PBA FDE Multi Boot

Давид.

вот что вам нужно сделать, но прежде чем что-нибудь еще физически отключить любой другой HDD / SSD на вашей установке, так что у вас есть только пустой, неразмеченный, неформатированный SSD экспериментировать, не рискуя потерять какие-либо данные на других дисках:

I. A) проверьте, является ли ваш SSD SED (диск с Самошифрованием):

• следуйте моему ответу на этот пост здесь, в superuser:Как проверить зашифрованный диск (SED) действительно зашифровано?

I. b) если ваш SSD является SED:

• включить шифрование на диске, но так как ваша установка LENOVO THINKPAD это лучше включить шифрование с помощью "hdparm" в соответствии с инструкциями в конце того же ответа на тот же пост выше, чтобы предотвратить ваш Thinkpad от кирпичной кладки SSD.

• разделите ваш SSD для установки Windows 10: загрузите вашу установку с последнего gparted Live-CD или с Linux Mint Видео-CD или из под Ubuntu 18.04 видео-компакт-диск (и вам будет предложено для вашей СЭД пароль при загрузке) и разметить СЭД диск в GPT, создать устройстве /dev/sda1, поскольку (512MiB, ели) и /dev/sda2 (100GiB, НТФС)

• перезагрузка в BIOS (теперь вам будет предложено для SSD пароль, чтобы разблокировать SED) и:

  a) включите модуль TPM;

  B) включить только UEFI (без BIOS);

  C) включить безопасную загрузку и установить PKgub, KEK и dbx ключи

• загрузите систему с установочного диска Windows 10 и установите ее на раздел 100 гиб

• Если все в порядке до сих пор и ваш доверенный платформенный модуль работает, вам не будет предложено ввести пароль для входа в систему Windows при загрузке ОС Windows 10 (потому что ваш процесс загрузки будет аутентифицирован модулем TPM и, следовательно, без пароля - в видении Microsoft! - просим разрешить вашей установке загрузиться)

• перейти к Панель управления > BitLocker > "Включить BitLocker", заботясь о сохранении копии ключа BitLocker на USB-накопитель: когда вы закончите, перезагрузите; ваш раздел Windows теперь программно зашифрован BitLocker, и теперь вам будет предложено ввести пароль Windows / BitLocker при входе в систему Windows.

• теперь, если все в порядке, вы будете иметь диск SED шифрования на лету все данные во всех разделах на этом диске + зашифрованный BitLocker ОС Windows 10 с доверенным платформенным модулем мониторинг Windows 10 загрузочный последовательности, чтобы предотвратить "злая горничная" атак на Windows 10 Операционная система, и это время, чтобы установить ОС Linux (и кстати, это мое скромное мнение, что линукс Минт 18.3 Xfce и Линукс Минт 19 рабочие столы Xfce намного превосходят в Ubuntu 18.04, когда дело доходит до вопросов безопасности, так что, возможно вы должны рассмотреть его, крепко риг).

I. c) если ваш SSD не является SED:

• игнорируйте "включить шифрование на диске" и продолжайте с теми же шагами, что и выше. Единственное отличие заключается в том, что вы не будете защищены от атак грубой силы ("словарь "атаки), чтобы взломать пароль BitLocker на этом SSD, в случае, если ваш ноутбук украден, особенно если вы оставили в" приостановлено "или" спящий режим"... (и, кстати, если вы хотите сделать его немного более трудоемким, чтобы взломать этот пароль BitLocker, отключить спящий режим в ОС Windows 10 и удалить все файлы спящего режима, которые могут присутствовать, потому что BitLocker пароль на самом деле хранится на этом файле гибернации, что делает его 5 минут работу, чтобы взломать пароль BitLocker).

II.a) как установить UBUNTU/LINUX MINT OS без БЕЗОПАСНАЯ ЗАГРУЗКА

• перезагрузка, перейдите в BIOS и отключите безопасную загрузку.

• теперь вы должны решить, какой тип установки ОС Linux вы хотите продолжить. Вот ваши основные варианты:

• A) легк-стандарт Зашифрованные в Ubuntu/Linux как установить с /Boot и /корневые разделы не шифруется (очень восприимчивы к "злая горничная" нападения из-за того, что весь /Boot и /корневые разделы остались uncrypted): загрузиться с Убунту/Минт установить с диска/USB-кабеля, выберите "Установить Убунту/Минт параллельно с Windows 10" и решили зашифровать раздел /Home.

• B) промежуточное шифрование полного диска ("FDE"), включая зашифрованный загрузочный раздел без зашифрованного контейнера LVM+LUKS (несколько менее восприимчивы к атакам "злой горничной", как только " bootx64.файл EFI" останется в незашифрованном виде на SSD в незашифрованную папку /boot/efi с): следуйте инструкциям из пользователей linux22 в его учебнике, в https://community.linuxmint.com/tutorial/view/2061

• C) EXPERT-Full-Disk-Encryption ("FDE"), включая зашифрованный / загрузочный раздел с зашифрованным контейнером LVM+LUKS (что позволяет впоследствии установить ОС Kali внутри вашего LVM + LUKS контейнер, но вы должны помнить, чтобы установить ваш эквивалент Кали раздела / boot в незашифрованном / загрузочном разделе): пользователь linux22 используется, чтобы иметь учебник по тому же адресу выше, но он теперь заменен с одним без контейнера LVM. Тем не менее, вы все еще можете следить (на данный момент) за автоматизированным сценарием, созданным Callom Cameron для установки пользователя linux22 old tutorial, в https://github.com/CallumCameron/mint-encrypted-install или если это сценарий уже обновлен до нового учебника, то вы можете PM здесь в superuser, как я сохранил в виде файла оригинальный linux22 FDE учебник с LVM + LUKS веб-страницы, и я пошлю его вам по электронной почте.

Не забудьте выделить все свободное пространство на SSD для Ubuntu / Linux LVM, чтобы позже вы могли разбить свой диск за пределами контейнера LVM+LUKS для создания раздела данных Linux/Windows.

• Д) CRYPTOMASTER - состоит из "экспертов" устанавливать выше с LVM+Лукс, где можно изменять команды выше, указывая установке /загрузки с USB-диска (например /dev/sdc) и, таким образом, продлевая LVM с шифрованием+Лукс контейнер, чтобы этот защищенный USB-накопитель, который вы должны подключить в свой рог, чтобы ваш системы для загрузки (но оставить файл grub2 загрузчик будет установлен на ССД!). Чтобы использовать эту опцию, прежде чем начать установку Ubuntu / Mint, как указано выше, просто разделите USB-накопитель на GPT (без создание любого раздела) с помощью GParted и использовать Убунту/Минт LiveDVD, чтобы найти назначено /Дев к этому USB-диск с помощью, из терминала, командой "blkid" (например USB-это /dev/sdc) и потом, во время установки операционной системы, изменить все ссылки на команды из /dev/ПДД для папке /Boot на новый USB /Дев.

второй.Б) как установить Ubuntu и в Linux Mint ОС с БЕЗОПАСНАЯ ЗАГРУЗКА

• перед установкой В Ubuntu/Mint ОС используя "CryptoMaster" вариант выше, следуйте пошаговой инструкции от пользователей linux22 на https://community.linuxmint.com/tutorial/view/2360 но вместо стандартного метода использовать метод 1 ("Использование первоначально Microsoft безопасной загрузки UEFI сертификаты вашего ПК с UEFI платформы"), приведенными в "приложение A - Как установить пользовательские ключи и Microsoft ключи вместе"

второй.с) Защита с помощью пароля для grub2 ЗАГРУЗЧИКОМ

• для дальнейшей защиты вашей установки от большинства "инъекций кода" и некоторых атак "злой горничной", вы должны защитить паролем загрузчик grub2.

• следуйте инструкциям на этом уроке https://www.thegeekstuff.com/2011/09/grub-password-command/

• теперь проверьте вашу (почти) завершенную установку и из меню GRUB2 загрузитесь сначала из "менеджера загрузки Windows", чтобы загрузить ваш ОС Windows 10. В случае, если ваш Windows 10 не загружается и GRUB2 бросает вам сообщение об ошибке говоря "ошибка: имя устройства требуется", вы должны перезагрузиться в Ubuntu / Mint OS и редактировать как корень " grub.cfg" файл в вашей директории файл "/boot/grub В" (или "файл/boot/grub и/ели/ели/загрузки") и поиск menuentry 'Диспетчер загрузки Windows и закомментировать строку 'cryptomount -у' с #

sudo xed файл /boot/grub/с жратвы.cfg

или

судо фиксированной /загрузки/grub/ели/ели/загрузки/grub.cfg

будьте мудры и протестируйте это решение с пустым, неразмеченным жестким диском или SSD в качестве единственного диска, физически присутствующего на буровой установке, Чтобы не подвергать опасности данные на других дисках. Я только протестировал эту схему шифрования оборудования + программного обеспечения, используя старый (LVM+LUKS) учебник от linux22 на мобильных рабочих станциях DELL (модели M6400, M6600 и M6800) с процессорами i7, 16 ГБ или более оперативной памяти и Samsung Evo 960/970 1 TiB sed SSD.