thế nào để gắn kết các phân vùng được mã hóa Linux từ Windows, vì vậy thiết lập của tôi chỉ là một chiều. Bạn có thể cân nhắc sử dụng Truecrypt để mã hóa ít nhất Linux của bạn /home thư mục và để mã hóa Linux gốc bảo vệ /swap phân vùng chẳng hạn. Điều này có thể cho phép Truecrypt ở phía Windows gắn kết các tệp Linux của bạn.

  • Phân vùng lại ổ cứng của bạn tại chỗ hoặc thêm một ổ đĩa khác cho Red Hat. Mọi người ở SuperUser có thể biết nhiều hơn về điều này.

  • Tìm hiểu làm thế nào bạn sẽ phân vùng ổ cứng của bạn trước thời hạn ... bạn không cần nhiều phân vùng như tôi đã sử dụng.

Yêu cầu

  • Một máy tính có ít nhất một đĩa cứng mà bạn sẵn sàng xóa sạch (dĩ nhiên là sao lưu dữ liệu của bạn ...)

  • Đĩa cài đặt của các hệ điều hành bạn muốn cài đặt

  • Gparted LiveCD hoặc LiveUSB

  • Mã xác thực

  • EasyBCD để sửa đổi bộ tải khởi động Windows (Có phiên bản miễn phí ...)


Hướng dẫn

Sao lưu dữ liệu của bạn. Bạn sẽ xóa sạch đĩa cứng hoàn toàn và định dạng lại nó rất sớm.

Định dạng lại toàn bộ ổ đĩa. Để làm điều này, tôi sử dụng Gparted LiveCD. Nếu bạn không muốn sử dụng Gparted, trình cài đặt Fedora 10 sẽ đi kèm với trình chỉnh sửa phân vùng. Nhưng, nó LỚN hơn một chút. Bạn phải hoàn thành một phần thiết lập Fedora để có được nó, áp dụng các thay đổi cho đĩa, sau đó thoát cài đặt vì Fedora không nên cài đặt trước. (Trình chỉnh sửa phân vùng Windows Vista không đủ mạnh. Bạn không thể sử dụng nó cho việc này.) Tôi rất khuyến khích việc sử dụng LiveCD hoặc LiveUSB của Gparted.

Tôi đã nghĩ về cách chia nhỏ ổ đĩa của mình và sau một thời gian, tôi đã nghĩ ra điều này:

Partition map

Bố cục phân vùng để khởi động kép Fedora 10 và Windows Vista với TrueCrypt

Tôi ước tôi có kích thước khác nhau trong nhận thức muộn màng, nhưng bạn có thể làm điều đó theo cách bạn muốn. Mỗi ổ khóa chỉ ra một phân vùng được mã hóa. Các khóa móc màu vàng với dòng TC TC được mã hóa bằng TrueCrypt trong Windows. Những cái màu xanh được mã hóa bởi Fedora. Như bạn có thể thấy, mỗi và mọi phân vùng - tất nhiên, ngoại trừ, phân vùng/boot - được mã hóa. Các phân vùng được dán nhãn màu đỏ là dành cho Windows. Màu đen dành cho Linux.

Được rồi, vì vậy đây là một thiết lập phù hợp với tôi. Về cơ bản, bạn sẽ muốn những thứ này:

  • Phân vùng khởi động chính để đặt Grub (bộ tải khởi động Fedora có thể cài đặt cho bạn) - Tôi khuyên bạn nên sử dụng khoảng 50 đến 100 megabyte. Không gắn cờ này là loại có thể khởi động được khi phân vùng - Windows sẽ khiếu nại.

  • Một phân vùng mở rộng để chứa tất cả các phân vùng dữ liệu khác, hay các phân vùng khác. Điều này sẽ giữ thư mục Fedora/home của bạn (về cơ bản là thư mục Linux My Documents của Linux), phân vùng sao lưu Windows (tùy chọn) và tệp hoán đổi Linux của bạn (rất khuyến khích). Tệp hoán đổi tối thiểu phải bằng dung lượng RAM RAM của bạn.

  • Một phân vùng chính cho Windows Vista sẽ được cài đặt.

  • Một phân vùng chính cho Fedora 10 sẽ được cài đặt.

Phân vùng ổ đĩa của bạn như vậy và chắc chắn định dạng với các hệ thống tệp thích hợp. Bạn có thể sử dụng bảng trên làm tài liệu tham khảo.

Viết kích thước của các phân vùng của bạn (theo thứ tự) và hệ thống tập tin của chúng. Bạn sẽ cần điều này trong quá trình cài đặt hệ điều hành.

Bắt đầu cài đặt Windows Vista. Bạn sẽ buộc phải cài đặt tùy chỉnh. Chọn phân vùng NTFS chính mà bạn dành cho cài đặt Windows. Đừng quên tải trình điều khiển đĩa cứng - đặc biệt là trên máy tính xách tay. Nếu cài đặt Windows của bạn bị treo khoảng 70%, thì bạn cần cài đặt trình điều khiển SATA cho máy tính xách tay của mình. Khi trình điều khiển được tải và bạn chọn đúng phân vùng, hãy cài đặt Windows.

Sau khi Windows cài đặt, khởi động vào nó bình thường và hoàn tất thiết lập. Don Patrick dành quá nhiều thời gian để tùy chỉnh mọi thứ. Khi nó đang chạy, hãy tắt và chèn DVD Fedora 10. Khởi động vào đó và cài đặt Fedora. Tuy nhiên, hãy lưu ý những điều sau:

  • Hãy chắc chắn rằng bạn chọn thực hiện a bố cục tùy chỉnh cho phân vùng của bạn. Fedora sẽ muốn xóa sạch mọi thứ và tạo bố cục phân vùng ưa thích theo mặc định. Don Hãy để nó làm điều này. Hãy chắc chắn rằng bạn đi thẳng đến phần mà bạn có thể xem và sửa đổi thông tin phân vùng hiện tại của mình.

  • Don định dạng các phân vùng NTFS. Windows là một trong số đó.

  • Đảm bảo đặt điểm gắn kết cho phân vùng nhỏ (100 MB?) Thành/boot. -Kiểm tra định dạng của Wikipedia như là người dùng và chọn ext ext. Bạn không thể mã hóa phân vùng này.

  • Đặt điểm gắn kết cho phân vùng cho thư mục/home của bạn thành Bạn đã đoán nó:/home. Kiểm tra định dạng của người dùng trên mạng và chọn tùy chọn Ext3 “sau đó chọn tùy chọn Mã hóa mật mã.

  • Đặt điểm gắn kết cho phân vùng cho tệp hoán đổi của bạn là/hoán đổi. Linux sẽ phải định dạng nó và dĩ nhiên, bạn nên chọn Encrypt Encrypt.

  • Đặt điểm gắn kết cho phân vùng cho bản cài đặt Fedora chính của bạn là (/). Kiểm tra định dạng của người dùng trên mạng và chọn tùy chọn Ext3 “sau đó chọn tùy chọn Mã hóa mật mã.

Trước khi tiếp tục, đảm bảo rằng cả hai phân vùng NTFS đều không có dấu kiểm bên cạnh chúng. Nếu họ làm như vậy, họ sẽ được định dạng và bạn sẽ phải bắt đầu lại. Tiếp tục. Fedora sẽ cảnh báo bạn rằng nó sẽ xóa tất cả dữ liệu trên các phân vùng đã sửa đổi. Không sao đâu. Bạn có thể phải đặt mật khẩu của bạn bây giờ là tốt. Đi trước và làm điều đó.

Nó sẽ sớm hỏi bạn về bộ tải khởi động. Bước cẩn thận ở đây. Không ghi GRUB bộ tải khởi động vào MBR. Thay đổi trên thiết bị và thay vào đó, hãy chọn khu vực đầu tiên của phân vùng khởi động.

Sau bước đó, bạn nên ở nhà miễn phí. Hoàn tất cài đặt và khởi động lại máy tính. Nó sẽ khởi động thẳng vào Windows.

Khi Windows tải, tải xuống và cài đặt EasyBCD. Bạn sẽ muốn nó dễ dàng sửa đổi bộ tải khởi động Windows. Thêm một mục vào trình tải khởi động: nhấp vào Thêm Thêm/Xóa Entries - chọn tab Linux Linux, chọn Tải GRUB từ từ danh sách thả xuống và đặt tên là thông minh. Chọn phân vùng có chứa GRUB, không phải Fedora. Bỏ chọn hộp kiểm.

Thêm mục nhập sau đó thử khởi động lại. Bây giờ bạn có thể khởi động vào Fedora hoặc Windows! Khởi động lại vào Windows và mã hóa nó, như sau:

Cài đặt TrueCrypt và tạo một ổ đĩa mới. Chọn mã hóa phân vùng hệ thống hoặc toàn bộ ổ đĩa hệ thống. Từ thời điểm này, bạn sẽ phải chọn các tùy chọn thích hợp. Đọc chúng cẩn thận! Tôi không nhớ bộ nhớ chính xác, nhưng bạn cần xác định rõ ràng. Cuối cùng, nó sẽ hỏi liệu Windows có bộ tải khởi động trong MBR hay không nếu sử dụng bộ tải khởi động khác (như GRUB). Hãy nhớ rằng: chúng tôi đang sử dụng bộ tải khởi động Windows ức (chúng tôi muốn Truecrypt "vượt qua" nó).

Khi bạn đã hoàn thành trình hướng dẫn tạo khối, bạn sẽ được yêu cầu thử nghiệm hệ thống. Nó sẽ khởi động lại cho bạn. Nó sẽ khởi động vào trình tải khởi động TrueCrypt nơi bạn sẽ nhập mật khẩu. Sau đó, nó sẽ tải bộ tải khởi động Windows, nơi bạn có thể khởi động vào Linux hoặc Windows.

Từ đây, hoàn tất mã hóa phân vùng hệ thống Windows, sau đó nhớ mã hóa mọi phân vùng NTFS khác mà bạn đã tạo cho Windows.

Khi bạn đã hoàn tất, hãy thử khởi động vào Linux. Bạn nên vào menu GRUB trong đó bạn có thể chọn Fedora hoặc thay đổi ý định và quay lại Windows. Khi Fedora khởi động, bạn sẽ được hỏi mật khẩu của mình khi gắn kết các phân vùng được mã hóa .


Tl; dr (Quá lâu; không đọc)

Tôi đã mất một vài lần thử để làm cho đúng với hai hệ điều hành và sử dụng phần mềm như EasyBCD, Truecrypt và Gparted, nhưng cuối cùng tôi đã thành công ... cho 2 hệ điều hành. Chúc may mắn với 4. Điều quan trọng là lập kế hoạch hiệu quả. Kích thước và định dạng phân vùng của bạn đúng cách, sau đó cài đặt hệ điều hành theo đúng thứ tự. (Thông thường Windows đi trước.)

Tái bút Hừm, vì một giải pháp đơn giản hơn, mặc dù không hoàn toàn như những gì bạn yêu cầu: bạn đã cân nhắc chạy 3 trong số 4 hệ điều hành trong máy ảo chưa? Bạn có thể mã hóa máy chủ, do đó bảo vệ 3 máy kia cùng một lúc. (Và nếu bạn lo lắng về việc mất các tệp VHD, hãy nhớ rằng bạn cũng có thể mã hóa hoàn toàn các hệ điều hành khách.)

25
Matt

Necro'd để cập nhật:

Điều này đã trở nên dễ dàng hơn nhiều bây giờ; phiên bản mới nhất của TrueCrypt được Linux biết và cho phép các sơ đồ khởi động kép liên quan đến nhiều phân vùng và GRUB.

Hướng dẫn đầy đủ tại đây .

6
Steve

Xác thực trước khi khởi động (PBA) có thể được cung cấp cho bạn theo hai cách:

  1. Thông qua phần mềm

Nếu bạn muốn phụ thuộc hoàn toàn vào phần mềm và yêu cầu xác thực trước khi khởi động, tức là một phần mềm thực hiện mã hóa (tại chỗ hoặc trước khi cài đặt HĐH) và cài đặt và quản lý môi trường xác thực tiền khởi động (PBA), ví dụ về thiết lập như vậy và tên phần mềm có thể được tìm thấy tại đây . Như bài báo nêu,

Các hệ thống FDE liên quan đến một số bộ xử lý (và do đó cung cấp năng lượng) để thực hiện mã hóa và giải mã nhanh chóng và tác động của việc này phụ thuộc vào số lượng I/O đĩa mà các ứng dụng riêng lẻ nhu cầu. Đối với người dùng thực hiện các hoạt động năng suất email và văn phòng điển hình, tác động hiệu suất dường như không đáng chú ý - nhưng nó có thể có ý nghĩa đối với các hoạt động đòi hỏi nhiều dữ liệu như xử lý video, trừ khi bộ xử lý chính của máy tính và sản phẩm FDE đều hỗ trợ AES của Intel- Hướng dẫn NI cho mã hóa và giải mã tăng tốc phần cứng.

Do đó, một giải pháp khác là sử dụng mã hóa phần cứng.

. 2. Thông qua phần cứng

Tại đây, bạn có thể sử dụng Ổ đĩa tự mã hóa (SED) và sử dụng các tính năng bảo mật ATA (cho phép xác thực trước khi khởi động như mô-đun TPM) hoặc sử dụng SED tuân thủ OPAL (2.0) của TCG và sử dụng một trong những phần mềm (hầu hết chỉ dành cho Windows) có khả năng tận dụng chúng. Microsoft đã đưa ra thông số kỹ thuật về các ổ đĩa như vậy, xem tại đây , vì vậy nếu bạn đã nâng cấp lên Windows 8 và đáp ứng các yêu cầu BitLocker sẽ khởi tạo ổ đĩa của bạn và cài đặt PBA lên nó, trong khi quản lý các khóa mã hóa.

Vì vậy, ví dụ, bạn có thể sao chép/cài đặt lại hệ điều hành của mình trên SSD M500 quan trọng và sử dụng phần mềm độc lập SecureDoc của WinMagic hoặc nếu bạn đã nâng cấp lên Windows 8 BitLocker. Sau đó, bạn có thể cài đặt các HĐH khác theo bất kỳ sơ đồ nào bạn muốn.

Mặc dù vậy, hãy cảnh giác, vì mã hóa phần cứng là một loại hộp đen và bạn phải tin tưởng vào nhà sản xuất đã triển khai nó. Điều tương tự cũng xảy ra với các phần mềm không phải là libre, vì chưa có phần mềm libre nào có thể quản lý các ổ đĩa tuân thủ OPAL.

1
neitsab

Linux có thể được cài đặt trên một phân vùng logic bên trong một phân vùng mở rộng (windows là phân vùng từ chối khởi động từ các logic bên trong mở rộng).

Cách khởi động từ bên trong logic bên trong phần mở rộng mà không cần chạm vào nội dung phân vùng chính:

Giả sử: Bạn có không gian liên kết bên trong phân vùng mở rộng) và khởi động từ LiveCD như SystemResTHERCD để thực hiện công việc, sau khi doen HDD sẽ khởi động từ phân vùng logic bên trong phân vùng mở rộng ... thủ thuật được thực hiện nhờ bộ tải khởi động Grub2 có thể thực hiện được , có thể khởi động từ một phân vùng mở rộng.

  • Khởi động mọi LiveCD như SystemResTHERCd có Grub2 và GParted (cho giao diện GUI khi tạo phân vùng)
  • Bên trong phân vùng mở rộng tạo (tôi sử dụng GParted) một phân vùng logic với định dạng ext4 (hoặc bất kỳ cái nào khác mà Grub2 hỗ trợ)
  • Bây giờ từ giao diện điều khiển gắn phân vùng như/boot và cài đặt grub2 với: grub2-install/dev/sda # (trong đó # là số của phân vùng)
  • Với trình chỉnh sửa văn bản, hãy tạo /boot/grub/grub.cfg (xem internet để biết mẫu)
  • Khởi động lại, giải nén LiveCD
  • PC sẽ khởi động từ MBR (chúng ta đang nói về các phân vùng mở rộng, GPT không có bất kỳ ý nghĩa nào ở đây), nó sẽ tải Grub2 từ phân vùng logic đó bên trong phần mở rộng và từ đó nó có thể tải Linux/nằm trên một phân vùng logic khác bên trong phần mở rộng vách ngăn.

Hơn nữa, nếu bạn không có cửa sổ (tốt nhất là nếu bạn chỉ có một hoặc nhiều Linux) thì không cần bất kỳ phân vùng chính nào, bạn có thể lưu trữ tất cả Linux trong các phân vùng logic chỉ với một phân vùng mở rộng chiếm 100% Ổ cứng.

Lưu ý: Có thể BSD và các hệ điều hành khác cũng có thể nằm trong các phân vùng logic, tôi không có kinh nghiệm về chúng, xin lỗi!

Thủ thuật lớn: Bộ tải khởi động Grub2 có thể khởi động từ bên trong các phân vùng logic có 0, 1, 2 hoặc 3 phân vùng chính, cũng có thể tải chuỗi sang ổ cứng thứ hai nếu có ổ cứng thứ hai, cũng có thể làm cho ổ cứng thứ hai xuất hiện trên hệ điều hành như thể đó là đầu tiên (với lệnh drivemap), v.v.

Mặt trái: TrueCrypt/VeraCrypt được mã hóa Windows hút vào cách nó khởi động ... nó buộc phải theo dõi 0 đĩa với dữ liệu của chính nó, vì vậy nó không tương thích với hai hoặc nhiều Windows cũng như với Grub2, tại sao chúng lại làm thế không lập trình nó bằng cách sử dụng theo dõi PBR thay vì theo dõi MBR? vì vậy chúng tôi có thể thực hiện đa khởi động với các cửa sổ được mã hóa (nhiều hơn một cửa sổ trên mỗi đĩa) !!!

0
Anonimo