Toisen salatun Linuxin asennus salatun Ubuntun rinnalle [RATKAISTU]

[AimoE]

Edit 23.1.2016: Olen lisännyt ratkaisun myöhempään viestiin ja tarkan kuvauksen komentoineen Ask Ubuntu -vastaukseeen.

Kannettavalle koneella salaus on minusta välttämätön. Ubiquity ei tue salattua rinnakkaisasennusta, joten tähän asti olen päässyt kokeilemaan uusia julkaisuja vain asennustikulta. Haluaisin oppia asentamaan toisen salatun Linux-julkaisun samalle koneelle ilman että ensisijainen salattu Ubuntu samalla tuhoutuu.

Olen nyt ehtinyt kaivaa sen verran tietoa tätä varten, että olen jo melkein valmis kokeilemaan, mutta yksi ongelma on vielä ratkaisematta.


Perustiedot:

Koneessa on BIOS, ilman UEFI-valmiutta.
Asennuksen olen viimeksi tehnyt päälleasennuksena, joten
kovalevyllä /dev/sda on Ubuntu 15.10 -asennuksen luomat osiot:

• sda1 : ensisijainen osio (ext2; 236 Mt; /boot-osio)
• sda2 : laajennettu osio
• sda5 : looginen osio, jossa LUKS-säiliö, jossa LVM-taltioryhmän ainoa fyysinen taltio
  
  • Taltioryhmässä on loogiset taltiot root (ext4) ja swap_1 (swap).

Netin lähteistä käy ilmi että:

• LUKS-säiliön koon muuttaminen on minulle liian vaikeaa.
• Salatun Ubuntun asennus toisen Ubuntun rinnalle, eri osiolle ei ole liian vaikeaa (kritiikkiä saameen cryptroot-asetuksen tarpeellisuuden voi tarkistaa ytimen imagesta).
• Useamman Linux-julkaisun asennus samaan LUKS-säiliöön ei ole yhtään vaikeampaa (ja ohje on paremmin laadittu).
• Mint-asennus ja /boot salattuna UEFI-koneella jättää vain Grubin salaamatta. Ensimmäisenkin asennuksen /boot-osion voi siirtää salatulle osiolle (ja avaintiedoston  voi lisätä) myös jälkikäteen.
  
  • Kun erillistä salaamatonta boot-osiota ei tarvita jokaiselle asennukselle erikseen, koko Grub-ketjun voi asentaa levyn ainoalle salaamattomalle osiolle. Nykyistä osiointia ei ole mikään pakko muuttaa!
• Asenna Windows 7, Windows 8 ja Mint salattuna rinnakkain ja sama avaintiedoston kanssa kannatti lukaista ihan vertailun vuoksi.

Yhteenveto:

• Salaus tekee rinnakkais­asennuksen hankalaksi ihan riippumatta siitä asennetaanko uusi Linux olemassa olevaan LUKS-säiliöön vai tuhotaanko ensisijainen Linux uudella osioinnilla.
• Toinen Linux onkin siis helpointa asentaa samaan LUKS-säiliöön, jossa ensimmäinen asennus jo on.
• Osiointia joudutaan muuttamaan vain jos halutaan erilliset LUKS-säiliöt.

Vaikka Ubiquity ei sellaisenaan taivu tähän, sen tuotosta voi muokata – jos osaa. Muokkaus on parasta tehdä ennen koneen uudelleen­käynnistystä asennuksen lopussa.


Salatun rinnakkaisasennuksen päävaiheet:

• Käynnistä kone asennustikulta, valitse Linuxin käynnistys ja suorita kaikki vaiheet live-Linuxin sisällä.
  
  • Muokkaa LVM-taltioita.
    
    • Kutista ensisijaisen asennuksen juuritaltiota.
    • Lisää toinen juuritaltio.
    • Lisää jaetulle datalle oma (fyysinen tai vain looginen) taltio.
    • Säilytä swap-taltio (yhteinen riittää, koska salaus estää lepo­tilan käytön).
  • Käynnistä asennusohjelma.
    
    • Valitse asennustyyppi "Jokin muu vaihtoehto" ja poimi asennukselle varatut loogiset taltiot.
    • Valitse "Jatka testaamista" asennuksen lopussa.
  • Viimeistele asennus.
    
    • Muokkaa asetuksia uudella juuritaltiolla (ainakin /etc/crypttab ja /etc/default/grub).
    • Päivitä initramfs ja grub chroot:lla.
    • Asenna grub paikalleen chroot:lla.
• Käynnistä kone lopuksi uudelleen ilman asennus­tikkua.

Jäljellä oleva ongelma on Grub. Kaikki salauksen vaatimat loitsut ovat ihan riittävän selkeitä (ja ohjeiden vertaaminen auttaa), mutta löytämissäni rinnakkaisasennuksen ohjeissa neuvotaan Grubin asennus aina salaamattomalle boot-osiolle, eikä paraskaan /boot-hakemiston salausohje ota rinnakkaisasennusta huomioon. Näistä palasista en pysty vielä hahmottamaan mitä Grubin kanssa pitäisi tehdä.

Erityisesti kaipaan neuvoja (ja lähdeviittauksia) siihen,

• mihin uuden asennuksen grub kannattaisi sijoittaa?
• miten lataimien ketjutus määritellään kun /boot on salattu?
• miten uusi grub asennetaan oikeaan paikkaan?

[Postimies]

Jäljellä oleva ongelma on Grub. Kaikki salauksen vaatimat loitsut ovat ihan riittävän selkeitä (ja ohjeiden vertaaminen auttaa), mutta löytämissäni rinnakkaisasennuksen ohjeissa neuvotaan Grubin asennus aina salaamattomalle boot-osiolle, eikä paraskaan /boot-hakemiston salausohje ota rinnakkaisasennusta huomioon. Näistä palasista en pysty vielä hahmottamaan mitä Grubin kanssa pitäisi tehdä.

Erityisesti kaipaan neuvoja (ja lähdeviittauksia) siihen,

• mihin uuden asennuksen grub kannattaisi sijoittaa?
• miten lataimien ketjutus määritellään kun /boot on salattu?
• miten uusi grub asennetaan oikeaan paikkaan?

Eikös yksi Grub riitä. Eli jätetään asentamatta. Tosin ei salauksesta kokemusta. Rinnakkaisasennuksessa jätän
aina lataajan asentamatta ja lisää systeemin jo asennettuun lataajaan.

Lisää turvaa tuo lataajan ja kernelin asentaminen tikulle.

Molemmilla systeemeillä voi olla yhteinen /boot. /boot osiota ei
tarvitse liittää juureen (toki päivityksen ajaksi). Toki hankaloittaa
jos kaksi samanlaista systeemiä.

En ymmärrä miksi /boot pitää olla salattu. initrd.img on
ehkä pakollinen kun systeemi on salatulla leyllä. Itse en käytä
initrd.img jos käännän kernelin itse. Jos kerneli on itse käännetty
tietylle alustalle ei levy juuri käynnisty muissa koneissa. Esim.
jos kerneli käännetty amd prosulle ja mukana vain välttämättömät
ajurit ei se ainakaan Intel-konessa käynnisty.

[AimoE]

Eikös yksi Grub riitä. Eli jätetään asentamatta. Tosin ei salauksesta kokemusta. Rinnakkaisasennuksessa jätän
aina lataajan asentamatta ja lisää systeemin jo asennettuun lataajaan.

Kysymyksistäni käy aika selvästi ilmi että olen täysi aloittelija grubin kanssa, joten en osaa lisätä siihen käsin yhtään uutta asennusta. Itse asiassa koko viestissäsi ei ole yhtään mitään minkä avulla pääsisin yhtään eteenpäin. Mielipiteillä ei voi tietokonetta konffata.

En ymmärrä miksi /boot pitää olla salattu.

Kuvauksestani kävi ilmi yksi syy: ettei tarvi osioida uudelleen. Siihen voisin lisätä että lähteitä etsiessäni löysin mainintoja että salaamattoman /boot-osion tiedostoihin on oikeasti murtauduttu, mutta en jäänyt sitä sen enempää selvittelemään.

[welmar]

Eikös yksi Grub riitä. Eli jätetään asentamatta. Tosin ei salauksesta kokemusta. Rinnakkaisasennuksessa jätän
aina lataajan asentamatta ja lisää systeemin jo asennettuun lataajaan.

Kysymyksistäni käy aika selvästi ilmi että olen täysi aloittelija grubin kanssa, joten en osaa lisätä siihen käsin yhtään uutta asennusta.

Asennat uuden järjestelmän ilman Grubia ja sitten käynnistät uudelleen. Tässä vaiheessa Grub-valikossa on vain se mikä oli ennenkin, eli et pääse vielä uuteen asennukseen. Päivität grubin

Koodia: [Valitse]

sudo update-grub ja sitten löytyy myös uusi asennus.

[AimoE]

Asennat uuden järjestelmän ilman Grubia ja sitten käynnistät uudelleen. Tässä vaiheessa Grub-valikossa on vain se mikä oli ennenkin, eli et pääse vielä uuteen asennukseen. Päivität grubin

Koodia: [Valitse]

sudo update-grub ja sitten löytyy myös uusi asennus.

Tein yhden epäonnisen yrityksen joskus kuukausia sitten, kun en vielä ollut löytänyt kaikki ohjeita jotka nyt löysin. Ja silloin update-grub ei löytänyt LUKS:n ssiältä toista asennusta.

Joten kysyms: miten voin ajaa os-prober:n sellaisenaan, ilman että se on update-grub:n osana? Haluaisin nähdä mitä se löytää siinä vaiheessa kun en ol evielä bootannut asennuksen jäljeltä.

[mrl586]

os-proberin ajo onnistuu onnistuu yksinkertaisesti komentamalla sudo os-prober

[AimoE]

os-proberin ajo onnistuu onnistuu yksinkertaisesti komentamalla sudo os-prober

Oma moka. Ensinnäkin, os-proberille ei ole man-sivua, ja sitten tämä: http://askubuntu.com/questions/31442/os-prober-returns-nothing

[nm]

Oma moka. Ensinnäkin, os-proberille ei ole man-sivua, ja sitten tämä: http://askubuntu.com/questions/31442/os-prober-returns-nothing

Eli se ei löydä salattua rinnakkaisasennusta? Se lienee odotettavissa oleva tulos. Veikkaisin, että joudut joko kikkailemaan molemmat asennukset saman salauksen taakse tai käyttämään salaamatonta /boot-osiota.

[AimoE]

Eli se ei löydä salattua rinnakkaisasennusta? Se lienee odotettavissa oleva tulos. Veikkaisin, että joudut joko kikkailemaan molemmat asennukset saman salauksen taakse tai käyttämään salaamatonta /boot-osiota.

No ei  kun tänään vaan kokeilin komentoa ensisijaisen Ubuntun sisältä.

Yritän valmistella yrityksen paremmmin kuin viimeksi, ja kokoan vasta ohjeistoa itselleni. Mutta alkaa jo tuntua siltä että ehkä tässä viikon sisällä olen valmis kokeilemaan.

[AimoE]

Taidanpa lopettaa kaivelun tältä päivältä. Mutta näyttäisi siltä että jos update-grub ei toimi, niin ratkaisu löytyy komennoista grub-mkconfig ja grub-install tai jostain sieltä päin.

[Postimies]

En tiedä miten update-grub toimii salattujen osioiden kanssa. Jos osiot on liitetty niin luulisi löytyvän. Asenna /boot ja grub tikulle. Jos /boot taskussa tikulla ei pelkoa murtautumisesta. Ainakin saat asennetun systeemin käyntiin.

Myohemnin voit kopioida /boot kansion kovalevylle jos haluat. Samoin editoida jo asennettua grubbia eli lisäät sinne asennetun systeemin.

Lataajia voi myös ketjuttaa. Ei yhdellä lataajalla voidaan käynnistää toinen joka sitten lopulta käynnistää systeemin. Eli lisää
GRUB_DISABLE_OS_PROBER=true ja GRUB_ENABLE_CRYPTODISK=y pitänee myös olla.

Lisätään jokaiselle asennetulle jakelulle grubin konffiin. 

menuentry "Linux /dev/sda2 chainload" {
set root=(hd0,2)
chainload +1
}

menuentry "Linux /dev/sda3 chainload" {
set root=(hd0,3)
chainload +1
}

Toinen systeemi asennetaan normaalisti, mutta grub asennetaan
systeemin juureen. Esim. /dev/sda2

Suunnilleen noin voi tehdä ja toimii ainakin ei salattujen osioiden kanssa.
update-grub pitää tietysti ajaa.  Ketjuttamisella on etuja jos asennettuja systeemejä useampi. Jos vain kaksi yhdelläkin lataajalla pärjää.

On toki hienoa jos osaa koko systeemin salata. Jos boot osio on salaamaton, en tiedä miten se helpottaa koneeseen murtautumista. 

[nm]

Taidanpa lopettaa kaivelun tältä päivältä. Mutta näyttäisi siltä että jos update-grub ei toimi, niin ratkaisu löytyy komennoista grub-mkconfig ja grub-install tai jostain sieltä päin.

update-grub kutsuu suoraan grub-mkconfigia

Koodia: [Valitse]

cat /usr/sbin/update-grub

#!/bin/sh
set -e
exec grub-mkconfig -o /boot/grub/grub.cfg "$@"

grub-install asentaa Grubin alkulataajan määrättyyn sijaintiin (MBR:ään tai jollekin osiolle).

On toki hienoa jos osaa koko systeemin salata. Jos boot osio on salaamaton, en tiedä miten se helpottaa koneeseen murtautumista. 

Mahdollistaa periaatteessa sabotoinnin tai vakoiluohjelmien asennuksen (jos siis joku pääsee fyysisesti käsiksi koneeseen), mutta ei edesauta suoraa murtautumista salatulle osiolle.

[welmar]

Ensinnäkin, os-proberille ei ole man-sivua

Ei ehkä auta tähän ongelmaan mutta jos man-sivua ei ole niin silloin kannattaa kokeilla infoa joka löytyy myös os-proberille. Info on vielä laajempi kuin man-sivut ja lähes kaikille ohjelmille on infoa, ei ole ainakaan itselle tullut vastaan ohjelmaa ettei olisi.

Koodia: [Valitse]

info os-prober

[kx]

Ihan varmaan tyhmä kommentti vaan, mutta jos pahantekijä tietää, että koneessasi on salattu linux, niin eikös se sen kaiva halutessaan esiin? Eri juttu on, jos ei hokaa, että koneessa piilee toinenkin linuksi eli ei ymmärrä sitä etsiä. Lienenkö oikeassa?

[nm]

Ihan varmaan tyhmä kommentti vaan, mutta jos pahantekijä tietää, että koneessasi on salattu linux, niin eikös se sen kaiva halutessaan esiin? Eri juttu on, jos ei hokaa, että koneessa piilee toinenkin linuksi eli ei ymmärrä sitä etsiä. Lienenkö oikeassa?

Tiedostojärjestelmän salauksen ideana on estää levyllä olevien tietojen lukeminen ilman sisäänkirjautumista salasanalla tai muulla tunnisteella. Eli kun joku ryöstää läppärisi, tiedot on suojattu niin, ettei varas pääse niihin käsiksi millään konstilla.

[mrl586]

Ihan varmaan tyhmä kommentti vaan, mutta jos pahantekijä tietää, että koneessasi on salattu linux, niin eikös se sen kaiva halutessaan esiin? Eri juttu on, jos ei hokaa, että koneessa piilee toinenkin linuksi eli ei ymmärrä sitä etsiä. Lienenkö oikeassa?

Tiedostojärjestelmän salauksen ideana on estää levyllä olevien tietojen lukeminen ilman sisäänkirjautumista salasanalla tai muulla tunnisteella. Eli kun joku ryöstää läppärisi, tiedot on suojattu niin, ettei varas pääse niihin käsiksi millään konstilla.

Riippuu kai vähän varkaastakin. Jos kyseinen "varas" on jokin valtiollinen taho, jolla käytettävissä tarvittavat keinot ja välineet tiedostojärjestelmän salauksen murtamiseen, tiedostojärjestelmän salaus on silloin murrettavissa.

[Postimies]

On toki hienoa jos osaa koko systeemin salata. Jos boot osio on salaamaton, en tiedä miten se helpottaa koneeseen murtautumista. 

Mahdollistaa periaatteessa sabotoinnin tai vakoiluohjelmien asennuksen (jos siis joku pääsee fyysisesti käsiksi koneeseen), mutta ei edesauta suoraa murtautumista salatulle osiolle.

Mitenkäs tuonne vakoiluohjelman pistää? Kerneli ja initrd ovat kuitenkin pakattuja. Kenties myös salattuja ja tarkistussumma tarkistetaan. Vaatii noiden muokkaus osaamista. Käynnistyslataaja on osaksi juuressa. Ei sitäkään helposti korvata. /boot osioa ei tarvitse liittää juureen. Jos siellä on ylimääräistä sitä ei saa ajettua.

[nm]

Mitenkäs tuonne vakoiluohjelman pistää?

Ei kovin helposti, mutta se on periaatteessa mahdollinen hyökkäysvektori. NSA:llekin helpompi nakki kuin AES-256:n purkaminen (joka on tällä hetkellä todennäköisesti mahdotonta muuten kuin arvaamalla/brute-forcettamalla salasana. Riittävän monimutkaisella salasanalla menee hyvin vaikeaksi).

Itse kyllä käyttäisin salaamatonta /boot-osiota, jos vaikuttaa siltä, että muut vaihtoehdot ovat hankalia.

[AimoE]

Vielä kerran: en yritä /boot-hakemiston salausta turvallisuuden takia, vaan siksi että se tekee rinnakkaisasennuksen helpommaksi.

Jos en saa grub-ongelmia ratkaistua, joudun osioimaan uudelleen koko levyn, jolloin menetän olemassa olevan Ubuntu-asennuksen ja joudun sitten tekemään sen uudelleen, ja lisäksi asennus menee yhtä monimutkaiseksi kuin seuraavakin asennus, koska haluan että molemmat ovat salattuja. Mutta jos saan grubin mallattua, niin Ubuntu säilyy paikallaan, ja riittää kun asennan toisen Linuxin siihen rinnalle.

Salattu rinnakkaisasennus nyt vaan sattuu olemaan vaikeampi temppu operaatio kuin /boot:n salaus.

[nm]

Vielä kerran: en yritä /boot-hakemiston salausta turvallisuuden takia, vaan siksi että se tekee rinnakkaisasennuksen helpommaksi.

Sinullahan on nyt täysin salattu asennus, eikö? Tee tilaa rinnakkaiselle asennukselle ja asenna se niin, että /boot on erillisellä salaamattomalla osiolla ja muu järjestelmä on salattu. Älä sijoita Grubin alkulataajaa MBR:ään vaan vaikka sinne /boot-osiolle!!!

Asennuksen jälkeen boottaat vanhaan järjestelmään ja päivität siellä grubin, jolloin se löytää uuden asennuksen ja lisää sen käynnistysvalikkoon. Jos boottaus ei jostain syystä onnistu näin, kakkosoptiona on chainloadata uuden asennuksen GRUB. Se voi onnistua, vaikka /boot olisi salattu.