Como instalar Debian em um contêiner Luks existente

Como instalar Debian em um contêiner Luks existente

Luks (Configuração do Linux Unified Key) é o método de criptografia padrão De-Facto usado em sistemas baseados em Linux. Embora o instalador do Debian seja perfeitamente capaz de criar um contêiner Luks, ele não tem a capacidade de reconhecer e, portanto, reutiliza uma já existente. Neste artigo, vemos como podemos alternar esse problema usando o instalador "DVD1" e executando -o no modo "avançado".

Neste tutorial, você aprenderá:

  • Como instalar o Debian em "Modo Avançado"
  • Como carregar o instalador Módulos adicionais necessários para desbloquear um dispositivo Luks existente
  • Como executar a instalação em um contêiner Luks existente
  • Como adicionar uma entrada no arquivo Cryptttab do sistema recém -instalado e regenerar seus initramfs
Como instalar Debian em um contêiner Luks existente

Requisitos de software e convenções usadas

Requisitos de software e convenções de linha de comando Linux
Categoria Requisitos, convenções ou versão de software usada
Sistema Debian
Programas Nenhum software específico é necessário
Outro O instalador do DVD Debian
Convenções # - requer que os comandos linux -comidos sejam executados com privilégios de raiz diretamente como usuário root ou por uso de sudo comando
$-exige que o Linux-Commands seja executado como um usuário não privilegiado regular

O problema: reutilizando um contêiner Luks existente

Como já dissemos, o instalador do Debian é perfeitamente capaz de criar e instalar a distribuição em um contêiner Luks (uma configuração típica é o LVM em Luks), no entanto, ele não pode reconhecer e abrir um já existente
um; Por que precisaríamos desse recurso? Suponha, por exemplo, já criamos um recipiente Luks manualmente, com algumas configurações de criptografia que não podem ser ajustadas no instalador de distribuição, ou imagine que temos algum volume lógico dentro do recipiente que não queremos destruir (talvez ele contém alguns dados); Ao usar o procedimento padrão do instalador, seríamos forçados a criar um novo contêiner Luks e, portanto, para destruir o existente. Neste tutorial, veremos como, com poucas etapas extras, podemos alternadamente solucionar esse problema.

Baixando o instalador do DVD

Para poder executar as ações descritas neste tutorial, devemos baixar e usar o instalador do DVD Debian, pois contém algumas bibliotecas que não estão disponíveis no netinstall versão. Para baixar a imagem de instalação via torrent, podemos usar um dos links abaixo, dependendo da arquitetura de nossa máquina:

  • 64 bits
  • 32 bits


A partir dos links acima, podemos baixar os arquivos torrent que podemos usar para obter a imagem do instalador. O que temos para baixar é o DVD1 arquivo. Para obter o ISO de instalação, devemos usar um cliente de torrent como Transmissão. Depois que a imagem é baixada, podemos verificar a verificação do download do correspondente SHA256SUM e SHA256SUM.sinal arquivos e siga este tutorial sobre como verificar a integridade de uma imagem ISO de distribuição Linux. Quando estiver pronto, podemos escrever a imagem em um suporte que pode ser usado como um dispositivo de inicialização: A (DVD ou USB) e inicialize nossa máquina a partir dela.

Usando o modo de instalação avançado

Quando inicializamos a máquina usando o dispositivo que preparamos, devemos visualizar o seguinte SysLinux cardápio:

Selecionamos o Opções avançadas entrada e depois Especialista gráfico Instale (ou Instalação especializada Se quisermos usar o instalador baseado em NCurses, que usa menos recursos):

Depois de selecionar e confirmar a entrada do menu, o instalador iniciará e visualizaremos a lista das etapas de instalação:

Seguimos as etapas de instalação até chegarmos ao Carregar componentes do instalador do CD um. Aqui temos a alteração para selecionar as bibliotecas adicionais que devem ser carregadas pelo instalador. O mínimo que queremos selecionar da lista é Módulos de cripto-DM e modo de resgate (role para baixo na lista para vê -la):

Desbloqueando manualmente o contêiner Luks existente e particionando o disco

Neste ponto, podemos prosseguir como de costume até chegarmos ao Detectar discos etapa. Antes de executar esta etapa, precisamos mudar para um tty e abra o contêiner Luks existente da linha de comando. Para fazer isso, podemos pressionar o Ctrl+alt+f3 combinação de teclas e prensa Digitar Para obter um rápido. A partir do prompt, abrimos o dispositivo Luks lançando o seguinte comando:

# CryptSetSetup Luksopen /dev /vda5 CryptDevice Digite a senha para /dev /vda5: 

Nesse caso, o dispositivo Luks foi anteriormente definido no /dev/vda5 Partição, você deve, é claro, adaptar isso às suas necessidades. Seremos solicitados a entrar no PasshPrase para o contêiner para desbloqueá -lo. O nome do mapeador do dispositivo que usamos aqui (CryptDevice) é o que precisamos usar mais tarde no /etc/cripttab arquivo.

Depois que esta etapa for executada, podemos voltar ao instalador (Ctrl+alt+f5) e prossiga com o Detectar discos e então com Discos de partição passos. No Discos de partição Menu, selecionamos a entrada "manual":



O dispositivo Luks desbloqueado e os volumes lógicos contidos nele devem aparecer na lista das partições disponíveis, prontas para serem usadas como alvos para o nosso sistema Configuração. Quando estivermos prontos, podemos continuar com a instalação até chegarmos ao Termine a instalação etapa. Antes de executá -lo, precisamos criar uma entrada no sistema recém -instalado Cryptttab Para o dispositivo Luks, pois não é criado por padrão e recrie o sistema initramfs para tornar a mudança eficaz.

Criando uma entrada em /etc /Crypttab e recriando os initramfs

Vamos voltar para o tty Usamos antes (Ctrl+alt+f3). O que precisamos fazer agora é adicionar manualmente uma entrada no /etc/cripttab Arquivo do sistema recém -instalado para o dispositivo Luks. Para fazer isso, devemos montar a partição raiz do novo sistema em algum lugar (vamos usar o /mnt diretório) e monte alguns pseudo-sistemas que fornecem informações importantes sobre os diretórios apropriados dentro dele. No nosso caso, o sistema de arquivos raiz está no /dev/debian-vg/root Volume lógico:

# montagem /dev /debian-vg /root /mnt # montagem /dev /mnt /dev # MONT 

Como neste caso, temos uma partição de inicialização separada (/dev/vda1), também precisamos montá -lo /mnt/bota:

# montagem /dev /vda1 /mnt /bota 

Neste ponto, devemos chroot no sistema instalado:

# chroot /mnt 

Finalmente, podemos abrir o /etc/cripttab Arquivo com um dos editores de texto disponíveis (vi por exemplo) e adicione a seguinte entrada:

CryptDevice /dev /vda5 nenhum luks 

O primeiro elemento na linha acima é o nome do mapeador do dispositivo que usamos acima quando desbloqueamos o contêiner Luks manualmente; Ele será usado cada vez que o contêiner for aberto durante a inicialização do sistema.

O segundo elemento é a partição usada como dispositivo Luks (neste caso, referenciamos -o por caminho (/dev/vda5), mas uma idéia melhor seria fazer referência a ela Uuid).

O terceiro elemento é a localização do arquivo -chave usado para abrir o contêiner: aqui colocamos nenhum Como não usamos um (siga nosso tutorial sobre como usar um arquivo como uma chave do dispositivo Luks, se você quiser saber como alcançar esse tipo de configuração).

O último elemento da linha hospeda as opções que devem ser usadas para o dispositivo criptografado: aqui acabamos de usar Luks Para especificar que o dispositivo é um contêiner Luks.

Depois que atualizamos o /etc/cripttab arquivo, podemos prosseguir e regenerar o initramfs. Nas distribuições baseadas em Debian e Debian, para executar esta ação, usamos o Atualizar initramfs comando:

# update -initramfs -k all -c 


Aqui usamos o -c opção para instruir o comando para criar um novo initramfs em vez de atualizar um existente e -k Para especificar para o que o kernel os initramfs devem ser criados. Nesse caso, passamos todos como argumento, então um para cada kernel existente será gerado.

Depois que os initramfs são gerados, voltamos para o instalador (Ctrl+alt+f5) e prossiga com a última etapa: Termine a instalação. Quando a instalação seremos solicitados à reinicialização a acessar o sistema recém -instalado. Se tudo correu como esperado, durante a inicialização do sistema, devemos ser solicitados a entrar na senha para desbloquear o contêiner Luks:

Conclusões

Neste tutorial, aprendemos a alternância de uma limitação do instalador do Debian, que não é capaz de reconhecer e abrir um contêiner Luks existente para executar a instalação do sistema dentro dele. Aprendemos a usar o instalador em "Modo Avançado" para poder carregar alguns módulos adicionais que nos permitem desbloquear o contêiner manualmente, mudando para um TTY. Depois que o contêiner é aberto, ele é reconhecido corretamente pelo instalador e pode ser usado sem problemas. A única parte complicada dessa configuração é que devemos lembrar de criar uma entrada para o contêiner no sistema recém -instalado Cryptttab Arquive e atualize seus initramfs.

Tutoriais do Linux relacionados:

  • Coisas para instalar no Ubuntu 20.04
  • Como encontrar arquivos grandes no Linux
  • Como usar um arquivo como uma chave do dispositivo Luks
  • Coisas para fazer depois de instalar o Ubuntu 20.04 fossa focal linux
  • Criptografia de disco completo com veracrypt no Ubuntu Linux
  • Uma introdução à automação, ferramentas e técnicas do Linux
  • Como desbloquear um volume Luks na inicialização no Raspberry Pi OS
  • Coisas para instalar no Ubuntu 22.04
  • Como usar Luks com um cabeçalho destacado
  • Mint 20: Melhor que o Ubuntu e o Microsoft Windows?