Ubuntu installeren met versleutelde harde schijf

Herinstallatie met behoud van /home

Het handige aan een aparte /home partitie is dat u Ubuntu opnieuw kan installeren zonder al uw documenten en instellingen te verliezen of te moeten verhuizen. Herinstallatie met behoud van de /home is ook mogelijk indien u op voorgaande manier hebt geïnstalleerd, maar het vereist wat kunst en vliegwerk. De installatie ziet standaard uw versleutelde partitie immers als één blok en kan er -- buiten formatteren -- niets mee doen. Om te herinstalleren moeten we eerst manueel de partitie openen met de wachtwoordzin en de LVM volumes aankoppelen.

We hebben de Alternate installatie cd-rom nodig, momenteel bij voorkeur Ubuntu 8.04.1.

Installeren

Start op vanaf de Alternate cd en kies voor 'Installeer Ubuntu'. Doorloop de stappen tot u aankomt bij het indelen van de schijven. Kies hier nog niet voor handmatig, maar druk Alt+F2 en open de console met Enter.

We gaan nu met de hand de versleutelde partitie openen en de LVM volumes aankoppelen. Installeer en laad eerst de nodige modules:

anna-install crypto-modules cryptsetup-udeb
depmod -a
modprobe dm-mod
modprobe aes

Als u niet weet welke partitie versleuteld is kan de output van fdisk -l u op weg helpen, in dit geval is sda2 de versleutelde partitie. We ontgrendelen ze als volgt:

cryptsetup luksOpen /dev/sda2 sda2_crypt
> Enter LUKS passphrase:
> key slot 0 unlocked.
> Command succesful.

Om de LVM volumegroep te weten te komen kan de output van lvdisplay uitkomst bieden. In dit geval is de volumegroep 'vg0'.

lvdisplay | grep "LV Name"
>  LV Name                 /dev/vg0/swap
>  LV Name                 /dev/vg0/root
>  LV Name                 /dev/vg0/home

Open de LVM volumes (vervang 'vg0' door jouw volume groep):

vgchange -a y vg0
>  3 logical volume(s) in volume group "vg0" now active

Sluit de console met exit en keer terug naar de installatie met Alt+F1. Druk op ESC, u krijgt een overzicht van de stappen in de installatie. Keer terug naar 'Schijven detecteren'.

Nu worden de versleutelde partitie en de logische volumes wel herkend, ze verschijnen dan ook in het partitie-overzicht. Duid de opstartpartitie aan en formatteer ze als ext3 voor gebruik als /boot:

Ook de swap moet ingesteld worden:

En tot slot het basisbestandssysteem waar het nieuwe systeem geïnstalleerd zal worden:

De /home partitie laten we voorlopig voor wat ze is aangezien de installatie geen andere optie biedt dan ze te formatteren, hetgeen we juist willen vermijden. We zullen ze later manueel moeten koppelen. We zijn klaar met partitioneren; sluit de schijfindeling af en schrijf de wijzigingen weg. Bevestig met 'Ja'.

Het systeem wordt nu geïnstalleerd. Doorloop de verdere stappen en start na afloop de computer opnieuw op.

Repareren

U zal merken dat het systeem niet wil starten. Er moeten nog enkele bestanden aangepast worden om Ubuntu toe te laten uw versleutelde partitie en volumes aan te koppelen. Start daarom opnieuw op van dezelfde Alternate cd-rom en kies voor 'Repareer een gebroken systeem'.

Doorloop de stappen tot u naar de wachtwoordzin van uw versleutelde partitie gevraagd wordt. Ik heb geen goede ervaringen met de automatische reddingsmodus die wordt aangeboden, dus we gaan die niet gebruiken en alles met de hand doen. Schakel daarom over naar de console via Alt+F2 en druk Enter om ze te activeren.

We gaan nu weer de versleutelde partitie openen en de volumes aankoppelen om vervolgens wat aanpassingen aan het systeem aan te brengen. Installeer en laad eerst de nodige modules:

anna-install crypto-modules cryptsetup-udeb
depmod -a
modprobe dm-mod
modprobe aes

Ontgrendel de versleutelde ruimte:

cryptsetup luksOpen /dev/sda2 sda2_crypt
> Enter LUKS passphrase:
> key slot 0 unlocked.
> Command succesful.

Open de LVM volumes (vervang 'vg0' door jouw volume groep):

vgchange -a y vg0
>  3 logical volume(s) in volume group "vg0" now active

Koppel alle bestandssystemen aan (pas aan naargelang de situatie, /dev/sda1 is de opstartpartitie):

mkdir /target
mount /dev/vg0/root /target
mount /dev/vg0/home /target/home
mount /dev/sda1 /target/boot
mount proc /target/proc -t proc
mount sysfs /target/sys -t sysfs

Zoek de UUID's van de versleutelde partitie en het 'home' volume en noteer ze.

/target/sbin/vol_id --uuid /dev/sda2
> 43be0a6e-ee1f-416f-bf2e-3244a6d00ff3

/target/sbin/vol_id --uuid /dev/mapper/vg0-home
> 8dc4a10a-98c3-4442-b835-f13af5e0c176

Schakel nu over van de live cd naar de eigenlijke installatie die u net aangekoppeld hebt met chroot (Change root).

chroot /target

Zo, nu zitten we in het geïnstalleerde systeem. We beginnen met het aanpassen van /etc/crypttab. We voegen een regel toe voor de versleutelde partitie; vervang sda2 door de naam van uw versleutelde partitie en de UUID door degene die u zopas noteerde. U zou ongeveer zoiets moeten bekomen:

cat /etc/crypttab
> # <target name> <source device>       <key file>    <options>
> sda2_crypt /dev/disk/by-uuid/43be0a6e-ee1f-416f-bf2e-3244a6d00ff3 none luks

Maak het opstartarchief opnieuw aan:

update-initramfs -u
> update-initramfs: Generating /boot/initrd.img-2.6.24-19-generic

We voegen nu een regel toe aan /etc/fstab om de /home partitie aan te koppelen. Vervang de UUID door degene die u eerder noteerde.

#/dev/mapper/vg0-home
UUID=8dc4a10a-98c3-4442-b835-f13af5e0c176 /home           ext3    relatime        0       2

Verlaat de chroot omgeving en ontkoppel de volumes en partities:

exit
umount /target/boot
umount /target/home
umount /target/proc
umount /target/sys
umount /target/

Herstart tenslotte de computer:

reboot

Als alles goed verlopen is zou u nu terug een werkend systeem moeten hebben: een nieuwe installatie met uw oude, vertrouwde documenten en instellingen in uw /home partitie.