it-swarm-id.com

Multi-boot dengan enkripsi hard drive penuh dan otentikasi pra-boot

Bagaimana saya mengatur sistem multiboot yang mendukung enkripsi hard drive penuh dan otentikasi pra-boot.

Saya memiliki sistem dengan Ubuntu, Windows 7, Windows XP, dan saya ingin menginstal Red Hat. Saya menggunakan boot loader grub 2. Perangkat lunak apa yang akan mendukung pengaturan ini, untuk enkripsi drive penuh dengan otentikasi pra-boot? Ada TrueCrypt untuk autentikasi pra-boot Windows, tetapi apakah ini akan memainkan Nice dengan grub 2? Perangkat lunak enkripsi disk apa lagi yang dapat saya gunakan untuk sisi Linux?

26
dabest1

Sebelum Anda membaca semua ini, ingatlah bahwa teknik ini setidaknya berusia 5 tahun - mungkin sekarang jauh lebih mudah (lihat jawaban lain). (Tapi tentu menyenangkan mengetahui ini semua.)

Saya melakukan ini beberapa tahun yang lalu dengan Fedora 10 dan Windows Vista untuk menunjukkan bagaimana semua seluk-beluk cocok. Itu agak terlibat (kebanyakan karena Windows Vista tidak "bermain baik dengan orang lain" dan tidak suka diinstal kedua), tetapi pada akhirnya saya menemukan metode yang cocok untuk saya. Kasing Anda lebih rumit karena Anda memiliki 3 OS yang ada dan Anda ingin menambahkan yang lain ke drive Anda.

Karena saya belum pernah mencoba ini pada besarnya 4 sistem operasi, saya akan menyerahkan sebagian besar kepada Anda (partisi ulang yang sebenarnya dan semacamnya) dan akan mencoba mengambil prinsip keamanan umum dari pengalaman saya dan menerapkannya pada situasi Anda. Juga perhatikan bahwa dalam kasus saya, saya mulai dari awal pada drive yang telah saya hapus. Ini lebih merupakan eksperimen daripada paparan ahli ... jadi ambillah beberapa hal dengan sebutir "garam" (tidak ada permainan kata-kata) dan jangan menganggap saya bertanggung jawab. :)


Ingat, ini hanya catatan saya. Anda harus menyesuaikannya untuk situasi Anda. Jadi di sini kita mulai:

Masalah diatasi dengan metode yang dijelaskan di sini

  • Hard disk notebook saya hanya bisa berisi 4 partisi primer.

  • Partisi primer adalah satu-satunya yang dapat diinstal OS (Windows, toh).

  • Partisi primer adalah satu-satunya partisi sistem dapat boot dari

  • Setiap partisi yang diperluas dihitung sebagai partisi primer.

  • 6 atau 7 partisi mungkin diperlukan.

  • TrueCrypt tidak dapat mengenkripsi seluruh drive yang memiliki banyak partisi, OS, dan berbagai sistem file ketika hanya berjalan di satu

  • TrueCrypt tidak cocok dengan Grub atau pemuat boot non-Windows.

  • Windows suka diinstal terlebih dahulu dan hanya pada partisi yang ditandai sebagai "bootable" (atau, jika tidak ada partisi yang ditandai "bootable")

Manfaatnya pada akhirnya

  • Setelah boot loader Prompt awal, pemasangan berbagai partisi terenkripsi dapat diotomatisasi dengan skrip. (<3 Truecrypt)

  • File dapat dibagi antara sistem operasi terenkripsi (dengan kata sandi).

  • Setiap partisi dienkripsi, bahkan swap file.

Bagaimana boot loader bekerja bersama

  • Kami menginstal dan menggunakan boot loader default Windows ke MBR. Inilah yang akan di-boot oleh komputer terlebih dahulu.

  • Kami memasang GRUB (bootloader Fedora), tetapi tidak untuk MBR. Ini hanya akan tersedia bagi kami untuk boot nanti.

  • Kami menginstal TrueCrypt yang mengambil alih boot loader Windows. Boot loader TrueCrypt masuk ke MBR. Saat boot, pengguna akan mengotentikasi dengan TrueCrypt kemudian dibawa ke boot loader Windows di mana opsi Vista atau Linux (sebenarnya GRUB) menjadi tersedia.

  • Pada akhirnya, proses boot saya terlihat seperti ini:

Diagram of full-disk encrypted dual-boot process

Diagram proses dual-boot terenkripsi full-disk (kotak kuning adalah partisi terenkripsi; gembok adalah lapisan keamanan lain)

Kemungkinan penyesuaian untuk situasi Anda

  • Saya tidak menggunakan Truecrypt di sisi Linux kecuali untuk me-mount partisi Windows. Saya tidak yakin bagaimana cara me-mount partisi Linux-terenkripsi asli dari Windows, jadi setup saya agak satu arah. Anda dapat mempertimbangkan menggunakan Truecrypt untuk mengenkripsi setidaknya Linux Anda /home direktori dan biarkan enkripsi asli Linux melindungi /swap partisi, misalnya. Ini memungkinkan Truecrypt di sisi Windows untuk memasang file Linux Anda.

  • Partisi ulang hard drive Anda di tempat, atau tambahkan drive lain untuk Red Hat. Orang-orang di SuperUser mungkin tahu lebih banyak tentang ini.

  • Cari tahu bagaimana Anda akan mempartisi hard drive Anda sebelumnya ... Anda tidak perlu partisi sebanyak yang saya gunakan.

Persyaratan

  • Komputer dengan setidaknya satu hard disk yang ingin Anda bersihkan (Cadangkan data Anda terlebih dahulu, tentu saja ...)

  • Disk instalasi OS yang ingin Anda instal

  • Gparted LiveCD atau LiveUSB

  • TrueCrypt

  • EasyBCD untuk memodifikasi boot loader Windows (Ada versi gratis ...)


Instruksi

Cadangkan data Anda. Anda akan menghapus hard disk sepenuhnya bersih dan memformatnya segera.

Memformat ulang seluruh drive. Untuk melakukan ini, saya menggunakan LiveCD Gparted. Jika Anda tidak ingin menggunakan Gparted, penginstal Fedora 10 dilengkapi dengan editor partisi. Tapi, ini agak sulit. Anda harus menyelesaikan sebagian pengaturan Fedora untuk sampai ke sana, menerapkan perubahan ke disk, lalu keluar dari pengaturan karena Fedora tidak harus diinstal terlebih dahulu. (Editor partisi Windows Vista TIDAK cukup kuat. Anda tidak dapat menggunakannya untuk ini.) Saya sangat menganjurkan penggunaan LiveCD atau LiveUSB Gparted.

Saya berpikir tentang cara membagi drive saya dan setelah beberapa saat, saya datang dengan ini:

Partition map

Layout partisi untuk dual boot Fedora 10 dan Windows Vista dengan TrueCrypt

Saya berharap saya memiliki ukuran yang berbeda di belakang, tetapi Anda bisa melakukannya sesuka Anda. Setiap gembok menunjukkan partisi terenkripsi. Gembok kuning dengan "TC" dienkripsi dengan TrueCrypt di Windows. Yang biru dienkripsi oleh Fedora. Seperti yang Anda lihat, setiap partisi - kecuali, tentu saja, partisi/boot - dienkripsi. Partisi berlabel merah adalah untuk Windows. Hitam untuk Linux.

Oke, jadi ini adalah pengaturan yang berfungsi untuk saya. Pada dasarnya, Anda menginginkan hal-hal ini:

  • Partisi boot primer untuk menempatkan Grub (boot loader yang dapat diinstal oleh Fedora untuk Anda) - Saya sarankan sekitar 50 hingga 100 megabita. Jangan menandainya sebagai "bootable" saat mempartisi - Windows akan mengeluh.

  • Partisi yang diperluas untuk menampung semua partisi "data" atau "lain-lain". Ini akan menyimpan direktori Fedora/home Anda (pada dasarnya folder "My Documents" dari Linux), partisi cadangan Windows (opsional), dan file swap Linux Anda (sangat disarankan). File swap setidaknya harus sebesar kapasitas RAM Anda.

  • Partisi utama untuk Windows Vista akan diinstal.

  • Partisi utama untuk Fedora 10 akan diinstal.

Partisi drive Anda dan pastikan untuk memformat dengan sistem file yang sesuai. Anda dapat menggunakan tabel di atas sebagai referensi.

Tulis ukuran partisi Anda (dalam urutan) dan sistem file mereka. Anda akan memerlukan ini selama pemasangan OS.

Mulai menginstal Windows Vista. Anda akan dipaksa untuk melakukan instalasi khusus. Pilih partisi NTFS utama yang Anda pesan untuk instalasi Windows. Jangan lupa memuat driver hard disk - terutama pada laptop. Jika instalasi Windows Anda hang sekitar 70%, maka Anda harus menginstal driver SATA untuk laptop Anda. Setelah driver dimuat dan Anda memilih partisi yang tepat, instal Windows.

Setelah Windows diinstal, boot ke dalamnya secara normal dan selesaikan pengaturan. Jangan menghabiskan terlalu banyak waktu untuk menyesuaikan berbagai hal. Setelah berjalan, matikan dan masukkan DVD Fedora 10. Boot ke sana dan instal Fedora. Namun, perhatikan hal-hal berikut:

  • Pastikan Anda memilih untuk melakukan tata letak khusus untuk partisi Anda. Fedora akan ingin menghapus sesuatu dan membuat tata letak partisi yang disukai secara default. Jangan biarkan ini melakukan ini. Pastikan Anda langsung menuju ke bagian di mana Anda dapat melihat dan mengubah informasi partisi Anda saat ini.

  • Jangan memformat partisi NTFS. Windows ada di salah satunya.

  • Pastikan untuk mengatur titik mount untuk partisi kecil (100 MB?) Menjadi/boot. -Periksa “Format as” dan pilih “ext3.” Anda tidak dapat mengenkripsi partisi ini.

  • Atur titik mount untuk partisi untuk direktori/home Anda ke ... Anda dapat menebaknya:/home. Centang "Format as" dan pilih "ext3 ″ lalu pilih opsi" Encrypt ".

  • Tetapkan titik mount untuk partisi untuk file swap Anda sebagai/swap. Linux harus memformatnya dan Anda tentu saja harus memilih "Enkripsi."

  • Tetapkan titik mount untuk partisi untuk instalasi Fedora utama Anda menjadi "/". Centang "Format as" dan pilih "ext3 ″ lalu pilih opsi" Encrypt ".

Sebelum melanjutkan, pastikan tidak ada partisi NTFS yang memiliki tanda centang di sebelahnya. Jika ya, mereka akan diformat dan Anda harus memulai dari awal. Terus. Fedora akan memperingatkan Anda bahwa itu akan menghapus semua data pada partisi yang dimodifikasi. Tidak apa-apa. Anda mungkin harus mengatur kata sandi Anda sekarang juga. Silakan dan lakukan itu.

Segera ia akan menanyakan tentang boot loader. Tapak hati-hati di sini. Jangan menulis boot loader GRUB ke MBR. Ketika dikatakan "Instal boot loader di/dev/sda1 ″ (" sda1 ″ mungkin berbeda) - biarkan kotak dicentang tetapi klik “Ganti Perangkat” dan pilih “sektor pertama dari partisi boot” sebagai gantinya.

Setelah langkah itu, Anda harus bebas di rumah. Selesaikan instal dan reboot komputer. Ini akan boot langsung ke Windows.

Setelah Windows dimuat, unduh dan instal EasyBCD. Anda pasti ingin memodifikasi boot loader Windows dengan mudah. Tambahkan entri ke boot loader: klik "Tambah/Hapus Entri" - pilih tab "Linux", pilih "GRUB" dari dropdown, dan beri nama sesuatu yang cerdas. Pilih partisi yang berisi GRUB, bukan Fedora. Biarkan kotak centang tidak dicentang.

Tambahkan entri lalu coba reboot. Anda sekarang bisa boot ke Fedora atau Windows! Boot ke Windows lagi dan enkripsi, sebagai berikut:

Instal TrueCrypt dan buat volume baru. Pilih "Enkripsi partisi sistem atau seluruh drive sistem." Dari titik ini, Anda harus memilih opsi yang tepat. Baca dengan cermat! Saya tidak ingat urutan pastinya, tetapi Anda perlu menentukan "Multi-boot" di beberapa titik. Pada akhirnya ia akan bertanya apakah Windows memiliki bootloadernya di MBR atau apakah bootloader lain digunakan (seperti GRUB). Ingat: kami menggunakan boot loader Windows (kami ingin Truecrypt "menyalip" itu).

Setelah menyelesaikan panduan pembuatan volume, Anda akan diminta untuk "Menguji" sistem. Ini akan restart untuk Anda. Seharusnya boot ke boot loader TrueCrypt tempat Anda mengetik kata sandi Anda. Setelah itu, harus memuat boot loader Windows di mana Anda dapat boot ke Linux atau Windows.

Dari sini, selesaikan enkripsi partisi sistem Windows, lalu ingatlah untuk mengenkripsi partisi NTFS lain yang Anda buat untuk Windows.

Setelah selesai, coba boot ke Linux. Itu harus pergi ke menu boot GRUB di mana Anda dapat memilih Fedora atau berubah pikiran dan kembali ke Windows. Saat Fedora melakukan boot, Anda akan dimintai kata sandi saat me-mount partisi terenkripsi .


Tl; dr (Terlalu panjang; tidak membaca)

Saya perlu beberapa kali mencoba untuk memperbaikinya dengan dua OS, dan menggunakan penggunaan perangkat lunak seperti EasyBCD, Truecrypt, dan Gparted, tetapi pada akhirnya saya berhasil ... untuk 2 OS. Semoga berhasil dengan 4. Kuncinya adalah merencanakan secara efektif. Ukuran dan format partisi Anda dengan benar, kemudian instal sistem operasi dalam urutan yang benar. (Biasanya Windows lebih dulu.)

PS. Hm, Untuk solusi yang lebih sederhana, meskipun tidak sesuai dengan yang Anda minta: sudahkah Anda mempertimbangkan menjalankan 3 dari 4 sistem operasi di mesin virtual? Anda dapat mengenkripsi mesin Host, sehingga melindungi 3 lainnya secara bersamaan. (Dan jika Anda khawatir kehilangan file VHD, ingat Anda juga dapat mengenkripsi OS tamu sepenuhnya.)

25
Matt

Tidak perlu untuk pembaruan:

Ini menjadi jauh lebih mudah sekarang; versi terbaru TrueCrypt adalah Linux aware, dan memungkinkan skema dual-boot yang melibatkan banyak partisi dan GRUB.

Instruksi lengkap di sini .

6
Steve

Otentikasi pra-boot (PBA) dapat diberikan kepada Anda dalam dua cara:

  1. Melalui perangkat lunak

Jika Anda ingin bergantung secara eksklusif pada perangkat lunak dan memerlukan otentikasi pra-boot, yaitu satu perangkat lunak melakukan enkripsi (di tempat atau sebelum menginstal OS) dan menginstal serta mengelola lingkungan otentikasi pra-boot (PBA), contoh-contoh pengaturan seperti itu dan nama perangkat lunak dapat ditemukan di sini . Seperti yang dinyatakan dalam artikel,

Sistem FDE melibatkan beberapa overhead prosesor (dan karenanya daya) untuk melakukan enkripsi dan dekripsi saat itu, dan dampaknya tergantung pada jumlah disk I/O yang digunakan masing-masing aplikasi permintaan. Untuk pengguna yang biasa melakukan aktivitas produktivitas email dan kantor, dampak kinerja tidak mungkin terlihat - tetapi bisa signifikan untuk aktivitas yang sangat intensif data seperti pemrosesan video, kecuali prosesor komputer dan produk FDE keduanya mendukung Intel AES- Instruksi NI untuk enkripsi dan dekripsi akselerasi perangkat keras.

Oleh karena itu, solusi lain adalah dengan menggunakan enkripsi perangkat keras.

. 2. Melalui perangkat keras

Di sini Anda bisa menggunakan Self-Encrypting Drive (SED) dan menggunakan fitur keamanan ATA (yang memungkinkan otentikasi pra-boot seperti modul TPM), atau menggunakan SED yang sesuai dengan OPAL (2.0) yang sesuai dengan TCG (SED) dan gunakan salah satu dari itu. perangkat lunak (kebanyakan hanya Windows) yang dapat memanfaatkannya. Microsoft membuat spesifikasi tentang drive tersebut, lihat di sini , jadi jika Anda telah meningkatkan ke Windows 8 dan memenuhi persyaratan, BitLocker akan menginisialisasi drive Anda dan menginstal PBA ke dalamnya, sambil mengelola kunci enkripsi.

Jadi misalnya, Anda dapat menyalin/menginstal ulang OS Anda pada SSD M500 Krusial dan menggunakan perangkat lunak mandiri SecureDoc WinMagic, atau jika Anda telah meningkatkan ke Windows 8 BitLocker. Kemudian, Anda dapat menginstal OS Anda yang lain mengikuti skema apa pun yang Anda inginkan.

Berhati-hatilah, karena enkripsi perangkat keras adalah semacam kotak hitam, dan Anda harus memercayai produsen yang mengimplementasikannya. Hal yang sama berlaku untuk perangkat lunak non-libre, karena belum ada perangkat lunak bebas yang mampu mengelola drive yang sesuai dengan OPAL.

1
neitsab

Linux dapat diinstal pada partisi logis di dalam partisi extended (windows adalah yang menolak untuk mem-boot dari logical di dalam extended).

Cara mem-boot dari dalam logis di dalam diperpanjang tanpa menyentuh konten partisi utama:

Misalkan: Anda memiliki ruang unpartition di dalam partisi extended) dan boot dari LiveCD seperti SystemRescueCD untuk melakukan pekerjaan, setelah doen HDD akan boot dari partisi logis di dalam partisi extended ... trik dilakukan berkat bootloader Grub2 yang dapat melakukannya , bisa boot dari partisi extended.

  • Boot LiveCD apa pun seperti SystemRescueCd yang memiliki Grub2 dan GParted (untuk antarmuka GUI membuat partisi)
  • Di dalam partisi Extended, buat (saya menggunakan GParted) partisi logis dengan format ext4 (atau yang lainnya yang didukung Grub2)
  • Sekarang dari console mount partisi seperti/boot dan instal grub2 dengan: grub2-install/dev/sda # (di mana # adalah nomor partisi)
  • Dengan editor teks, buat /boot/grub/grub.cfg (lihat internet untuk contoh)
  • Reboot, ekstrak LiveCD
  • PC akan boot dari MBR (kita berbicara tentang partisi extended, GPT tidak memiliki arti di sini), itu akan memuat Grub2 dari partisi logis di dalam extended, dan dari sana ia dapat memuat Linux/berada di partisi logis lain di dalam extended partisi.

Terlebih lagi, jika Anda tidak memiliki windows (lebih baik mengatakan jika Anda hanya memiliki satu atau lebih Linux) tidak perlu untuk partisi primer APAPUN, Anda dapat memiliki semua Linux di dalam partisi logical dengan hanya satu perluasan partisi yang mengambil 100% dari HDD.

Catatan: Mungkin BSD dan OS lain juga bisa berada di dalam partisi logical, saya tidak punya pengalaman dengannya, maaf!

Trik besar: Bootloader Grub2 dapat melakukan booting dari dalam partisi logical yang memiliki 0, 1, 2 atau 3 partisi primer, juga dapat chainload ke HDD kedua jika ada HDD kedua, juga dapat membuat HDD kedua muncul ke OS seolah-olah itu adalah pertama (dengan perintah drivemap), dll.

Sisi bawah: TrueCrypt/VeraCrypt menulis Windows menyedot bagaimana boot ... itu memaksa untuk melacak 0 disk dengan data sendiri, sehingga tidak kompatibel dengan Dua atau lebih Windows atau dengan Grub2, mengapa mereka melakukannya tidak memprogramnya dengan menggunakan trek PBR alih-alih trek MBR? jadi kita bisa melakukan multi-boot dengan windows terenkripsi (lebih dari satu windows per disk) !!!

0
Anonimo