Manjaro(основан на Arch). Как зашифровать всю систему целиком(все файлы, swap) без переустановки?

Один из них пойдёт под GRUB2 (и /boot, если не пофиг на возможную подмену ядра и пр.)

Ошибка, следует читать так: Один из них пойдёт под GRUB2 (и /boot, если пофиг на возможную подмену ядра и пр.)

Для этого есть LiveCD или фрэшка

В таком случае шифрование не поможет.

Ладно. Умерла - так умерла.

Пардон за оффтоп, можешь скинуть строки из конфига груба, которыми грузишь iso?

/dev/sda3 - ext4, исошники в корень свалены. SystemRescueCd с диска подробно.

menuentry 'SystemRescueCd (isoloop)' {
	insmod part_msdos
	insmod ext2
	set isofile=«systemrescuecd-x86-4.6.1.iso»
	loopback loop (hd0,msdos3)/$isofile
        linux (loop)/isolinux/rescue64 isoloop=$isofile setkmap=us
        initrd (loop)/isolinux/initram.igz
}
menuentry 'Ubuntu 15.10 (isoloop)' {
	insmod part_msdos
	insmod ext2
	set isofile=«/ubuntu-15.10-desktop-amd64.iso»
	loopback loop (hd0,msdos3)$isofile
	linux (loop)/casper/vmlinuz.efi boot=casper iso-scan/filename=$isofile noprompt noeject
	initrd (loop)/casper/initrd.lz
}

Не, мне Винду трогать не нужно, шифровать Винду, раздел ЖД на которой она установлена не нужно. Там своя атмосфера, так сказать.
Зашифровать только Manjaro(Arch), все данные, которые хранятся на тех участках ЖД, на которых работает GNU Linux дистрибутив.
У меня:
sda1 - 100метровый NTFS(для Win'ды?)
sda2 - Win10
sda3 - / *помечен как загрузочный, тут же и стоит Manjaro(Arch)
sda4 - «незанятое место»(на данный момент зашифрованный ext4) Шифровал sda4 по этой инструкции:
http://www.cyberciti.biz/hardware/howto-linux-hard-disk-encryption-with-luks-...
Мне теперь, наверное, нужно как-то перенести файлы с sda3 на sda4, сделать sda4 загрузочный, настроить файл grub??? Вообще фиг поймешь. Сложнааа
http://photo1.ask.fm/593/101/455/-49996977-1t332lh-4ttnetc7eiqmqo5/preview/av...

Кстати, зашел был в gparted и там сообщение возле моего sda4 crypt-luks:
«Унифицированная настройка ключей шифрования Linux на данный момент не поддерживается».
Что? Я не понимать. Как это унифицированная? Унификация, когда приводишь что-то к какой-то одной рациональной форме что-то, объединяешь? Что происходит и почему?

Чтобы никто не лез в мое личное информационное пространство, как и в личные владения.

Надо всего-то отключить Ethernet и Wifi; вот тебе шифрование.

Ну дык BitLocker работает похоже же.

на данный момент

Это развернутый перевод аббревиатуры LUKS - Linux Unified Key Setup.

Это развернутый перевод аббревиатуры LUKS - Linux Unified Key Setup.

Спасиб. Я сразу же это понял, после того как задал вопрос ) Так что делать? Я описал где и что у меня и на каком разделе. Может кто помочь?

Прежде всего заимей загрузочный диск или фрэшку! А то мало ли чё.

Грузанись в линукс и убедись, что в твоём дистре есть интсрументы: тупо в терминале запусти rsync, cryptsetup и lvs. Если прог нет, то доустанови. Я х.з. как эти пакеты в твоём дистре называются.

Пройдёмся по головам с самого начала.

Создаём LUKS/LVM:

sudo cryptsetup luksFormat -s 512 -y /dev/sda4

Открываем:

sudo cryptsetup luksOpen /dev/sda4 sda4

Делаем разделы swap, /, /home:

sudo vgcreate vg /dev/mapper/sda4
sudo lvcreate -Cy -L8GiB -nswap vg
sudo lvcreate -Cy -L16GiB -nroot vg
sudo lvcreate -Cy -l100%FREE -nhome vg

Форматируем:

sudo mkfs.xfs /dev/mapper/vg-root
sudo mkfs.xfs /dev/mapper/vg-home
sudo mkswap /dev/mapper/vg-swap

Запускаем установщик Ubuntu:

ubiquity --nobootloader &

Переносим систему:

sudo mkdir /target
sudo mount /dev/mapper/vg-root /target
sudo mkdir /target/home
sudo mount /dev/mapper/vg-home /target/home
sudo rsync -avHAX --exclude=«lost+found» / /target

Chroot'имся:

for i in dev dev/pts dev/shm run proc sys; do sudo mount --bind /$i /targer/$i; done
sudo chroot /target /bin/bash

Правим /etc/fstab (ниже - не команды, а содержимое файла):

/dev/mapper/vg-root / xfs defaults 0 1
/dev/mapper/vg-home /home xfs defaults 0 2
/dev/mapper/vg-swap none swap sw 0 0
/dev/sda3 /boot ext4 defaults 0 2

Я х.з. как оно там Arch'е, поэтому создаём файл /etc/crypttab:

sda4 /dev/sda4 none luks

 ^  Дальше начинаются специфичные для Arch вещи, которые я в глаза не видел.
/!\ Уточни у экспертов. А также:
--- http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/

Далее пишу инфу по ссылке выше.

В файл /etc/mkinitcpio.conf добавляем хуки lvm2 и encrypt. Делаем новый рамдиск:

mkinitcpio -p linux

GRUB_ENABLE_CRYPTODISK=y

GRUB_CMDLINE_LINUX=«cryptdevice=/dev/sda4:lvm»

grub-mkconfig -o /boot/grub/grub.cfg
grub-install /dev/sda

Отваливаемся:

Ctrl-D (или exit, или logout)
sudo umount -a (повторяем, пока /target не отвалится)
sudo rm -rfv /target
sudo vgchange -an
sudo cryptsetup luksClose sda4

Перезагрузка...

P.S. Хотелось бы посмотреть на содержимое файла /etc/mkinitcpio.conf. P.S.S. Если на этом этапе всё заработает, то можно будет перейти ко второму.

Ну дык BitLocker работает похоже же.

Я же писал:

Не, мне Винду трогать не нужно, шифровать Винду, раздел ЖД на которой она установлена не нужно. Там своя атмосфера, так сказать.

Вы писали:

Надо всего-то отключить Ethernet и Wifi; вот тебе шифрование.

Я приму к сведению Ваше мнение, но разрешать всякого рода хацкерам ковыряться в моем винте не хочу. Интернет должен быть безопасным, открытым для всех, с доступной информацией, а каждый участник сети имеет право как открывать свою информацию на личном компьютере/сервере для других участников сети, так и иметь частную, неприкосновенную, личную информацию, как владелец оной. Защита информации дело самого защищающего информацию.
Если Я, пардон, дрочу или переписываюсь с Дженнифер Лопес и дрочу, то это моё личное дело говорить об этом остальным или нет. А вдруг у меня интеллектуальная собственность тут и её своруют?
Если Я закрываю дом на ключи, то это ж не означает, что Я не могу пускать сюда званых гостей, покупать мебель и т.д.

Поправка №1: всё это написано с учётом того, что загрузка была с LiveCD/USB.

Поправка №2: недописал в районе sudo rsync -avHAX --exclude=«lost+found» / /target

правильно так:

Переносим систему:

sudo mkdir /source
sudo mount /dev/sda3 /source
sudo mkdir /target
sudo mount /dev/mapper/vg-root /target
sudo mkdir /target/home
sudo mount /dev/mapper/vg-home /target/home
sudo rsync -avHAX --exclude=«lost+found» /source/ /target

Грузанись в линукс и убедись, что в твоём дистре есть интсрументы: тупо в терминале запусти rsync, cryptsetup и lvs.

Всё это есть, ведь без cryptsetup Я бы не создал тот свой шифрованный диск выше.

[code=bash]sudo cryptsetup luksFormat -s 512 -y /dev/sda4[code=bash]

Что означает ключи -s и -y ?
512 — это размер чего?

Примечание: если в твоей текущей установке нет поддержки XFS, то делай Ext4.

А XFS лучше? Если да, то чем?

Хотелось бы посмотреть на содержимое файла /etc/mkinitcpio.conf

http://pastebin.com/m3ptD5LP
Сейчас всё это буду пытаться. Сначала разберусь, а потом буду вводить всё и менять.

Под занавес надо будет ещё /source удалить.

Как тут мессаги править и возможно ли это вообще, WTF?!

Скопируй то, что выше, отредактируй как нужно, с описанием, и отошли новое, если можно )

man cryptsetup :-)

-s - это размер ключа в битах -y - это запросить подтверждение пароля

А XFS лучше? Если да, то чем?

Не по теме --->>>

Manjaro(основан на Arch). Как зашифровать всю систему целиком(все файлы, swap) без переустановки?

Мне пофиг, хоть по заднице ремнём размечай.

Ну Я просто не понял почему Вы написали XFS? Это случайно или Вы бы посоветовали или это Ваше личное предпочтение или для шифрования будет лучше или почему?

Диск шифрованый, а у кого-то к тому-же и SSD. XFS реже чем Ext4 елозит по диску плюс дефраг адекватный. На форониксе только и успеваешь читать о багфиксах F2FS, Ext4 и btrfs. Тема так-то холиварная. :-)

Можете написать сообщение в котором подытожите всё, распишите, вставите недостающие команды? Пожалуйста )
Я попытаюсь во всё вникнуть, если не пойму чего-то, то задам вопросы. Просто Я знаю, что с Linux шути плохи и что-то не то в файле или терминале изменит полностью конечный результат и Я ничего толкового не добьюсь, а может и обрушу систему.

хорошо

HOOKS=«base udev autodetect modconf block keyboard keymap plymouth resume filesystems fsck»

А, понятно. Дописываем:

HOOKS=«base udev autodetect modconf block keyboard keymap plymouth resume filesystems fsck lvm2 encrypt»

Вы писали

Ты наркоман? Читай, кто это пишет, прежде чем отвечать, и читай, на что именно был ответ.

Ты наркоман? Читай, кто это пишет, прежде чем отвечать, и читай, на что именно был ответ.

Каюсь, сижу сейчас на ноотропах. Сори. Еще не привык к ЛОРу. Просто Я в одном сообщении хотьел ответить двум людям, чтоб не создавать учу новых сообщений. А про BitLocker Я подумал, что это Вы мне. Еще раз сори.

HOOKS=«base udev autodetect modconf block keyboard keymap plymouth resume filesystems fsck»

А, понятно. Дописываем:

HOOKS=«base udev autodetect modconf block keyboard keymap plymouth resume filesystems fsck lvm2 encrypt»

Записал систему на USB. Загрузился с USB.
Изменил на sda3 файл:
/run/media/manjaro/8776f480-d070-4c62-957c-69c103b75beb/etc/mkinitcpio.conf Эту строку поменял:

HOOKS="base udev autodetect modconf block keyboard keymap plymouth resume filesystems fsck"

HOOKS="base udev autodetect modconf block keyboard keymap plymouth resume filesystems fsck lvm2 encrypt"

Загружаемся с LiveCD/LiveUSB/SystemRescueCD.

(Опционально) убиваем идентификатор LUKS на /dev/sda4:

sudo wipefs -a /dev/sda4

Создаём LUKS:

sudo cryptsetup luksFormat -s 512 -y /dev/sda4

Открываем:

sudo cryptsetup luksOpen /dev/sda4 sda4

Делаем LVM-разделы swap, /, /home:

sudo vgcreate vg /dev/mapper/sda4
sudo lvcreate -Cy -L8GiB -nswap vg
sudo lvcreate -Cy -L16GiB -nroot vg
sudo lvcreate -Cy -l100%FREE -nhome vg

Форматируем:

sudo mkfs.xfs /dev/mapper/vg-root
sudo mkfs.xfs /dev/mapper/vg-home
sudo mkswap /dev/mapper/vg-swap

Переносим систему:

sudo mkdir /mnt/source
sudo mount /dev/sda3 /mnt/source
sudo mkdir /mnt/target
sudo mount /dev/mapper/vg-root /mnt/target
sudo mkdir /mnt/target/home
sudo mount /dev/mapper/vg-home /mnt/target/home
sudo rsync -avHAX --exclude=«lost+found» /mnt/source/ /mnt/target

Chroot'имся:

for i in dev dev/pts dev/shm run proc sys; do sudo mount --bind /$i /mnt/target/$i; done
sudo chroot /mnt/target /bin/bash

Для винды:

mkdir /mnt/SYSTEM
mkdir /mnt/WINDOWS

Правим /etc/fstab (ниже - не команды, а содержимое файла):

/dev/mapper/vg-root / xfs defaults 0 1
/dev/mapper/vg-home /home xfs defaults 0 2
/dev/mapper/vg-swap none swap sw 0 0
/dev/sda3 /boot ext4 defaults 0 2
/dev/sda1 /mnt/SYSTEM ntfs defaults,umask=007,gid=46 0 0
/dev/sda2 /mnt/WINDOWS ntfs defaults,umask=007,gid=46 0 0

Я х.з. как оно там Arch'е, поэтому создаём файл /etc/crypttab (ниже - не команды, а содержимое файла):

sda4 /dev/sda4 none luks

В файле /etc/mkinitcpio.conf находим строку HOOKS= и добавляем модули lvm2 и encrypt:

HOOKS=«base udev autodetect modconf block keyboard keymap plymouth resume filesystems fsck lvm2 encrypt»

Делаем новый рамдиск:

mkinitcpio -p linux

В файл /etc/default/grub добавляем строку:

GRUB_ENABLE_CRYPTODISK=y

В этом же файле добавляем/правим строку:

GRUB_CMDLINE_LINUX=«cryptdevice=/dev/sda4:lvm»

Обновляем загрузчик:

grub-mkconfig -o /boot/grub/grub.cfg
grub-install /dev/sda

Отваливаемся:

Ctrl-D (или exit, или logout)
sudo umount -a
sudo vgchange -an
sudo cryptsetup luksClose sda4

Перезагрузка... Удаляем хвосты:

sudo rm -rfv /mnt/{source,target}

Блин!!!

Поправка №3:

Правим /etc/fstab (ниже - не команды, а содержимое файла):

/dev/mapper/vg-root / xfs defaults 0 1
/dev/mapper/vg-home /home xfs defaults 0 2
/dev/mapper/vg-swap none swap sw 0 0
/dev/sda1 /mnt/SYSTEM ntfs defaults,umask=007,gid=46 0 0
/dev/sda2 /mnt/WINDOWS ntfs defaults,umask=007,gid=46 0 0

/dev/sda3 /boot ext4 defaults 0 2 - лишнее

(Опционально) убиваем идентификатор LUKS на /dev/sda4:

sudo wipefs -a /dev/sda4
/dev/sda4: 6 bytes were erased at offset 0x00000000 (crypto_LUKS): 4c 55 4b 53 ba be

Ну вроде нормально, затерло 6 байт, теперь файловая система: неизвестно.

>Создаём LUKS:

sudo cryptsetup luksFormat -s 512 -y /dev/sda4

512 стойкая длинна? Если слелаю 1024? А какой вообще алгоритм шифрования тут используется?

sha1

Фиговый алгоритм хеширования и от него ну очень скоро откажутся.

aes

Еще фиговейший алгоритм для шифрования разработанный АНБ. Тоже, ИМХО, не очень актуальный
Как поменять?

Получается AES-512, XTS режим, длина блока - 4096. Вроде так. Если ошибаюсь, то сейчас набигут иксперты и всё объяснят.

Хотелось бы Camellia шифрование и хеширование SHA-2/SHA-3.

Вообще-то AES-512/XTS типа де-факто стандарт. Из коробки так шифрует все использованные мною версии (12.04-15.10) Ubuntu. Fedora 22 из коробки делает AES-256/XTS. Я х.з. по точным цифрам, но это «сильнее» и «рогатее» чем TrueCrypt, VeraCrypt и BitLocker.

SpiderOak если не ошибаюсь делает AES-256/XTS.

Ты по шифрованию особо не раскатывай. Данный сценарий делается только как защита от пионЭров. Точка. Согласно постановлению суда или в особом порядке ты обязан раскрыть инфу суду, СК, ФСБ и пр., а также предоставить средства для доступа.

Ты по шифрованию особо не раскатывай. Данный сценарий делается только как защита от пионЭров. Точка. Согласно постановлению суда или в особом порядке ты обязан раскрыть инфу суду, СК, ФСБ и пр., а также предоставить средства для доступа.

Опять политоту разводите. Я тут самообразованием и безопасностью занимаюсь. Я не из ИГИЛ )))
ФСБ это ваше, не моё ;)
Там можно юзать Camellia и SHA-2 или SHA-3? Подскажешь как?

Думаю, что - нет. Я не эксперт и знаком с темой только в пределах манов и гугла. Шифрую диск раз в N лет, потом тупо LVM двигаю.

учитывая, что её муж маковод с 2003 года, то он бы не отдавал просто так в сервис.

Если бы у мужа были мозги, он бы делал бэкапы. Переставить OS X и накатить бэкап - дело 1 неполного дня.

Не могу сделать новый ramdisk (((

mkinitcpio -p linux
==> ERROR: Preset not found: `/etc/mkinitcpio.d/linux.preset'

sudo ls -lA /etc/mkinitcpio.d

Если Я SWAP не создавал, то нужен ли мне рамдиск?

Если Я SWAP не создавал, то нужен ли мне рамдиск?

да (они никак не связаны)

-rw-r--r-- 1 root root 390 Oct 28 01:00 linux42.preset

mkinitcpio -p linux42

Мне нужно писать:

mkinitcpio -p linux42

Вы опередили)))

mkinitcpio -p linux42

Лан, успешного переезда. Я - в оффлайн.

У меня еще есть строка GRUB_CMDLINE_LINUX_DEFAULT. Её менять???

GRUB_CMDLINE_LINUX_DEFAULT="resume=UUID=444c8fec-e213-4695-aeff-eda4b786e2b8 quiet splash"

sudo vgchange -an
  Logical volume vg/root contains a filesystem in use.
  Can't deactivate volume group "vg" with 1 open logical volume(s)
sudo cryptsetup luksClose sda4
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
device-mapper: remove ioctl on sda4 failed: Устройство или ресурс занято
Device sda4 is still in use.

Что делать? Чем занято?