SavePearlHarbor

Установка Ubuntu 24.04 с полным шифрованием диска и использованием TPM

от автора

admin

Это буквально «заметки для себя», но так как гуглёж до начала не дал никакой толковой информации, то решил оставить их и для остальных, может кому-то пригодится.

Вступление

Hidden text

Исторически Ubuntu предлагало шифрование рабочих разделов диска с использованием LUKS, при этом загрузочный раздел оставался незашифрованным. Некоторые решения позволяли зашифровать его, но тогда требовался ручной ввод пароля при загрузке, что не слишком удобно при работе с удалёнными машинами, да и в бытовой жизни раздражает.

В версии Ubuntu 24.04 появилась экспериментальная поддержка полнодискового шифрования (full disk encryption, FDE) с использованием TPM, т.е. ключи для расшифровки диска сохраняются в модуле и пароль требуется вводить только при логине пользователя.

Если выбрать этот вариант, то модули ответственные за загрузку будут поставляться в виде пакетов snap, а не deb.

В связи с апгрейдом ноута захотелось поиграться с FDE, но большинство гайдов описывало процесс установки либо с использованием LVM, либо для других дистрибутивов. Поэтому пришлось гуглить буквально каждый шаг, но в итоге всё оказалось гораздо проще,чем я думал.

Процесс установки

  • Требуется Ubuntu 24.04. Функционал установки не реализован в инсталляторе Kubuntu. Но даже у Ubuntu считается экспериментальным.

  • В BIOS надо разрешить Secure Boot, для этого должны быть загружены сертификаты по умолчанию.

  • В процессе установки не выбирать установку проприетарного ПО!!! иначе установка с использованием TPM будет недоступна

  • На следующем этапе выбрать «Erase disk and install Ubuntu» и нажать «Advanced Features»

  • Если всё сделано правильно, то последний пункт будет Enabled hardware-backed full disk encryption, который нам и требуется

  • Разбивка диска происходит полностью автоматически без участия пользователя.

  • После завершения установки можно получить ключ восстановления с помощью команды 

snap recovery --show-keys

Всё, теперь у вас есть убунта на полностью зашифрованным диске и с ключами в TPM.

Если вы как и я предпочитаете KDE, то её можно доустановить с помощью команды

sudo apt install kde-full sudo reboot


ссылка на оригинал статьи https://habr.com/ru/articles/832782/

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *