Ubuntu 18.04 全盘加密现在可在完整安装的闪存驱动器上运行。
单独加密主目录/主分区的功能已被取消。
如何使用脚本为家庭和系统创建具有不同密码的加密 BIOS/UEFI 闪存驱动器?
答案1
具有全盘加密的 BIOS/UEFI 闪存驱动器 (18.04)
我一直在玩帕迪·兰道的手动全系统加密:https://ubuntuforums.org/showthread.php?t=2399092
开箱即用,该脚本仅适用于 UEFI。
有韓國基础上,几乎任何 BIOS/UEFI 都是可能的。
从默认的 mkusb Live 安装开始到闪存驱动器(4GB 或更大)。
接下来,使用默认值(16GB 或更大)创建 mkusb 持久安装到闪存驱动器。
mkusb 完成持久安装后,立即打开 gparted 并删除 sdx4 和 sdx5。
參閱https://help.ubuntu.com/community/ManualFullSystemEncryption。
按照第6.4条-详细流程:https://help.ubuntu.com/community/ManualFullSystemEncryption/DetailedProcess。
完成项目 4.2.1 创建新分区 sdx4-system、sdx5-swap* 和 sdx6-data*。
以 UEFI 模式启动 Live USB。
完成项目 4.2.2-准备安装程序,并启动安装程序。
按照第 4.2.3 项运行安装程序 - 安装 Ubuntu。
此时闪存驱动器将仅为 UEFI。
- 现在挂载 ESP 启动分区并复制 ESP/EFI/ubuntu/grub/grub.cfg 并覆盖 ESP/boot/grub/grub.cfg。
您的可启动闪存驱动器现在将具有加密的系统、主目录和交换目录文件并将启动 BIOS 或 UEFI。
笔记:
- * 分离主目录、交换目录和 NTFS分区是可选的。
- 由于担心磨损,许多人建议不要将可启动 USB 或 SSD 与交换设备一起使用。
- 如果使用交换分区,可以使用 ecryptfs-utils 进行加密。
- 如果使用 NTFS 分区,可以使用 VeraCrypt 进行加密,以便可以在 Linux 和 Windows 中使用。
- 如果在第二次加密安装中重复使用安装程序驱动器时出现问题,请确认/mnt/根目录/已被删除,并且 fstab 中已经使用了 sdx3 的正确 UUID。
- 加密驱动器上的 GParted 可能无法工作。
答案2
加密的 20.04 完整安装 USB,可启动 BIOS 和 UEFI 模式
Ubuntu 20.04 使全盘加密变得简单。
拔下硬盘
在 BIOS/Legacy 模式下启动 Live USB,插入目标驱动器。
开始安装 Ubuntu 20.04 LTS。
选择语言、键盘、无线、正常安装、安装第三方……
在安装时输入标签“擦除磁盘并安装 Ubuntu”,然后选择“高级功能”。单击“在新的 Ubuntu 安装中使用 LVM”,然后单击“加密新的 Ubuntu 安装以确保安全”。
选择安全密钥。如果愿意,覆盖空闲磁盘空间。
选择国家,然后选择用户名和密码。
安装完成后,驱动器将以 BIOS 模式加密启动。
打开 20.04 ISO 文件并将启动文件夹和 EFI 文件夹复制到分区 1。
将 grub.cfg 从分区 5 /boot/grub/ 复制到分区 1 /boot/grub/ 并覆盖现有的 grub.cfg。
重新安装 GRUB:
sudo mount /dev/sdx1 /mnt
sudo grub-install --boot-directory=/mnt/boot /dev/sdx
加密的完整安装 USB 现在应该在 BIOS 和 UEFI 模式下启动。
重新安装 grub 后,sdx1/boot/grub/ 文件夹的内容,sdx1/EFI/boot 文件夹将只包含三个文件
答案3
使用虚拟机加密 20.04 完整安装 USB(BIOS 优先)
介绍
这个问题的其他答案假设您有一台可以移除内部驱动器或以某种方式禁用它们的计算机。这并不总是可行或方便的。我使用 QEMU-KVM 虚拟机完成了此操作。如果您已经在 Ubuntu 桌面上安装了 QEMU-KVM 虚拟机,或者您有一台运行 Ubuntu 的计算机,并且能够运行 QEMU-KVM 虚拟机,那么这种方法可能比从计算机内部拔下硬盘驱动器更容易。
一般来说,虚拟机 (VM) 非常适合管理 USB 中的完整 Ubuntu 安装。设置完成后,我可以在 VM 中启动 USB 完整安装并维护它,而无需关闭我的主要 Ubuntu 桌面。
先决条件
- KVM虚拟机虚拟机管理器在 Ubuntu 20.04 上运行的 GUI。
以下命令将安装所需的所有包:
sudo apt install --install-recommends virt-manager
- 一个足够大的空 USB 驱动器,用于完整安装 Ubuntu,并有足够的空间来保存你的数据
- 运行 QEMU-KVM 的计算机中存储的 Ubuntu 20.04 ISO
查找 USB 设备名称
我们需要找到 USB 驱动器的设备名称。插入 USB 驱动器并打开Gnome 磁盘应用程序:
注意,我的 USB 驱动器名为/dev/sdc。您的可能不同。下一步您将需要此信息。
使用黑色方形按钮并将其变成黑色三角形来卸载所有分区。
卸载 USB 的所有 USB 分区非常重要。
在虚拟机中安装 Ubuntu 的过程将要求虚拟机对 USB 驱动器具有完全访问权限,以便它可以覆盖并在虚拟机中创建新的分区。
创建新的 VM 以使用 USB 驱动器
通常,当您创建新的 VM 时,它会提示您创建一个虚拟硬盘(一个文件),用于安装操作系统。我们想直接访问 USB 并在那里安装 Ubuntu。这需要设置新的 VM。我们还想创建一个启动 Legacy BIOS 的 VM,以及可选的另一个启动 UEFI 的 VM。
打开应用程序虚拟机管理器并转到文件 > 新建虚拟机:
我们将使用 Ubuntu 20.04.2.0 桌面 ISO。单击“前进”并进入下一个屏幕:
单击浏览按钮并找到 ISO 文件。然后单击选择音量选择它。填写您正在安装的操作系统的名称,如上所示。
选择您想要分配给此虚拟机的 RAM 数量和 CPU 数量:
现在到了重要的部分。点击选择或创建自定义存储并输入您的 USB 设备名称:
注意,我的是/dev/sdc,你的可能不同。如果你以前做过这个,你会收到警告磁盘“/dev/sdc”已被其他客户机使用.... 单击“是”以使用此磁盘。
如果需要,可以编辑虚拟机的名称。
选择安装前自定义配置:
您可以在此处选择 BIOS 或 UEFI 模式:
如果尚未选择,请选择 BIOS。
如果您想创建另一个 VM 来测试您正在创建的 USB 的 UEFI 启动,请按照上述所有步骤并为第二台 VM 选择 UEFI 选项。
单击底部的“应用”按钮进行更改。
对所有更改满意后,点击开始安装继续。这将启动新创建的 VM 并从您在 BIOS 模式中选择的 ISO 启动。您应该看到此屏幕:
如果您看到不同的屏幕,则可能是使用 UEFI 模式启动的。接下来您将看到一个屏幕,显示无需安装即可试用 Ubuntu:
选择尝试 Ubuntu 选项。这将允许您在安装后进行我们需要的更改。您将看到熟悉的 Ubuntu 桌面,其中有安装 Ubuntu 的图标。
选择语言、键盘、正常安装、安装第三方……
在安装时输入标签“擦除磁盘并安装 Ubuntu”,然后选择“高级功能”。单击“在新的 Ubuntu 安装中使用 LVM”,然后单击“加密新的 Ubuntu 安装以确保安全”。
选择安全密钥。如果愿意,覆盖空闲磁盘空间。
选择国家,然后选择用户名和密码。
安装完成后,选择继续测试对 USB 进行更改,以便它在 BIOS 和 UEFI 模式下启动。
在仍从安装 ISO 运行的 Ubuntu VM 中打开应用程序“磁盘”并从左侧面板中选择 USB 驱动器:
注意设备名称/dev/vda。这与不同,/dev/sdc因为现在我们在虚拟机中查看的是同一个 USB。还请注意分区 1 和分区 5 的大小,在本例中分别为 537 MB 和 767 MB。这将帮助我们稍后找到这些分区。
通过单击黑色三角形并将其变成正方形来安装这两个分区。
在虚拟机中打开文件应用程序(又名 Nautilus),然后导航至+其他位置 > 计算机 > cdrom。这是我们启动的 Ubuntu 安装 ISO。
在虚拟机中打开文件应用程序的另一个实例并导航到+其他位置 > 537 MB 卷。这是分区 1。
调整并移动两个打开的文件窗口,以便您可以看到它们,如下所示。
复制文件夹boot并EFI从cdrom到Partition 1:
现在导航至+其他位置 > 767 MB 卷 > grub在顶部的文件窗口中。
并+其他位置 > 537 MB 卷 > boot > grub在底部的文件窗口中,如下所示:
将grub.cfg文件从/media/ubuntu/f31c1dbd-ea5c-487c-a14a-90b6edcea385/grub复制到/media/ubuntu/4281-A2FB/boot/grub如上所示。
再次打开应用程序磁盘并卸载分区 1 和分区 5。关闭磁盘应用程序。
在虚拟机中打开终端应用程序并挂载分区 1,/mnt并grub使用以下两个命令进行安装:
sudo mount /dev/vda1 /mnt
sudo grub-install --boot-directory=/mnt/boot /dev/vda
请注意,这里我们将 USB 驱动器称为 ,/dev/vda并将第一个分区称为/dev/vda1。
请注意,在 Live 安装启动时您不需要任何 sudo 密码。
关闭终端并关闭虚拟机。出现Enter提示时点击。
在虚拟机未运行时,转到虚拟机的设置选项卡,然后SATA 光驱在左侧面板中:
删除 ISO 映像并应用以使更改生效。重新启动 VM,以便它从 USB 驱动器启动。
出于某种原因,当我使用虚拟机启动 USB 时,屏幕变黑,而不是出现加密密码提示。但是,盲目输入密码并按 Enter 键就可以了。
后记(PS)
如果您继续使用 BIOS 或 UEFI 启动来更新内核,USB 迟早会无法以另一种模式启动,因为grub.cfg两个分区中的两个文件将不同步。请参阅如何使用全盘加密来维护 BIOS/UEFI 闪存驱动器寻求解决方案。
希望这可以帮助
答案4
加密的 20.04 完整安装 USB,可启动 UEFI 和 BIOS(UEFI 优先)
介绍
下面描述的过程可以通过两种方式完成:
- 要么使用真正的计算机,要么移除内部驱动器或以某种方式禁用它们。但这并不总是可行或方便的。
- 或者使用 QEMU-KVM 虚拟机之类的 VM。如果您已经在 Ubuntu 桌面上设置了 QEMU-KVM 虚拟机,或者您有一台运行 Ubuntu 的计算机,并且能够运行 QEMU-KVM 虚拟机,那么这种方法可能比从计算机内部拔下硬盘驱动器更容易。
先决条件
- 一台至少具有两个 USB 端口的真实计算机,所有内部驱动器均已断开连接或禁用,并以 UEFI 模式启动。或者以 UEFI 模式启动的虚拟机。
- 一个足够大的空 USB 驱动器,用于完整安装 Ubuntu,并有足够的空间来保存你的数据
- Ubuntu 20.04 Live 安装 USB,或者运行 VM 的计算机中存储的 Ubuntu 20.04 ISO
从安装 USB/DVD 或 ISO 启动
无论您使用的是真实机器还是虚拟机,请确保以 UEFI 模式启动 Ubuntu 20.04 Live Installation USB/DVD 或 ISO。您应该看到类似以下内容:
如果您看到紫色页面,则表示您已在 BIOS/Legacy 模式下启动。从上面的菜单中选择 Ubuntu,然后尝试 Ubuntu,如下所示:
再次,如果你看到不同的无需安装即可试用 Ubuntu选项,则您已在 BIOS 模式下启动。
这将允许您在安装后进行我们需要的更改。您将看到熟悉的 Ubuntu 桌面,其中有“安装 Ubuntu”的图标。
选择语言、键盘、正常安装、安装第三方……
在安装时输入标签“擦除磁盘并安装 Ubuntu”,然后选择“高级功能”。单击“在新的 Ubuntu 安装中使用 LVM”,然后单击“加密新的 Ubuntu 安装以确保安全”。
选择安全密钥。如果愿意,覆盖空闲磁盘空间。
选择国家,然后选择用户名和密码。
安装完成后,选择继续测试对 USB 进行更改,以便它在 BIOS 和 UEFI 模式下启动。
仍处于 Live Try Ubuntu 模式时,打开磁盘应用程序:
确保分区 1 和 2 未安装。记下设备名称。在我的例子中,分区 1 是/deb/vda1,分区 2 是/dev/vda2。您的可能有所不同。
打开终端并使用以下命令挂载分区 1 和 2:
sudo mkdir -p /mnt/efi
sudo mkdir -p /mnt/boot
sudo mount /dev/vda1 /mnt/efi
sudo mount /dev/vda2 /mnt/boot
将启动文件夹从 /USB/DVD/ISO 复制到分区 1:
sudo cp -R /cdrom/boot /mnt/efi/
grub.cfg从分区 2复制到分区 1:
sudo cp /mnt/boot/grub/grub.cfg /mnt/efi/boot/grub/
安装 Live Ubuntu 中没有的 grub-efi 模块:
sudo apt install grub-efi-amd64-bin
这将临时安装下一步所需的模块。在分区 1 中以 UEFI 模式安装 grub:
sudo grub-install --efi-directory=/mnt/efi --boot-directory=/mnt/efi/boot --target x86_64-efi --removable /dev/vda
在分区2中以BIOS模式安装grub
sudo grub-install --boot-directory=/mnt/boot --target=i386-pc --removable --force /dev/vda
关闭终端和任何其他应用程序并关闭计算机/虚拟机。USB 上的 Ubuntu 完整加密安装已准备就绪。它应该在 UEFI 和 BIOS 模式下启动。
希望这可以帮助