Come configurare FDE in ArchLinux

La crittografia completa del disco (FDE) è una delle migliori misure di sicurezza che puoi adottare per proteggere i dati nella memoria del tuo dispositivo. Come suggerisce il nome, FDE crittografa il contenuto (file, software) di un'unità di archiviazione nella sua interezza, incluso il sistema operativo stesso. FDE può essere attivato in Linux, Windows e macOS, nonché nei sistemi Android.

Con FDE abilitato sul tuo dispositivo, dovrai fornire una chiave di crittografia a ogni tentativo di accesso. Una volta inserita la chiave di crittografia corretta, il disco viene decrittografato e il dispositivo si avvierà come al solito.

FDE non deve essere confuso con File Level Encryption (FLE), poiché quest'ultimo protegge solo i singoli file che sono stati crittografati manualmente dall'utente.

Va inoltre notato che la crittografia completa del disco funziona solo finché l'utente si è disconnesso dal sistema. Una volta che un utente autorizzato accede al sistema,

Sebbene non sia adeguato da solo, FDE rappresenta un ottimo primo passo per proteggere i tuoi dati da accessi non autorizzati.

In questo tutorial imparerai come configurare ArchLinux con Full Disk Encryption con la modalità firmware UEFI e in una partizione del disco GPT.

Passaggio 1: imposta la modalità di avvio su UEFI

Per seguire questa guida, dovrai prima impostare la modalità di avvio su UEFI.

Per verificare se il tuo sistema è già in UEFI, emetti il ​​seguente comando per richiamare la directory efivars:

$ ls /sys/firmware/efi/efivars

Se non viene richiesto alcun errore prima della directory, puoi essere sicuro che il sistema è stato avviato in UEFI.

Se il sistema non è stato avviato in UEFI, riavvia e premi il tasto menu sulla tastiera (il tasto dipende dal modello specifico che stai utilizzando; cercalo). Apri la scheda del firmware e imposta il sistema per l'avvio in modalità UEFI.

Passaggio 2: assicurarsi che l'orologio di sistema sia accurato

Controlla se il tuo orologio di sistema è aggiornato inserendo quanto segue:

$ timedatectl set-ntp true

La seguente sintassi imposterà l'ora:

$ timedatectl set-time "aaaa-MM-gg hh:mm:ss"

Passaggio 3: partizioni separate nell'archiviazione

Per utilizzare gdisk per creare partizioni di root e di avvio, emettere quanto segue:

$ gdisk /dev/sda

Quindi, elimina le partizioni preesistenti premendo o, e premi n due volte quando viene chiesto un input. Quindi, premere p per elencare le partizioni preesistenti, premere w per sovrascrivere queste partizioni e premere sì per confermare.

Passaggio 4: partizione di root pronta

Il prossimo passo è impostare una partizione di root. Fatelo inserendo quanto segue:

$ cryptsetup luksFormat /dev/sda2
$ cryptsetup apri /dev/sda2 cryptroot
$ mkfs.ext4 /dev/mapper/cryptroot

Quindi, monta la partizione root crittografata:

$ mount /dev/mapper/cryptroot /mnt

Passaggio 5: configurare la partizione di avvio

Eseguire il seguente comando per creare la partizione di avvio:

$ mkfs.grasso -F32 /dev/sda1
$ mkdir /mnt/boot

Quindi, montare la partizione immettendo quanto segue:

$ mount /dev/sda1 /mnt/boot

Passaggio 6: installazione delle dipendenze di supporto

Immetti il ​​seguente comando per produrre un file fstab:

$ genfstab -U /mnt >> /mnt/etc/fstab

Quindi, scarica i pacchetti vim e dhcpcd inserendo quanto segue:

$ pacstrap /mnt base linux linux-firmware vim dhcpcd

Passaggio 7: modifica della directory principale

Utilizzare il seguente comando per modificare la directory principale:

$ arch-chroot /mnt

Passaggio 8: imposta i fusi orari

Assicurati che il fuso orario sia preciso per la tua posizione:

$ ln -sf /usr/share/zoneinfo/America/Los_Angeles /etc/localtime
$ hwclock --systohc

Passaggio 9: modifica le impostazioni locali pertinenti

Esegui il comando seguente per elencare le impostazioni locali pertinenti:

$ locale-gen
$ localectl set-locale LANG=en_US.UTF-8

In particolare, modificherai il file /etc/locale.gen locale.

Passaggio 10: passare a mkinitcpio

Innanzitutto, aggiungi gli /etc/ host:

# 127.0.0.1 localhost
# ::1        localhost

Quindi, cerca e modifica /etc/mkinitcpio.conf.

Assicurati di includere gli hook di crittografia e di trasferire gli hook della tastiera in modo che l'encrypt lo segua.

Immetti il ​​seguente comando per produrre le immagini di avvio:

$ mkinitcpio -P

Passaggio 11: inserire la chiave di crittografia

$ passwd

Passaggio 12: installare il pacchetto ucode

Se stai usando Intel, digita il seguente comando:

$ pacman -S intel-ucode

Per gli utenti AMD, il comando dovrebbe essere:

$ pacman -S amd-ucode

Passaggio 13: installazione e configurazione di EFI Boot Manager

Per installare un boot manager EFI, eseguire il comando seguente:

$ bootctl install

Passaggio 14: eseguire il riavvio

Digita exit, quindi riavvia.

$ reboot

Al riavvio, ti verrà chiesto di inserire una password.

questo è tutto! Ecco come si installa ArchLinux con Full Disk Encryption.

Conclusione

Uno dei modi migliori per proteggere il tuo telefono, computer e laptop da accessi non autorizzati è la crittografia dell'intero disco.

In questo tutorial, hai imparato come installare ArchLinux con Full Disk Encryption. Con FDE a tua disposizione, non devi più preoccuparti che altre persone si intromettano nel tuo sistema.

Spero che tu abbia trovato questo tutorial utile e facile da seguire. Rimani a linuxhint.com per ulteriori post relativi alla sicurezza dei dati.