1 votos

Especificar el sistema de cifrado a utilizar durante la instalación?

Acabo de ir a través del proceso de instalación de la especificación de "hacer algo más", a continuación, recogió mi partición a utilizar como un contenedor cifrado, y finalmente se utiliza el contenedor para ser formateado con un sistema de archivos. No veo una opción para utilizar el cifrado de mi elección y señaló que el defecto parece ser sha256.

Es allí una manera de decirle que lo quiero usar?

Edit: este fue el uso de la 16.10 escritorio iso.


Edit2: dado AlexP el ejemplo de la tabla de abajo, pensé en la lista de los reales valores predeterminados después de pasar por el instalador de Ubuntu como se describió anteriormente.

Edit3: complementa con lo que creo que demuestra que el Arco de las recomendaciones y el Ubuntu valores predeterminados tal vez, no se diferencian en absoluto.

La única cosa que se destaca es la capacidad de carga, desplazamiento y como anécdota me parece que el ubuntu de la unidad se abre más rápido. Yo creo que esto puede ser debido a que es la opción para --iter-time. El valor por defecto es 2000 (milisegundos) y me hubiera especificado 5000 manualmente. Este es el tiempo que se agita antes de llegar a la final hash si lo he entendido correctamente. Cada vez que desbloqueo, usted tiene que hacer esto de nuevo para obtener el hash de contraseña (si mal). Aparte de eso, las cosas son idénticas.

### ubuntu default
$ sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        512

### arch recommendation
$ sudo cryptsetup luksDump

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 65535
MK bits:        512


### ubuntu default
$ sudo cryptsetup status /dev/mapper/ubuntu

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sdb2
  offset:  4096 sectors
  size:    487393280 sectors
  mode:    read/write

### arch recommendation
$ sudo cryptsetup status /dev/mapper/arch

  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sda2
  offset:  65535 sectors
  size:    233262018 sectors

2voto

AlexP Puntos 31

El valor predeterminado de cifrado es aes-xts-plain64 con clave de 256 bits y SHA-1 sumas de comprobación. Este es un buen valor por defecto. Un muy buen valor por defecto. A menos que usted califica como criptógrafo debe dejarlo como está. Conocedores de personas han elegido esta forma predeterminada, después de pasar un montón de tiempo y esfuerzo.

Para averiguar qué algoritmo de cifrado utilizado para su contenedor cifrado puede utilizar el comando sudo cryptsetup status y sudo cryptsetup luksDump. Por ejemplo:

$ sudo lsblk
NAME                  MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                     8:0    0   40G  0 disk  
├─sda1                  8:1    0  284M  0 part  /boot
└─sda2                  8:2    0 39.7G  0 part  
  └─Machinia          252:0    0 39.7G  0 crypt 
    ├─Machinia-Swap   252:1    0  1.2G  0 lvm   [SWAP]
    ├─Machinia-Home   252:2    0  9.5G  0 lvm   /home
    ├─Machinia-System 252:3    0   20G  0 lvm   /
    └─Machinia-Srv    252:4    0    6G  0 lvm   /srv
sr0                    11:0    1 1024M  0 rom   

$ sudo cryptsetup status Machinia
/dev/mapper/Machinia is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 256 bits
  device:  /dev/sda2
  offset:  4096 sectors
  size:    83298304 sectors
  mode:    read/write
  flags:   discards

$ sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
...

Aquellos que se dice, es absolutamente desea especificar otro sistema de cifrado, puede. El proceso básico es bien descrito por la buena gente de ArchLinux en el Cifrado de todo el sistema. Hacerlo de la siguiente manera:

  1. Arranque desde el medio de instalación.

  2. Seleccione "Probar Ubuntu".

  3. Abrir un terminal.

  4. El uso de fdisk, parted o la gráfica de Gparted, crear su /boot de particiones manualmente. (Esto supone que usted está usando un MBR-con particiones de disco. Si usted está usando un GPT-formato de disco, usted debe también crear una partición de Sistema EFI.)

  5. Crea tu partición cifrada de forma manual. Digamos que este es /dev/sda2.

  6. El formato es como un LUKS contenedor. Esto es donde se especifica el sistema de cifrado:

    sudo cryptsetup luksFormat /dev/sda2 --cipher=<cipherspec> --keysize=<size>
    

    Por ejemplo,

    sudo crypsetup luksFormat /dev/sda2 --cipher=aes-cbc-essiv:sha256 --keysize=512
    

    Permítanme repetir que a menos que haya profesional de cifrado conocimiento no debe hacer esto. Pero vamos a continuar.

  7. Abra su partición cifrada y darle un nombre de contenedor:

    sudo cryptsetup luksOpen /dev/sda2 <name>
    

    Para una "mascota" sistema informático, una buena opción es utilizar el nombre de host con un capital inicial. Por ejemplo, si usted planea utilizar el nombre de host machinia,

    sudo cryptsetup luksOpen /dev/sda2 Machinia
    
  8. Formato /dev/mapper/Machinia (o cualquier nombre que eligió en el paso 7) como un volumen físico LVM:

    sudo pvcreate /dev/mapper/Machinia # Use the name chosen in step 7
    
  9. Crear un grupo de volúmenes LVM en el volumen físico:

    sudo vgcreate Machinia /dev/mapper/Machinia # Use the name chosen in step 7
    
  10. Crear volúmenes lógicos para /, /home, /srv, /var, swap, etc. en el grupo de volúmenes LVM. Debe crear al menos un volumen lógico para /. Un volumen independiente para /home es opcional pero recomendado. Creación de volúmenes separados por /var, de intercambio y así sucesivamente es opcional y depende de tus planes.

    sudo lvcreate -L 20g -n System Machinia # /
    sudo lvcreate -L 3g  -n Swap   Machinia # swap
    sudo lvcreate -L 10g -n Home   Machinia # /home
    

    Usted puede querer dejar algo de espacio sin asignar, con el fin de ser capaz de utilizar las instantáneas de LVM. Su elección.

  11. Ahora ejecutar el instalador e instalar Ubuntu elección de "Algo más" y seleccionando /dev/sda1 (o lo que sea) por /boot, /dev/mapper/Machinia-System (utilizando tu elección de nombres, por supuesto) para /, /dev/mapper/Machinia-Swap para el espacio de intercambio, /dev/mapper/Machinia-Home para /home.

    Uso de la partición hecha en el paso 4 para /boot, y los volúmenes lógicos creados en el paso 10 para /, swap, /home etc.

    Si usted está usando un MBR-con particiones de disco doble-compruebe y asegúrese de que el GRUB se instala en el disco físico, /dev/sda (o lo que es correcto para su sistema.)

  12. Permitir que el instalador procederá a la final. Cuando finalice, seleccione "Continuar con las pruebas" y volver a su terminal.

  13. Monte su futuro el volumen de la root en /target, montar directorios especiales, a continuación, chroot a /target:

    sudo mount /dev/mapper/Machinia-System /target
    for d in dev proc run sys; do sudo mount --bind /$d /target/$d; done
    chroot /target
    
  14. Ahora eres root en tu futuro el volumen de la root. Ir a /etc y editar /etc/crypttab:

    cd /etc
    echo Machinia UUID=$(cryptsetup luksUUID /dev/sda2) none luks,discard >crypttab
    

    /etc/crypttab debería tener este aspecto:

    # cat /etc/crypttab
    Machinia UUID=016193a0-8a79-416c-95f3-c94bd3745c5c none luks,discard
    

    (Con su nombre elegido en lugar de Machinia, y el UUID devuelto por cryptsetup luksUUID.)

  15. Actualizar el sistema de ficheros root inicial y de GRUB:

    update-initramfs
    update-grub
    
  16. La salida de la chroot:

    exit
    
  17. Desmontar lo que montado en el paso 13:

    for d in dev proc run sys; do sudo umount /target/$d; done
    umount /target
    
  18. Reiniciar y esperar lo mejor.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: