在选择全盘加密选项后,如何在 Ubuntu 12.10 图形安装程序中创建单独的 /home 分区?我想确保包括所有分区在内的整个磁盘的内容也都加密。
答案1
这也适用于 Mint 17.2。很难相信这个问题还没有被修复。
分区
启动安装磁盘,然后打开终端。假设您想使用 GPT,不使用 UEFI,请使用 gdisk 对磁盘进行分区。
gdisk /dev/sda
在 gdisk 中:
- 创建新的 GUID 分区表
- 创建一个 1M 的 bios 启动分区(分区类型为 ef02)。Start=0,End=+1M。
- 创建一个 grub 分区(分区类型 8300)。至少 256 MB。
- 创建 LUKS 加密分区(分区类型 8E00)。保留建议的开始/结束以使用磁盘的其余部分。
- 按“w”写入磁盘。
现在在您刚刚创建的分区上创建 LUKS 容器,并将其命名为“lvm”(或您想要的任何名称):
cryptsetup luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 lvm
在 LUKS 容器中为 LVM 创建物理卷,然后创建卷组:
pvcreate /dev/mapper/lvm
vgcreate lvmgrp /dev/mapper/lvm
创建逻辑卷(您的大小可能有所不同):
lvcreate -L 4G lvmgrp -n swapvol
lvcreate -L 20G lvmgrp -n rootvol
lvcreate -l +100%FREE lvmgrp -n homevol
安装 Ubuntu/Mint
现在启动安装程序,保持终端打开。在分区步骤中,选择“Something Else”。设置以下挂载点,选中适用的“格式”框:
- 在 /boot 上挂载 /dev/sda2
- 在 /home 上挂载 homevol
- 将 rootvolume 挂载到 /
- 将 swapvol 设置为交换空间。
现在继续安装,但在安装结束时单击“继续尝试”。
重启之前
返回你的终端,在 chroot 中挂载你的新系统:
mount /dev/mapper/lvmgrp-rootvol /mnt
mount /dev/sda2 /mnt/boot
cd /mnt
mount /dev --bind dev
chroot .
mount proc
mount sysfs
mount devpts
mount tmpfs
运行blkid
以获取 LUKS 容器 (/dev/sda3) 的 UUID。
编辑或创建 /etc/crypttab,内容如下:
lvm UUID=8f379863-d591-4101-9251-70ae8a34ad02 none luks
当然,你的 UUID 会有所不同。这将导致系统在启动时尝试打开名为“lvm”的 LUKS 容器。
实际上,这是初始 RAM 映像将执行的此操作,因此我们需要对其进行更新:
update-initramfs -u
这将读取 crypttab 文件并对 initram 映像进行必要的更改。现在您将在启动时收到输入密码的提示。
为了安全起见,请卸载所有内容:
umount tmpfs
umount devpts
umount sysfs
umount proc
exit
umount dev
umount boot
cd
umount /mnt
现在重新启动并移除安装盘。
解释
以下是启动时发生的情况:
- BIOS 将控制权交给 GRUB,GRUB 加载内核并执行位于 /boot 分区中的 initram 映像。
- initram 配置为解锁 LUKS 容器,因此接下来它将执行此操作。
- 现在可以访问根文件系统(在 rootvol 中),因此内核可以完成系统加载。
以下是一个很好的参考。
答案2
警告:请记住,您必须正确执行操作,否则可能会破坏硬盘上的其他系统或其他分区上的数据。如果您要安装到整个硬盘并想覆盖整个磁盘,请不要担心。
安装时,当您看到此屏幕时:
选择其他。
您将需要创建至少两个分区(如果需要交换,则需要创建三个)。
为您的系统创建一个分区并将其挂载点设置为“/”
为您的主目录创建另一个分区,并将其挂载点设置为“/home”
如果需要的话,也创建一个交换分区。
当要求您加密 /home 目录时,请选择该选项。
看到这个教程在您开始此过程之前。如果您已经安装了另一个系统并希望将其安装在其旁边,请确保使用 remastersys 备份它或仅备份您的文件。