W tej konfiguracji na początku musimy zainstalować dwa programy: Veracrypt / Cryptsetup
Kod: Zaznacz cały
sudo apt-get install cryptsetup
Kod: Zaznacz cały
sudo add-apt-repository ppa:unit193/encryption
sudo apt update
sudo apt install veracrypt
Kod: Zaznacz cały
sudo touch /etc/crypttab
Kod: Zaznacz cały
sudo mkdir /media/nazwa_użytkownika_systemu!/vc-kris
Uwaga! kontener najlepiej utworzyć w podstawowej lokalizacji systemu czyli / lub na osobnej partycji i potem przenieść w w/w miejsce. Lokalizacja /home ... /Pulpit ... /dokumenty ...etc nie jest wskazana na późniejsze przeniesienie i skasowanie danych z w/w ścieżki /home
Gdyby program veracrypt nie chciał utworzyć kontenera w lokalizacji / możemy wcześniej utworzyć plik o nazwie vc-m i nadać mu odpowiednie uprawnienia a potem w programie veracrypt zastąpić/nadpisać w/w.
Edytujemy plik crypttab i wpisujemy dane ( np. uwzględniając ścieżkę do kontenera vc-m )
Kod: Zaznacz cały
sudo nano /etc/crypttab
Kod: Zaznacz cały
vc-kris /vc-m none tcrypt-veracrypt
Kod: Zaznacz cały
sudo blkid
/dev/mapper/vc-kris: UUID="klbba604-5f99-4scb-8aba-5b46f1dfs8cc" TYPE="ext4"
edytujemy plik fstab i dodajemy na końcu :
Kod: Zaznacz cały
sudo nano /etc/fstab
Kod: Zaznacz cały
/dev/mapper/vc-kris /media/nazwa_użytkownika_systemu!/vc-kris auto nosuid,nodev,nofail 0 0
na zamontowaną partycję z tym że w całej konfiguracji zmieniamy opcję :
ext4 defaults 0 2 na : auto nofail 0 0
Jeśli wszystko pójdzie OK to podczas startu systemu mając włączoną w grub-ie opcję :
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash "
Ukaże nam się menu wpisania hasła do zamontowania dysku/kontenera veracrypt ...3 - krotne wpisane nieprawidłowe hasło spowoduje próbę uruchomienia systemu ....oczywiście nieudaną !
Klucz USB pendrive
Jeśli ktoś chce jeszcze bardziej utrudnić dostanie się do kontenera veracrypt... to tak dla paranoików a może w dzisiejszych czasach już niekoniecznie ? Musimy zaszyfrować kontener veracrypt z opcją pliku klucza : keyfile np. generując go w opcjach dodatkowych :
Najlepiej nadając mu niezbyt adekwatną do zastosowania nazwę np. install ... a nie key / klucz itd
Formatujemy jakiś USB/pendrive na system plików FAT32 i kopiujemy w/w plik na pendrive.
Teraz musimy spowodować żeby pendrive był montowany podczas startu systemu. Ale tylko ten nasz konkretny pendrive !
Tworzymy folder pod który będzie montowany nasz pendrive np:
Kod: Zaznacz cały
sudo mkdir /media/key
Kod: Zaznacz cały
sudo blkid
Kod: Zaznacz cały
/dev/sdb1: LABEL="USB" UUID="A888-7777" TYPE="vfat" PARTUUID="d7d475d06-02"
Kod: Zaznacz cały
UUID=A888-7777 /media/key vfat auto,nofail,noatime,users,rw,uid=1000,gid=1000,x-systemd.device-timeout=1 0 0
opcje rw,uid=1000,gid=1000 - umożliwią zapisywanie danych na USB w systemie.
Dodajemy do pliku crypttab wpis dotyczący utworzonego keyfile: install
Kod: Zaznacz cały
vc-kris /vc-m none tcrypt-veracrypt,tcrypt-keyfile=/media/key/install
Kod: Zaznacz cały
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sda3 during installation
UUID=9g3d6587-c3f9-4ca5-55ad-fgb7d9bcdd88 / ext4 errors=remount-ro 0 1
/swapfile none swap sw 0 0
UUID=A888-7777 /media/key vfat auto,nofail,noatime,users,rw,uid=1000,gid=1000,x-systemd.device-timeout=1 0 0
/dev/mapper/vc-kris /media/kris/vc-kris auto nosuid,nodev,nofail 0 0
UUID=klbba604-5f99-4scb-8aba-5b46f1dfs8cc /home auto nofail 0 0
np. Uruchamianie Clonezilli-live / ISO z GRUB / Automatyzacja
Na koniec możemy pokusić się o automatyczne logowanie w systemie i pozbycie się także ekranu logowania by niepotrzebnie wpisywać dwa razy hasło ...wystarczy tylko hasło do kontenera veracrypt
Powodzenia !