web-dev-qa-db-fra.com

Multi-démarrage avec chiffrement complet du disque dur et authentification avant démarrage

Comment configurer un système multiboot qui prend en charge le chiffrement complet du disque dur et l'authentification de pré-démarrage.

J'ai un système avec Ubuntu, Windows 7, Windows XP et j'aimerais installer Red Hat. J'utilise le chargeur de démarrage grub 2. Quel logiciel prendrait en charge cette configuration, pour le chiffrement complet du lecteur avec l'authentification de pré-démarrage? Il existe une authentification de pré-démarrage TrueCrypt pour Windows, mais jouera-t-il Nice avec grub 2? Quel autre logiciel de chiffrement de disque puis-je utiliser pour Linux?

encryptiondisk-encryption
26
dabest1

Avant de lire tout cela, rappelez-vous que cette technique a au moins 5 ans - c'est probablement beaucoup plus facile maintenant (voir les autres réponses). (Mais c'était vraiment amusant de comprendre tout cela.)

Je l'ai fait il y a quelques années avec Fedora 10 et Windows Vista pour montrer comment toutes les subtilités s'emboîtent. C'était un peu impliqué (principalement parce que Windows Vista ne "joue pas bien avec les autres" et n'aime pas être installé en second), mais à la fin j'ai trouvé une méthode qui me convenait. Votre cas est plus complexe car vous avez 3 OS existants et vous souhaitez en ajouter un autre sur votre disque.

Parce que je n'ai jamais essayé cela sur l'ampleur de 4 systèmes d'exploitation, je vais laisser la plupart de cela à vous (le re-partitionnement réel et autres) et j'essaierai de prendre les principes de sécurité généraux de mon expérience et de les appliquer à ta situation. Notez également que dans mon cas, je suis reparti de zéro sur un disque que j'avais effacé. C'était plus une expérience qu'un exposé d'expert ... alors prenez quelques choses avec un grain de "sel" (sans jeu de mots) et ne me tenez pas responsable. :)

Rappelez-vous, ce ne sont que mes notes. Vous devrez les adapter à votre situation. Alors c'est parti:

Problèmes résolus par la méthode décrite ici

  • Le disque dur de mon ordinateur portable ne pouvait contenir que 4 partitions principales.

  • Les partitions primaires sont les seules sur lesquelles les systèmes d'exploitation peuvent être installés (Windows, de toute façon).

  • Les partitions principales sont les seules partitions à partir desquelles le système peut démarrer

  • Chaque partition étendue compte comme une partition principale.

  • 6 ou 7 partitions peuvent être nécessaires.

  • TrueCrypt ne peut pas chiffrer un lecteur entier qui a plusieurs partitions, systèmes d'exploitation et divers systèmes de fichiers lorsqu'il ne s'exécute que sur un seul

  • TrueCrypt ne fonctionne pas bien avec Grub ou tout autre chargeur de démarrage non Windows.

  • Windows aime être installé en premier et uniquement sur une partition marquée comme "bootable" (ou, si aucune partition n'est marquée "bootable")

Avantages à la fin

  • Après l'invite initiale du chargeur de démarrage, le montage de diverses partitions chiffrées peut être automatisé avec des scripts. (<3 Truecrypt)

  • Les fichiers peuvent être partagés entre des systèmes d'exploitation cryptés (avec mot de passe).

  • Chaque partition est cryptée, même un fichier d'échange.

Comment les chargeurs de démarrage fonctionnent ensemble

  • Nous installons et utilisons le chargeur de démarrage par défaut de Windows sur le MBR. C'est à cela que l'ordinateur va démarrer en premier.

  • Nous installons GRUB (chargeur de démarrage de Fedora), mais pas sur le MBR. Cela sera simplement disponible pour nous pour démarrer plus tard.

  • Nous installons TrueCrypt qui prend en charge le chargeur de démarrage Windows. Le chargeur de démarrage de TrueCrypt va dans le MBR. Au démarrage, l'utilisateur s'authentifiera auprès de TrueCrypt puis sera redirigé vers le chargeur de démarrage Windows où l'option Vista ou Linux (en fait GRUB) devient disponible.

  • Au final, mon processus de démarrage ressemblait à ceci:

Diagram of full-disk encrypted dual-boot process

Diagramme du processus de double démarrage chiffré sur disque complet (les cases jaunes sont des partitions chiffrées; les cadenas sont une autre couche de sécurité)

Ajustements possibles pour votre situation

  • Je n'ai pas utilisé Truecrypt du côté Linux, sauf pour monter les partitions Windows. Je ne sais pas comment monter des partitions natives cryptées Linux à partir de Windows, donc ma configuration était plutôt à sens unique. Vous pourriez envisager d'utiliser Truecrypt pour crypter au moins votre Linux /home et laissez le cryptage Linux natif protéger le /swap partition, par exemple. Cela pourrait permettre à Truecrypt du côté Windows de monter vos fichiers Linux.

  • Re-partitionnez votre disque dur sur place ou ajoutez un autre lecteur pour Red Hat. Les gens de SuperUser en savent probablement plus à ce sujet.

  • Découvrez comment vous allez partitionner votre disque dur à l'avance ... vous n'avez pas besoin d'autant de partitions que j'ai utilisé.

Exigences

  • Un ordinateur avec au moins un disque dur que vous êtes prêt à nettoyer (sauvegardez d'abord vos données, bien sûr ...)

  • Disques d'installation des OS que vous souhaitez installer

  • Gparted LiveCD ou LiveUSB

  • TrueCrypt

  • EasyBCD pour modifier le chargeur de démarrage Windows (Il existe une version gratuite ...)

Instructions

Sauvegardez vos données. Vous allez nettoyer le disque dur totalement propre et le reformater très bientôt.

Reformatez l'ensemble du lecteur. Pour ce faire, j'utilise Gparted LiveCD. Si vous ne souhaitez pas utiliser Gparted, le programme d'installation de Fedora 10 est livré avec un éditeur de partition. Mais c'est un peu plus délicat. Vous devrez terminer partiellement la configuration de Fedora pour y accéder, appliquer les modifications au disque, puis quitter la configuration car Fedora ne doit pas être installé en premier. (L'éditeur de partition de Windows Vista n'est PAS assez puissant. Vous ne pouvez pas l'utiliser pour cela.) J'encourage fortement l'utilisation d'un LiveCD ou LiveUSB Gparted.

J'ai réfléchi à la façon de diviser mon lecteur et après un certain temps, j'ai trouvé ceci:

Partition map

Disposition des partitions pour un double démarrage Fedora 10 et Windows Vista avec TrueCrypt

J'aurais aimé les avoir dimensionnées différemment avec le recul, mais vous pouvez le faire comme vous le souhaitez. Chaque cadenas indique une partition chiffrée. Les cadenas jaunes avec "TC" sont cryptés avec TrueCrypt dans Windows. Les bleus sont cryptés par Fedora. Comme vous pouvez le voir, chaque partition - sauf, bien sûr, la partition/boot - est cryptée. Les partitions marquées en rouge sont pour Windows. Le noir est pour Linux.

D'accord, c'est donc une configuration qui fonctionne pour moi. Fondamentalement, vous voudrez ces choses:

  • Une partition de démarrage principale pour mettre Grub (le chargeur de démarrage que Fedora peut installer pour vous) - Je recommande environ 50 à 100 mégaoctets. Ne marquez pas cela comme "amorçable" lors du partitionnement - Windows se plaindra.

  • Une partition étendue pour contenir toutes les partitions "data" ou "divers". Cela contiendra votre répertoire Fedora/home (essentiellement le dossier "Mes documents" de Linux), la partition de sauvegarde Windows (en option) et votre fichier d'échange Linux (hautement recommandé). Le fichier d'échange doit être au moins aussi volumineux que la capacité de votre RAM.

  • Une partition principale pour Windows Vista à installer.

  • Une partition principale pour Fedora 10 à installer.

Partitionnez votre disque en tant que tel et assurez-vous de formater avec les systèmes de fichiers appropriés. Vous pouvez utiliser le tableau ci-dessus comme référence.

Notez la taille de vos partitions (dans l'ordre) et leur système de fichiers. Vous en aurez besoin lors des installations du système d'exploitation.

Commencez à installer Windows Vista. Vous serez obligé de faire une installation personnalisée. Choisissez la partition NTFS principale que vous avez réservée pour l'installation de Windows. N'oubliez pas de charger les pilotes de disque dur - en particulier sur les ordinateurs portables. Si votre installation Windows se bloque à environ 70%, vous devez installer les pilotes SATA pour votre ordinateur portable. Une fois les pilotes chargés et que vous sélectionnez la bonne partition, installez Windows.

Après l'installation de Windows, démarrez-le normalement et terminez la configuration. Ne passez pas trop de temps à personnaliser les choses pour le moment. Une fois qu'il est en cours d'exécution, arrêtez et insérez le DVD Fedora 10. Démarrez et installez Fedora. Cependant, prenez note des points suivants:

  • Assurez-vous que vous choisissez de faire un disposition personnalisée pour votre partitionnement. Fedora voudra effacer les choses et créer sa disposition de partition préférée par défaut. Ne le laissez pas faire ça. Assurez-vous d'aller directement à la partie où vous pouvez afficher et modifier vos informations de partition actuelles.

  • Ne formatez pas les partitions NTFS. Windows est sur l'un d'eux.

  • Veillez à définir le point de montage pour la petite partition (100 Mo?) Sur/boot. -Vérifiez "Format as" et sélectionnez "ext3". Vous ne pouvez pas crypter cette partition.

  • Définissez le point de montage de la partition de votre répertoire/home sur… vous l'avez deviné:/home. Cochez "Formater sous" et sélectionnez "ext3" puis choisissez l'option "Crypter".

  • Définissez le point de montage de la partition pour votre fichier d'échange sous/swap. Linux devra le formater et vous devrez, bien sûr, sélectionner "Chiffrer".

  • Définissez le point de montage de la partition pour votre installation principale de Fedora sur "/". Cochez "Formater sous" et sélectionnez "ext3" puis choisissez l'option "Crypter".

Avant de continuer, assurez-vous qu'aucune des partitions NTFS n'est cochée. S'ils le font, ils seront formatés et vous devrez recommencer. Continuer. Fedora vous avertira qu'il supprimera toutes les données des partitions modifiées. C'est bon. Vous devrez peut-être également définir vos mots de passe maintenant. Allez-y et faites-le.

Bientôt, il vous posera des questions sur le chargeur de démarrage. Faites attention ici. N'écrivez pas le GRUB sur le MBR. Quand il est dit "Installer le chargeur de démarrage sur/dev/sda1" (le "sda1" peut être différent) - laissez la case cochée mais cliquez sur "Changer de périphérique" et choisissez "premier secteur de la partition de démarrage" à la place.

Après cette étape, vous devriez être à la maison. Terminez l'installation et redémarrez l'ordinateur. Il démarrera directement dans Windows.

Une fois Windows chargé, téléchargez et installez EasyBCD. Vous souhaiterez qu’il modifie facilement le chargeur de démarrage de Windows. Ajoutez une entrée au chargeur de démarrage: cliquez sur "Ajouter/supprimer des entrées" - choisissez l'onglet "Linux", sélectionnez "GRUB" dans la liste déroulante et nommez-le quelque chose d'intelligent. Choisissez la partition qui contient GRUB, pas Fedora. Laissez la case décochée.

Ajoutez l'entrée, puis essayez de redémarrer. Vous devriez maintenant pouvoir démarrer sur Fedora ou Windows! Redémarrez Windows et chiffrez-le comme suit:

Installez TrueCrypt et créez un nouveau volume. Choisissez "Chiffrer la partition système ou le lecteur système entier". À partir de là, vous devrez choisir les options appropriées. Lisez-les attentivement! Je ne me souviens pas de la séquence exacte, mais vous devez spécifier "Multi-boot" à un moment donné. À la fin, il demandera si Windows a son chargeur de démarrage dans le MBR ou si un chargeur de démarrage différent est utilisé (comme GRUB). Rappelez-vous: nous utilisons le chargeur de démarrage de Windows (nous voulons que Truecrypt le "dépasse").

Une fois que vous avez terminé l'assistant de création de volume, il vous sera demandé de "tester" le système. Il redémarrera pour vous. Il doit démarrer dans le chargeur de démarrage TrueCrypt où vous taperez votre mot de passe. Après cela, il devrait charger le chargeur de démarrage Windows où vous pouvez démarrer sous Linux ou Windows.

À partir de là, terminez le cryptage de la partition système Windows, puis n'oubliez pas de crypter toutes les autres partitions NTFS que vous avez créées pour Windows.

Lorsque vous avez terminé, essayez de démarrer sous Linux. Il devrait aller dans le menu de démarrage GRUB où vous pouvez sélectionner Fedora ou changer d'avis et revenir à Windows. Au démarrage de Fedora, votre mot de passe vous sera demandé lors du montage des partitions chiffrées. .

Tl; dr (Trop long; n'a pas lu)

Il m'a fallu quelques essais pour bien faire les choses avec deux systèmes d'exploitation et j'ai utilisé des logiciels comme EasyBCD, Truecrypt et Gparted, mais j'ai finalement réussi ... pour 2 systèmes d'exploitation. Bonne chance avec 4. La clé est de planifier efficacement. Dimensionnez et formatez correctement vos partitions, puis installez les systèmes d'exploitation dans le bon ordre. (Habituellement, Windows passe en premier.)

PS. Hm, Pour une solution plus simple, mais pas tout à fait ce que vous avez demandé: avez-vous envisagé d'exécuter 3 des 4 systèmes d'exploitation sur des machines virtuelles? Vous pouvez crypter la machine hôte, protégeant ainsi les 3 autres en même temps. (Et si vous craignez de perdre les fichiers VHD, n'oubliez pas que vous pouvez également chiffrer entièrement les systèmes d'exploitation invités.)

25
Matt

Nécro pour la mise à jour:

Cela est devenu beaucoup plus facile maintenant; la dernière version de TrueCrypt est compatible avec Linux et permet des schémas de double démarrage impliquant plusieurs partitions et GRUB.

Instructions complètes ici .

6
Steve

L'authentification de pré-démarrage (PBA) peut vous être fournie de deux manières:

  1. Grâce au logiciel

Si vous souhaitez vous fier exclusivement aux logiciels et nécessite une authentification de pré-démarrage, c'est-à-dire qu'un logiciel effectue le chiffrement (en place ou avant l'installation des systèmes d'exploitation) et installe et gère l'environnement d'authentification de pré-démarrage (PBA), des exemples d'une telle configuration et les noms des logiciels peuvent être trouvés ici . Comme l'indique l'article,

Les systèmes FDE impliquent une surcharge de processeur (et donc d'alimentation) pour effectuer le chiffrement et le déchiffrement à la volée, et l'impact de cela dépend de la quantité d'E/S de disque que les applications individuelles demande. Pour les utilisateurs effectuant des activités de productivité de messagerie et de bureau typiques, il est peu probable que l'impact sur les performances soit perceptible - mais il peut être important pour des activités très gourmandes en données telles que le traitement vidéo, à moins que le processeur principal de l'ordinateur et le produit FDE prennent tous deux en charge AES d'Intel. Instructions NI pour le chiffrement et le déchiffrement accélérés par matériel.

Par conséquent, une autre solution serait d'utiliser le chiffrement matériel.

. 2. Grâce au matériel

Ici, vous pouvez utiliser un lecteur à chiffrement automatique (SED) et utiliser soit des fonctionnalités de sécurité ATA (qui permettent une authentification de pré-démarrage comme un module TPM), soit opter pour un SED compatible TCAL OPAL (2.0) et utiliser avec lui l'un des les logiciels (principalement Windows uniquement) capables de les exploiter. Microsoft a fait une spécification sur ces disques, voir ici , donc si vous avez mis à niveau vers Windows 8 et remplissez les conditions requises, BitLocker initialisera votre disque et installera un PBA dessus, tout en gérant les clés de chiffrement.

Ainsi, par exemple, vous pouvez copier/réinstaller vos systèmes d'exploitation sur un SSD Crucial M500 et utiliser le logiciel autonome SecureDoc de WinMagic, ou si vous avez mis à niveau vers Windows 8 BitLocker. Ensuite, vous pouvez installer vos autres systèmes d'exploitation en suivant le schéma que vous souhaitez.

Méfiez-vous cependant, car le cryptage matériel est une sorte de boîte noire et vous devez faire confiance au fabricant qui l'a mis en œuvre. Il en va de même pour les logiciels non libres, car aucun logiciel libre n'est encore capable de gérer les disques compatibles OPAL.

1
neitsab

Linux peut être installé sur une partition logique à l'intérieur d'une partition étendue (Windows est celui qui refuse de démarrer à partir de logiques à l'intérieur étendu).

Comment démarrer à l'intérieur d'une logique à l'intérieur d'une extension sans toucher au contenu de la partition principale:

Suppose: vous avez un espace de partition à l'intérieur de la partition étendue) et démarrez à partir d'un LiveCD comme SystemRescueCD pour faire le travail, après que le disque dur démarrera à partir de la partition logique à l'intérieur de la partition étendue ... l'astuce est faite grâce au chargeur de démarrage Grub2 qui peut le faire , peut démarrer à partir d'une partition étendue.

  • Démarrez n'importe quel LiveCD comme SystemRescueCd qui a Grub2 et GParted (pour l'interface graphique lors de la création de la partition)
  • À l'intérieur de la partition étendue, créez (j'utilise GParted) une partition logique au format ext4 (ou toute autre prise en charge par Grub2)
  • Maintenant, à partir de la console, montez une partition comme/boot et installez grub2 avec: grub2-install/dev/sda # (où # est le numéro de la partition)
  • Avec un éditeur de texte, créez le fichier /boot/grub/grub.cfg (voir des exemples sur Internet)
  • Redémarrez, extrayez le LiveCD
  • Le PC démarrera à partir de MBR (nous parlons de partitions étendues, GPT n'a pas de sens ici), il chargera Grub2 à partir de cette partition logique à l'intérieur de l'extension, et de là, il peut charger Linux/résidant sur une autre partition logique à l'intérieur de l'extension. cloison.

De plus, si vous n'avez pas de fenêtres (il vaut mieux dire si vous n'avez qu'un ou plusieurs Linux), il n'y a pas besoin de TOUTES partitions primaires, vous pouvez avoir tout Linux à l'intérieur des partitions logiques avec une seule partition étendue qui prend 100% de la HDD.

Remarque: Peut-être que BSD et d'autres systèmes d'exploitation peuvent également être à l'intérieur de partitions logiques, je n'ai aucune expérience sur eux, désolé!

Le gros truc: le chargeur de démarrage Grub2 peut démarrer à partir de partitions logiques internes ayant 0, 1, 2 ou 3 partitions principales, peut également charger en chaîne sur le deuxième disque dur s'il y a un deuxième disque dur, peut également faire apparaître le deuxième disque dur au système d'exploitation comme s'il s'agissait du d'abord (avec la commande drivemap), etc.

Inconvénient: Windows crypté TrueCrypt/VeraCrypt suce la façon dont il démarre ... il oblige à avoir la piste 0 du disque avec ses propres données, il n'est donc pas compatible avec deux ou plusieurs fenêtres ni avec Grub2, pourquoi diable ils l'ont fait pas le programmer en utilisant la piste PBR au lieu de la piste MBR? donc on peut faire du multi-boot avec des fenêtres chiffrées (plus d'une fenêtre par disque) !!!

0
Anonimo