Глава 2B. Установка операционной системы на зашифрованный внутренний раздел жесткого диска с помощью загрузочного ключа USB-накопителя
Как было сказано ранее, если у вас есть какие-то важные файлы, вы можете их потерять, пожалуйста, создайте резервную копию перед началом этого процесса, если вы еще этого не сделали.Хотя маловероятно, что произойдет что-то плохое, так как вы будете изменять размер существующего раздела на вашем жестком диске, все же есть вероятность потери данных. С этими наставлениями, давайте начнем.
1. Когда будет предложено выбрать “Partitioning method”(Способ разбиения на разделы). Выберите “Manual”(Настроить) и нажмите “Enter”.
2. Во-первых, вам нужно подготовить USB-накопитель для использования в качестве загрузочного диска, а также сделать заметку. На приведенном ниже изображении USB-накопитель, который я хочу использовать в качестве загрузочного диска, подписан “SCSI1 (0,0,0) (sdc)” и внутренний жесткий диск, где будет установлена корневая система Debian “SCSI3 (0,0,0) (sda)”. Особое значение имеет имя устройства флэш-накопителя, который будет вашим загрузочным диском. В приведенном ниже примере это “sdc”. Однако, на вашем компьютере названия могут быть другими. Запишите имя устройства USB-накопителя для дальнейшего использования. Оно пригодится позднее.Выберите USB-накопитель, который вы хотите использовать в качестве загрузочного диска, и нажмите “enter”.
ПРИМЕЧАНИЕ: Если вы устанавливаете Debian с загрузочного USB-накопителя, вы должны использовать USB-накопитель, отличный от установочного диска Debian. В противном случае, если вы попытаетесь установить Debian на установочный диск Debian, процесс установки в конечном итоге завершится неудачно.
3. В появившемся окне выберите “yes” и нажмите “enter”.
4. На следующем экране вы увидите пункт с надписью “FREE SPACE”(СВОБОДНОЕ МЕСТО). Выберите его и нажмите “Enter”.
5. На следующем экране выберите “Create a new partition”(Создать новый раздел) и нажмите “Enter”.
6. На следующем экране вам будет предложено выбрать новый размер раздела. Вы можете принять то, что уже выбрано установщиком. Просто нажмите “Enter” для продолжения.
7. На следующем экране вам предлагается выбрать “Type for the new partition”(Тип нового раздела). Выберите “Primary”(Первичный) и нажмите “Enter”.
8. Следующий экран предназначен для выбора настроек вашего раздела. Здесь есть много вариантов. Однако на этом этапе вам нужно обратить внимание на один пункт. Вам нужно изменить mount point на “/boot”. Итак, выберите «Mount point» и нажмите «Enter».
9. Наследующемэкраневыберите “/boot – static files of the boot loader” инажмите “Enter”.
10. На следующем экране выберите “Done setting up the partition”(Завершить настройку раздела) и нажмите “Enter”.
11. На следующем шаге вы начнете процесс изменения размера раздела на вашем внутреннем жестком диске, и вы сможете создать зашифрованный раздел для операционной системы Debian. В этом уроке внутренний жесткий диск это “sda”. На вашем компьютере имя вашего внутреннего жесткого диска может быть другим. Возможно, у вас уже есть несколько разделов, расположенных в “sda”. Выберите самый большой и уменьшите его на размер, который вы хотите выделить для Debian. Однако перед этим,убедитесь, что на диске достаточно свободного места, чтобы уменьшить его. Выберите диск для изменения размера и нажмите “Enter”.
12. На следующем экране выберите пункт “Resize the partition”(Изменить размер раздела) и нажмите “Enter”.
13. На следующем экране выберите “Yes” и нажмите “Enter.”
14. На следующем экране вам будет предложено ввести размер нового раздела. Для ваших целей будет достаточно 32 гигабайта. Однако, если вы хотите больше места — можете выделить больше. В приведенном ниже примере выбрано 32 гигабайта для нашего зашифрованного диска для операционной системы. Поскольку максимальный размер диска в этом примере составляет 124,8 ГБ, вычитание 32 ГБ дает 92,8 ГБ. Посчитайте что вы должны ввести в поле для нового размера раздела, и нажмите “Enter” когда закончите. Этот процесс может занять некоторое время.
15. На следующем экране вы увидите новый пункт с надписью “FREE SPACE”(СВОБОДНОЕ МЕСТО) под (sda) с размером, выбранным для вашего зашифрованного диска. Выберите его и нажмите “Enter”.
16. На следующем экране выберите “Create a new partition”(Создать новый раздел) и нажмите “Enter”.
17. На следующем экране будет выбран максимальный размер для диска. Нажмите “Enter” для продолжения.
18. На следующем экране выберите “Logical” и нажмите “Enter”.
19. На следующем экране нам нужно настроить этот раздел для шифрования. Выберите пункт “Use as: Ext4 journaling file system”(Использовать как: файловая система Ext4) и нажмите “Enter”.
20. На следующем экране выберите “physical volume for encryption”(физический том для шифрования) и нажмите “Enter”.
21. Этот шаг является необязательным. На следующем экране есть опция “Erase data”(Удалить данные) которая по умолчанию установлена на “yes”. Если вы решите стереть данные, установщик перезапишет весь раздел псевдослучайными данными. Если вам нужна максимальная безопасность, то это мудрый шаг, поскольку для тех, кто завладеет вашим жестким диском, будет еще труднее дешифровать его. Однако этот процесс может занять очень много времени. Чтобы пропустить стирание данных, выберите “Erase data:”(Удалить данные) и нажмите “Enter”. Опция изменится на “no”. Если вы хотите стереть данные, пропустите этот шаг и перейдите к шагу 22.
22. На этом шаге выберите “Done setting up the partition”(Завершить настройку раздела) и нажмите “Enter”.
23. На следующем экране выберите “Configure encrypted volumes”(Настройка зашифрованных томов) и нажмите “Enter”.
24. На следующем экране выберите “Yes” и нажмите “Enter”.
25. На следующем экране выберите “Finish”(Закончить) и нажмите “Enter”.
26. Если вы выбрали “erase data”(стереть данные) при настройке зашифрованного раздела на шаге 21, вам снова будет задан вопрос, хотите ли вы стереть данные, тогда выберите “Yes” и нажмите “Enter”. Этот процесс может занять несколько часов. Если вы не выбирали "стирать данные", этот экран не появится, и вы можете перейти к шагу 27.
27. На следующем экране вам будет предложено ввести кодовую фразу для шифрования. Крайне важно, чтобы вы выбрали очень надежную кодовую фразу! В противном случае шифрование вашего жесткого диска будет просто пустой тратой времени!Как было сказано ранее в шаге 13 главы 1D, пароль из 8 символов слишком слаб для кодовой фразы. Поскольку установщик Debian использует программу cryptsetup и систему шифрования LUKS, то последующий выбор сложности пароля предоставляется разработчиком.
“Во-первых, длина кодовой фразы не является действительно правильной мерой, более правильная это энтропия кодовой фразы. Например, случайная строчная буква (a-z) дает вам 4,7 бит энтропии, один элемент a-z0-9 дает вам 5,2 бита энтропии, элемент a-zA-Z0-9 дает вам 5.9 бита и a-zA-Z0-9!@#$%^&:-+ дает вам 6,2 бит. С другой стороны, случайное английское слово дает только 0,6 ... 1,3 бита энтропии на символ. Использование предложений, которые имеют смысл, дает более низкую энтропию, ряд случайных слов дает более высокую энтропию. Не используйте предложения, которые могут быть привязаны к вам или найдены на вашем компьютере. Сегодня этот тип нападения не сложно реализовать. Чтобы получить разумную безопасность в течение следующих 10 лет, целесообразно переоценить коэффициент как минимум в 1000 раз.
Тогда возникает вопрос, сколько нападающий готов потратить. Это зависит от вашей собственной оценки безопасности. В основном я предполагаю, что злоумышленник готов потратить до 1 миллиона EUR/USD. Тогда мы получим следующие рекомендации:
LUKS: Использует > 65 bit. Это например 14 случайных символов из a-z или случайное английское предложение > 108 символов.
Если параноик, добавь не менее 20 бит. Это примерно четыре дополнительных символа для случайных символов и примерно 32 символа для произвольного предложения на английском языке“ https://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions#5._Security_Aspects
Не в настроении заниматься математикой? Урок, который нужно усвоить, состоит в том, что длина, случайность и бессмыслица имеют значение. Они дадут больше энтропии. Есть много трюков, которые люди используют, чтобы придумать бессмысленную кодовую фразу, которая запоминается. Например, вы могли бы использовать игру на любимой сюжетной линии из фильма, который вам понравится, в сочетании с датой, которую вы бы хотели запомнить “If My Calculations Are Proper, When This Baby Hits 88 Miles Per Hour, You're Going 2 See Some Serious Business! January-1-2013?”. Это очень надежный тип кодовой фразы, который имеет множество энтропии в объеме предложенном разработчиком cryptsetup.
Для дальнейшего обсуждения сильных кодовых фраз идите по ссылке https://www.grc.com/haystack.htm.
После того, как вы определились с надежной кодовой фразой, введите ее в поле “Encryption passphrase”(Кодовая фраза) и нажмите “Enter”. Помните, если вы забудете эту фразу, вы потеряете все на своем диске! Убедитесь, что вы запомнили фразу! Её нельзя будет восстановить!
28. На следующем экране еще раз введите кодовую фразу, чтобы подтвердить ее, и нажмите “Enter”.
29. На следующем экране выберите “Configure the Logical Volume Manager”(Настроить Менеджер логических томов) и нажмите “Enter”.
30. На следующем экране выберите “Yes” и нажмите “Enter”.
31. На следующем экране выберите “Create volume group”(Создать группу томов) и нажмите “Enter”.
32. На следующем экране вам будет предложено выбрать “Volume group name”(Название группы томов). Введите “vg” и нажмите “Enter”.
33. На следующем экране вам будет предложено выбрать устройства для новой группы томов. Вы хотите выбрать свой зашифрованный раздел. Он будет отображаться как
“/dev/mapper/НазваниеРазделаУстройства_crypt”. В приведенном ниже примере это
“/dev/mapper/sda5_crypt”. Выберите поле рядом с этой записью и нажмите пробел, чтобы включить его. Когда вы включите его, в поле появится “*”. Затем нажмите “Enter” для продолжения.
34. На следующем экране выберите “Create logical volume”(Создать логический том) и нажмите “Enter”.
35. На следующем экране нажмите “Enter” чтобы выбрать “vg” и продолжить.
36. На следующем экране вам будет предложено создать имя логического тома. Введите “root” и нажмите “Enter”.
37. На следующем экране вам будет предложено ввести размер логического тома. Если вы делаете это на компьютере с менее чем 2 гигабайтами оперативной памяти, вам необходимо создать swap-раздел соответствующего размера или система не будет работать!Если вам нужен swap-раздел, примерно 2 гигабайта будет достаточно (но вы можете выбрать меньший размер подкачки в зависимости от того, сколько ОЗУ находится на вашем компьютере). Вычтите 2 гигабайта из размера логического тома по умолчанию и введите размер для вашего логического тома. В приведенном ниже примере число будет изменено с “32044” на “30044”. После того, как вы ввели новый размер, нажмите Enter, чтобы продолжить.
Если вам не нужен swap-раздел, примите значение по умолчанию. Нажмите “Enter” и перейдите к шагу 42.
38. Вам нужно выполнить этот шаг, только если вам нужен раздел подкачки. Если вам не нужен swap-раздел, перейдите к шагу 42.Выберите “Create logical volume”(Создать логический том) и нажмите “Enter”.
39. Вам нужно выполнить этот шаг, только если вам нужен раздел подкачки. Если вам не нужен swap-раздел, перейдите к шагу 42.На следующем экране нажмите “Enter” чтобы выбрать “vg” и продолжить.
40. Вам нужно выполнить этот шаг, только если вам нужен раздел подкачки. Если вам не нужен swap-раздел, перейдите к шагу 42.На следующем экране вам будет предложено создать имя логического тома. Введите “swap1” и нажмите “Enter”.
41. Вам нужно выполнить этот шаг, только если вам нужен раздел подкачки. Если вам не нужен swap-раздел, перейдите к шагу 42.Затем, примите размер по умолчанию и нажмите “Enter”.
42. На следующем экране выберите “Finish”(Закончить) и нажмите “Enter”.
43. На следующем экране вы увидите новый пункт “LVM VG vg, LV root”. Выберите пункт прямо под ним и нажмите “Enter”.
44. На следующем экране выберите “Use as: do not use”(Использовать как: не использовать) и нажмите “Enter”.
45. На следующем экране выберите “Ext4 journaling file system”(Файловая система Ext4) и нажмите “Enter”.
46. На следующем экране выберите “Mount point: none” и нажмите “Enter”.
47. На следующем экране выберите “/ - the root file system” и нажмите “Enter”.
48. На следующем экране выберите “Done setting up the partition”(Закончить настройку раздела) и нажмите “Enter”.
49. Вам нужно выполнять этот шаг, если вы создавали логический том для раздела подкачки. Если вы не создавали логический том для swap-раздела, перейдите к шагу 53.Если вы создали логический том для подкачки, вы увидите новый пункт “LVM VG vg, LV swap1”. Выберите пункт прямо под ним и нажмите “Enter”.
50. Вам нужно выполнять этот шаг, если вы создавали логический том для раздела подкачки. Если вы не создавали логический том для swap-раздела, перейдите к шагу 53.На следующем экране выберите “Use as: do not use”(Использовать как: не использовать) и нажмите “Enter”.
51. Вам нужно выполнять этот шаг, если вы создавали логический том для раздела подкачки. Если вы не создавали логический том для swap-раздела, перейдите к шагу 53.На следующем экране выберите “swap area” и нажмите “Enter”.
52. Вам нужно выполнять этот шаг, если вы создавали логический том для раздела подкачки. Если вы не создавали логический том для swap-раздела, перейдите к шагу 53.На следующем экране выберите “Done setting up the partition”(Закончить настройку раздела) и нажмите “Enter”.
53. На следующем экране выберите “Finish partitioning and write changes to disk”(Завершить настройку и записать изменения на диск) и нажмите “Enter”.
54. Если вы решили, что вам не нужен раздел подкачки, следующий экран сообщит вам, что вы не выбрали раздел для подкачки и спросит, хотите ли вы вернуться в меню разделения. Выберите “No” и нажмите “Enter”.
55. Следующий экран спросит, хотите ли вы записать изменения на диск. Выберите “Yes” и нажмите “Enter”.
56. На следующем экране вы увидите индикатор выполнения установки “installing the base system”. Это может занять некоторое время. Далее вам будет предложено выбрать “Debian archive mirror country”(Зеркало архива Debian). По умолчанию будет выбрано местоположение выбранное ранее, выберите свой регион и нажмите “Enter”.
57. На следующем экране вам будет предложено выбрать сервер “Debian archive mirror”. Выберите нужный, и нажмите “Enter”.
58. На следующем экране вам будет предложено использовать прокси для доступа в Интернет. Если вы не знаете ответ на этот вопрос, то вам не нужно использовать прокси. Нажмите “Enter” для продолжения.
59. Далее установщик выполнит процесс настройки и установки различного программного обеспечения. На следующем экране вам будет предложено “Participate in the package usage survey”(Участвовать в опросе об использовании пакетов). Выберите “No” и нажмите “Enter”.
60. Установщик снова выполнит некоторые действия, пока не предложит вам “Choose software to install”(Выберите программное обеспечение для установки). Вы хотите установить “Debian Desktop Environment”(Рабочая среда Debian). Снимите выделение с других выбранных элементов, нажимая клавиши со стрелкой и пробел. Когда символ “*” исчезает, элемент не выбирается. Когда ваш экран выглядит как снимок экрана ниже, нажмите “Enter” для продолжения.
61. Теперь установщик начнет получать файлы, а затем установит их. Это займет много времени. В конце концов вас спросят, хотите ли вы “Install the GRUB boot loader to the master boot record”(Установить загрузчик GRUB в главную загрузочную запись). Снимок экрана ниже, вероятно, не будет выглядеть так же, как у вас, поскольку установщик, вероятно, обнаружит дополнительные операционные системы. Это не то, что нам нужно. Выберите “No” и нажмите “Enter”.
62. На следующем экране вам необходимо ввести “Device for boot loader installation”(Устройство для установки загрузчика). На шаге 2 этой главы вам было предписано записать имя устройства, которое было флеш-накопителем USB, на котором вы устанавливали Debian. Пример, который использовался в этом уроке, был “sdc”. Вам нужно ввести имя устройства для USB-накопителя. Однако перед именем должно быть “/dev/”. Таким образом, в этом руководстве, у меня будет “/dev/sdc”.
Вам необходимо ввести название вашего устройства в формате
“/dev/НазваниеВашегоУстройства” и нажать “Enter”.
63. Теперь установщик завершит процесс установки. В конце концов вам сообщат, что установка завершена. Извлеките Установочный Диск Debian и нажмите “Enter”.
64. Под конец установщик перезагрузит ваш компьютер. Когда компьютер перезагрузится, вам нужно снова войти в меню загрузки таким же образом, как вы делали в шаге 1 главы 1D. Когда вы войдете в меню загрузки, выберите USB-накопитель, на которой вы установили Debian. В конце концов, вам будет предложено выбрать способ загрузки. По умолчанию это будет Debian, и, таким образом, вы можете либо нажать “Enter”, либо дождаться окончания таймера. Приведенный ниже снимок экрана может выглядеть не так, как у вас. Но, это по сути одно и то же.
ПРИМЕЧАНИЕ: Если процесс установки занимает слишком много времени, вы можете выключить компьютер. Затем вы сможете продолжить с этого же места.
65. На следующем экране вам будет предложено “Enter passphrase”(Ввести кодовую фразу). Это кодовая фраза шифрования, созданная на шаге 27 этой главы. При вводе пароля вы не увидите никаких символов на экране. Хотя это может показаться странным, это сделано по соображениям безопасности. Кто-то, кто смотрит ваш экран, не сможет определить длину вашей кодовой фразы. Введите кодовую фразу и нажмите “Enter”.
66. Теперь Debian проведет процесс загрузки. В конце концов вы попадете в окно входа в систему. Когда вы дойдете до окна входа в систему, нажмите “Enter” или щелкните “user”.
67. На следующем экране вам будет предложено ввести пароль. Прежде чем вводить пароль, нажмите на раскрывающееся меню “System Default” и выберите “GNOME Classic”. Затем введите пароль, который вы создали для “user”, на шаге 13 главы 1D и нажмите “Enter”. Debian будет использовать “GNOME Classic” для любого другого входа, пока вы не выберите что-то другое.
68. Когда вы перейдете на рабочий стол Debian, нажмите Applications(Приложения) в верхнем правом углу, затем выберите “Accessories → Root Terminal”.
ПРИМЕЧАНИЕ: Всякий раз, когда вы используете эту команду,вы будете иметь полный root/административный доступ, пока не выйдете из сеанса. Таким образом, будьте крайне осторожны в этом сеансе, когда вы решите использовать эту команду. Изменения, вносимые Вами могут быть разрушительными и необратимыми, если вы сделаете что-то неправильно.
69. Затем вам будет предложено ввести пароль для выполнения административных задач. Это тот же пароль, который вы выбрали для “user” в шаге 13 главы 1D. Введите пароль и нажмите “OK”.
70. Теперь вы будете выполнять команды в командной строке как суперпользователь (он же 'root'). Сейчас вам нужно создать свой файл-ключ, для разблокировки жесткого диска в будущем. Введите в терминал следующую строку:
dd if=/dev/urandom of=/keyfile bs=512 count=16
Это создаст 8 килобайтный файл-ключ наполненный псевдослучайными данными. Когда процесс создания файла-ключа завершится, рядом появится курсор.
ПРИМЕЧАНИЕ:Если вы хотите использовать «копировать и вставить» для ввода команд в Debian Host OS, используйте “CTRL-SHIFT-V”.
71. Теперь когда ваш файл-ключ создан, вы можете отредактировать его (файл /etc/crypttab). Это файл, который сообщает Debian, как обрабатывать зашифрованные диски при загрузке. Введите “nano /etc/crypttab” в окне терминала.
72. Теперь вам нужно изменить строку в /etc/crypttab чтобы обработать ваш будущий зашифрованный файл-ключ. Когда вы откроете /etc/crypttab, вы увидите что-то такое:
Запишите информацию из секции “sda5_crypt”. “sda5” это имя устройства для зашифрованного жесткого диска. На вашем компьютере названия могут быть другими (например “sda6”). Вам понадобится эта информация в пунктах 73 и 84.
Переместите курсор в правую крайнюю сторону с помощью клавиш со стрелками, а затем сотрите “none luks” с помощью клавиши Backspace. Затем добавьте:
/boot/keyfile.gpg luks,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg
Одновременно нажмите клавиши “Control” и “X”. Когда будет предложено “Save modified buffer”(Сохранить модифицированные данные), введите “Y” и нажмите клавишу Enter.
Нажмите “Enter” припоявлениизапроса “File Name to Write: /etc/crypttab”.
73. Теперь вам нужно добавить файл ключа в цепочку ключей LUKS. Вам понадобится имя устройства для вашего зашифрованного жесткого диска, которое я советовал записать на шаге 72. В моем случае, это “sda5”. В терминале введите следующее и нажмите “Enter”:
cryptsetup luksAddKey /dev/НазваниеВашегоУстройства /keyfile
Когда будет предложено “Enter any passphrase”(Введите контрольную фразу), введите фразу-ключ, созданную для вашего зашифрованного жесткого диска, в шаге 27 этой главы и нажмите “Enter”. Если процесс прошел успешно, вы вернетесь в командную строку.
74. Теперь вам нужно зашифровать ваш файл-ключ с помощью программы “gpg”. Введите в командной строке следующую строку и нажмите “Enter”: gpg -c --cipher-algo AES256 /keyfile
Когда будет предложено “Enter passphrase”(Введите кодовую фразу), используйте ту же фразу-ключ, которую вы выбрали в шаге 27 этой главы, или создайте что-то новое, такое же длинное и случайное. Повторно введите фразу-ключ, чтобы подтвердить ее. Это теперь будет кодовая фраза, которую вы должны ввести при запуске Debian в будущем.
Если все прошло успешно, вы вернетесь в командную строку без сообщений об ошибке.
75. Затем введите “mv /keyfile.gpg /boot/keyfile.gpg” и нажмите “Enter”. Это переместит копию вашего зашифрованного файла-ключа на ваш загрузочный USB-накопитель, если вам это понадобится в будущем.
76. Теперь вам нужно обновить процесс загрузки, чтобы уже использовать зашифрованный файл-ключ. Введите “update-initramfs -u” и нажмите “Enter”. Если все пойдет хорошо, вы вернетесь в командную строку без сообщений об ошибках, и ваш экран будет похож на приведенный ниже снимок. Не беспокойтесь о сообщении “Warning: GnuPG key /boot/keyfile.gpg is copied to initramfs”(Предупреждение: ключ GnuPG /boot/keyfile.gpg копируется в initramfs). Это должно произойти.
77. Теперь пришло время перезагрузить компьютер. Нажмите “user” в правом верхнем углу рабочего стола и выберите “Shut Down”(Завершить работу).
В появившемся окне нажмите “Restart”(Перезапустить).
78. Когда компьютер перезагружается, вам нужно снова войти в меню загрузки таким же образом, как вы делали в шаге 1 главы 1D. Когда вы активируете меню загрузки, выберите USB-накопитель, на которой вы установили Debian. В конце концов, вам будет предложено выбрать способ загрузки. По умолчанию это будет Debian, и, таким образом, вы можете либо нажать “Enter”, либо дождаться окончания таймера.
79. В конце концов вам будет предложено ввести кодовую фразу. Введите кодовую фразу, которую вы выбрали на шаге 74 этой главы, и нажмите “Enter”.
80. Теперь будет происходить загрузка Debian. В конце концов вы попадете в окно входа в систему.
Когда вы дойдете до окна входа в систему, нажмите “Enter” или щелкните по “user”.
81. На следующем экране вам будет предложено ввести пароль. Введите пароль, который вы создали для “user”, на шаге 13 главы 1D и нажмите “Enter”.
82. Когда вы попадете на рабочий стол Debian, нажмите Applications(Приложения) в верхнем правом углу, затем выберите “Accessories → Root Terminal”.
ПРИМЕЧАНИЕ: Всякий раз, когда вы используете эту команду,вы будете иметь полный root/административный доступ, пока не выйдете из сеанса. Таким образом, будьте крайне осторожны в этом сеансе, когда вы решите использовать эту команду. Изменения, вносимые Вами могут быть разрушительными и необратимыми, если вы сделаете что-то неправильно.
83. Далее вам будет предложено ввести пароль для выполнения административных задач. Это тот же пароль, который вы выбрали для “user” в шаге 13 главы 1D. Введите пароль и нажмите “OK”.
84. Затем вам нужно удалить начальную фразу, созданную для вашего зашифрованного раздела жесткого диска, в шаге 27 этой главы. Система шифрования LUKS использует так называемый брелок. На данный момент у вас есть два ключа в брелке: один, содержащий фразу, которую вы выбрали при установке Debian на шаге 27 этой главы, и один, содержащий файл ключа, который вы создали и добавили в брелок на шагах 67-73 этой главы.
Удаление кодовой фразы, созданной на шаге 27, сделает так, чтобы ваш файл-ключ был единственным средством для разблокировки вашего зашифрованного жесткого диска. Это обеспечивает надежную защиту, поскольку вы никогда не узнаете содержимое файла-ключа. Маловероятно, что вы можете запомнить 4096 байт случайных символов. Таким образом, если вы потеряли или уничтожили загрузочный ключ флэш-накопителя USB, данные на вашем жестком диске нельзя будет восстановить. Вам понадобится имя устройства для вашего зашифрованного жесткого диска, которое я советовал записать на шаге 72. В моем случае, это “sda5”. Введите следующую команду и нажмите “Enter”:
cryptsetup luksKillSlot /dev/НазваниеВашегоУстройства 0 --key-file /keyfile
Если процесс завершился успешно, вы вернетесь в командную строку без сообщений об ошибке.
85. Теперь пришло время безопасно удалить незашифрованный файл-ключ со своего жесткого диска. Это дополнительно минимизирует риск того, что потенциальный злоумышленник сможет его обнаружить. Если вам когда-либо понадобится доступ к вашему незашифрованному файлу-ключу в будущем, помните, что у вас есть его зашифрованная версия, хранящаяся в вашем загрузочном ключе, как “keyfile.gpg”. Введите “shred -n 30 -uvz /keyfile” и нажмите “Enter”. Когда команда будет выполнена, наберите “exit” и нажмите клавишу “Enter”, или нажмите “x” в верхнем правом углу, чтобы закрыть окно.
Поздравляем! Вы завершили длительный процесс установки Debian на зашифрованный жесткий диск с помощью безопасного USB-ключа для загрузки. Перейдите к следующему разделу, посвященному заключительным этапам установки Debian и Whonix.