Ako nastaviť FDE v ArchLinuxe

Šifrovanie celého disku (FDE) je jedným z najlepších bezpečnostných opatrení, ktoré môžete podniknúť na ochranu údajov v úložisku zariadenia. Ako už z názvu vyplýva, FDE šifruje celý obsah (súbory, softvér) úložnej jednotky vrátane samotného operačného systému. FDE je možné aktivovať v systémoch Linux, Windows a macOS, ako aj v systémoch Android.

Ak je vo vašom zariadení povolená funkcia FDE, budete musieť pri každom pokuse o prihlásenie poskytnúť šifrovací kľúč. Po zadaní správneho šifrovacieho kľúča sa disk dešifruje a vaše zariadenie sa zavedie obvyklým spôsobom.

FDE by sa nemalo zamieňať so šifrovaním na úrovni súborov (FLE), pretože chráni iba jednotlivé súbory, ktoré používateľ zašifroval ručne.

Je tiež potrebné poznamenať, že šifrovanie celého disku funguje, iba ak sa používateľ odhlásil zo systému. Po prihlásení oprávneného používateľa do systému,

Aj keď to samo o sebe nie je dostatočné, FDE slúži ako skvelý prvý krok k zabezpečeniu vašich údajov pred neoprávneným prístupom.

V tomto výučbe sa dozviete, ako nastaviť ArchLinux s úplným šifrovaním disku s režimom firmvéru UEFI a v diskovej oblasti GPT.

Krok 1: Nastavte režim bootovania na UEFI

Ak chcete postupovať podľa tejto príručky, najskôr budete musieť nastaviť režim zavádzania na UEFI.

Ak chcete skontrolovať, či je váš systém už v systéme UEFI, zadajte nasledujúci príkaz na vyvolanie adresára efivars:

$ ls / sys / firmware / efi / efivars

Ak sa pred adresárom nezobrazí žiadna chyba, môžete si byť istí, že systém bol zavedený v systéme UEFI.

Ak systém nie je zavedený v systéme UEFI, reštartujte počítač a stlačte kláves ponuky (na klávesnici závisí to od konkrétneho modelu, ktorý používate; vyhľadajte ho). Otvorte kartu firmvéru a nastavte systém tak, aby sa zavádzal v režime UEFI.

Krok 2: Zaistite presnosť systémových hodín

Skontrolujte, či sú vaše systémové hodiny aktuálne, a to zadaním nasledujúcich údajov:

$ timedatectl set-ntp pravda

Čas nastaví nasledujúca syntax:

$ timedatectl nastavený čas "rrrr-MM-dd hh: mm: ss"

Krok 3: Oddeľte oddiely v úložisku

Ak chcete použiť gdisk na vytvorenie koreňových a bootovacích oddielov, vydajte toto:

$ gdisk / dev / sda

Ďalej odstráňte existujúce oddiely stlačením o, a stlačte n dvakrát, keď sa zobrazí výzva na zadanie. Potom stlačte p ak chcete zobraziť zoznam už existujúcich oddielov, stlačte w tieto oddiely prepíšete a stlačte r na potvrdenie.

Krok 4: Ready Root Partition

Ďalším krokom je nastavenie koreňového oddielu. Urobíte to tak, že zadáte nasledovné:

$ cryptsetup luksFormat / dev / sda2
$ cryptsetup open / dev / sda2 cryptroot
$ mkfs.ext4 / dev / mapper / cryptroot

Potom pripojte šifrovaný koreňový oddiel:

$ mount / dev / mapper / cryptroot / mnt

Krok 5: Nakonfigurujte bootovací oddiel

Spustením nasledujúceho príkazu vytvorte bootovací oddiel:

$ mkfs.tuk -F32 / dev / sda1
$ mkdir / mnt / boot

Potom pripojte oddiel zadaním nasledujúcich pokynov:

$ mount / dev / sda1 / mnt / boot

Krok 6: Nainštalujte si podporné závislosti

Zadajte nasledujúci príkaz na vytvorenie súboru fstab:

$ genfstab -U / mnt >> / mnt / etc / fstab

Potom si stiahnite balíčky vim a dhcpcd zadaním nasledujúcich pokynov:

$ pacstrap / mnt base linux linux-firmware vim dhcpcd

Krok 7: Zmeňte koreňový adresár

Pomocou nasledujúceho príkazu zmeňte koreňový adresár:

$ arch-chroot / mnt

Krok 8: Nastavte časové pásma

Uistite sa, že je časové pásmo presné podľa vašej polohy:

$ ln -sf / usr / share / zoneinfo / America / Los_Angeles / etc / localtime
$ hwclock --systohc

Krok 9: Upravte príslušné miestne nastavenia

Spustením nasledujúceho príkazu zobrazte zoznam príslušných miestnych nastavení:

$ locale-gen
$ localectl set-locale LANG = sk_SK.UTF-8

Upravíte najmä / etc / locale.miestne nastavenie gen.

Krok 10: Zmeňte na mkinitcpio

Najskôr pripojte / etc / hosts:

# 127.0.0.1 localhost
# :: 1 localhost

Potom vyhľadajte a upravte súbor / etc / mkinitcpio.konf.

Nezabudnite zahrnúť šifrovacie háčiky a preniesť háčiky klávesnice tak, aby šifra nasledovala.

Zadajte nasledujúci príkaz na vytvorenie bootovacích obrazov:

$ mkinitcpio -P

Krok 11: Zadajte šifrovací kľúč

$ passwd

Krok 12: Nainštalujte si balíček ucode

Ak používate Intel, zadajte nasledujúci príkaz:

$ pacman -S intel-ucode

Pre používateľov AMD by príkaz mal byť:

$ pacman -S amd-ucode

Krok 13: Nainštalujte a nastavte EFI Boot Manager

Ak chcete nainštalovať správcu zavedenia EFI, spustite nasledujúci príkaz:

$ bootctl nainštalovať

Krok 14: Spustite reštart

Zadajte príkaz exit a reštartujte počítač.

$ reštart

Po reštarte sa zobrazí výzva na zadanie hesla.

Toto je to! Takto inštalujete ArchLinux s šifrovaním celého disku.

Záver

Jedným z najlepších spôsobov ochrany vášho telefónu, počítača a notebooku pred neoprávneným prihlásením je šifrovanie celého disku.

V tomto tutoriáli ste sa naučili, ako nainštalovať ArchLinux s šifrovaním celého disku. Vďaka FDE, ktoré máte k dispozícii, si už nemusíte robiť starosti s inými ľuďmi, ktorí vniknú do vášho systému.

Dúfajme, že vám tento návod bol užitočný a ľahko sa sleduje. Zostaňte pri linuxhint.com pre viac príspevkov týkajúcich sa bezpečnosti dát.