Як налаштувати FDE в ArchLinux

Повне шифрування диска (FDE) - це один із найкращих заходів безпеки, який ви можете вжити для захисту даних у сховищі вашого пристрою. Як випливає з назви, FDE шифрує вміст (файли, програмне забезпечення) накопичувача в повному обсязі, включаючи саму операційну систему. FDE можна активувати в Linux, Windows та macOS, а також в системах Android.

Якщо FDE увімкнено на вашому пристрої, вам потрібно буде надати ключ шифрування при кожній спробі входу. Після введення правильного ключа шифрування диск розшифровується, і пристрій завантажиться як завжди.

FDE не слід плутати з шифруванням рівня файлів (FLE), оскільки останнє захищає лише окремі файли, зашифровані користувачем вручну.

Слід також зазначити, що повне шифрування диска працює лише до тих пір, поки користувач вийшов із системи. Як тільки авторизований користувач входить в систему,

Хоча FDE сам по собі не є достатнім, він служить чудовим першим кроком до захисту ваших даних від несанкціонованого доступу.

У цьому посібнику ви дізнаєтесь, як налаштувати ArchLinux з повним шифруванням диска в режимі прошивки UEFI та в розділі диска GPT.

Крок 1: Встановіть режим завантаження на UEFI

Щоб слідувати цьому посібнику, спочатку потрібно встановити режим завантаження на UEFI.

Щоб перевірити, чи ваша система вже працює в UEFI, виконайте таку команду, щоб викликати каталог efivars:

$ ls / sys / firmware / efi / efivars

Якщо перед каталогом немає запиту про помилку, ви можете бути впевнені, що система завантажилася в UEFI.

Якщо система не завантажилася в UEFI, перезапустіть і натисніть клавішу меню на клавіатурі (яка клавіша залежить від конкретної моделі, яку ви використовуєте; знайдіть її). Відкрийте вкладку прошивки та налаштуйте систему на завантаження в режимі UEFI.

Крок 2: Переконайтеся, що системний годинник правильний

Перевірте, чи ваш системний годинник актуальний, ввівши таке:

$ timedatectl set-ntp true

Наступний синтаксис встановить час:

$ timedatectl встановлений час "рррр-ММ-дд год: мм: сс"

Крок 3: Окремі розділи в сховищі

Щоб використовувати gdisk для створення кореневого та завантажувального розділів, видайте таке:

$ gdisk / dev / sda

Далі видаліть попередньо існуючі розділи, натиснувши o, та натисніть п двічі на запит про введення. Потім натисніть стор щоб переглянути список існуючих розділів, натисніть w щоб перезаписати ці розділи, та натисніть р підтвердити.

Крок 4: Готовий кореневий розділ

Наступним кроком є ​​налаштування кореневого розділу. Для цього введіть наступне:

$ cryptsetup luksFormat / dev / sda2
$ cryptsetup open / dev / sda2 cryptroot
$ mkfs.ext4 / dev / mapper / cryptroot

Потім змонтуйте зашифрований кореневий розділ:

$ mount / dev / mapper / cryptroot / mnt

Крок 5: Налаштуйте завантажувальний розділ

Виконайте таку команду, щоб створити завантажувальний розділ:

$ mkfs.жир -F32 / dev / sda1
$ mkdir / mnt / boot

Потім встановіть розділ, ввівши наступне:

$ mount / dev / sda1 / mnt / boot

Крок 6: Встановіть допоміжні залежності

Виконайте таку команду, щоб створити файл fstab:

$ genfstab -U / mnt >> / mnt / etc / fstab

Потім завантажте пакети vim та dhcpcd, ввівши таке:

$ pacstrap / mnt base linux linux-firmware vim dhcpcd

Крок 7: Змініть кореневий каталог

Використовуйте таку команду, щоб змінити кореневий каталог:

$ arch-chroot / mnt

Крок 8: Встановіть часові пояси

Переконайтесь, що часовий пояс відповідає вашому місцезнаходженню:

$ ln -sf / usr / share / zoneinfo / America / Los_Angeles / etc / localtime
$ hwclock --systohc

Крок 9: Змініть відповідні локалі

Виконайте таку команду, щоб перерахувати відповідні регіони:

$ locale-gen
$ localectl set-locale LANG = en_US.UTF-8

Зокрема, ви відредагуєте / etc / locale.локаль ген.

Крок 10: Перейдіть на mkinitcpio

Спочатку додайте / etc / hosts:

# 127.0.0.1 місцевий хост
# :: 1 localhost

Потім знайдіть і змініть / etc / mkinitcpio.конф.

Обов’язково включіть гачки для шифрування та перенесіть гачки для клавіатури, щоб шифрування слідувало за ним.

Виконайте таку команду, щоб створити завантажувальні образи:

$ mkinitcpio -P

Крок 11: Введіть ключ шифрування

$ passwd

Крок 12: Встановіть пакет ucode

Якщо ви використовуєте Intel, введіть таку команду:

$ pacman -S intel-ucode

Для користувачів AMD команда повинна бути такою:

$ pacman -S amd-ucode

Крок 13: Встановіть та налаштуйте EFI Boot Manager

Щоб встановити менеджер завантаження EFI, виконайте таку команду:

$ bootctl встановити

Крок 14: Запустіть перезавантаження

Введіть exit, а потім перезавантажте.

$ перезавантаження

Після перезавантаження вам буде запропоновано ввести пароль.

Це все! Саме так ви встановлюєте ArchLinux із повним шифруванням диска.

Висновок

Одним з найкращих способів захистити свій телефон, комп’ютер та ноутбук від несанкціонованих входів - повне шифрування диска.

У цьому підручнику ви дізналися, як встановити ArchLinux із повним шифруванням диска. Маючи у своєму розпорядженні FDE, вам більше не доведеться турбуватися про те, що інші люди втручаються у вашу систему.

Сподіваємось, ви знайшли цей підручник корисним та простим у виконанні. Залишайтеся на linuxhint.com, щоб отримати більше повідомлень, пов’язаних із захистом даних.