Truecrypt - szyfrowanie partycji z systemem.

[davj]

Witam,
Mam na dysku XP i Ubuntu i chciałbym zaszyfrować XP, z tym że jest on na partycji rozruchowej i nie jestem pewny czy truecrypt zaszyfruje mi też bootloader'a. W sumie to truecrypt dodaje coś do bootloadera, a nie szyfruje go i zastanawiam się czy Ubuntu w bootloaderze mu jakoś przeszkadza albo czy uszkodzi uruchamianie Ubuntu? XP mam na partycji primary boot pierwszej, a Ubuntu na primary drugiej w kolejności. Co się stanie po zaszyfrowaniu XP. Sprawdziłem już, że żeby truecrypt mógł zaszyfrować partycję z systemem to system ten musi być na partycji startowej, więc zrobienie małej partycji rozruchowej przed XP odpada.

[valdi74]

Cześć,
Jeśli się nie mylę, to szyfrowanie XP nadpisze Ci MBR. Ja bym to zrobił zrobił tak:
1) Zrób kopię MBR, np. w pliku /boot/ubuntu.mbr
2) Zaszyfruj XP, zapewne nadpisze Ci to MBR i tylko XP będzie się uruchamiało
3) Uruchom Ubuntu z LiveCD i zrób kopię MBR, np. w pliku /boot/xp.mbr
4) Będąc nadal w LiveCD odtwórz kopię MBR z p.1)
5) Dodaj taki wpis do GRUB:

Kod: Zaznacz cały

title Windows
rootnoverify (hd0,0)
makeactive
chainloader (hd0,1)/boot/xp.mbr
boot

Zakładam, że XP jest na (hd0,0) a Ubuntu na (hd0,1) i nie masz osobnej partycji /boot. Po restarcie powinien pokazać się GRUB i po wybraniu "Windows" zaczytać się bootloader od TC pytając o hasło.
Można też przy szyfrowaniu w TC wybrać opcję kilku systemów operacyjnych, ale nie testowałem tego nigdy.
No i jak zwykle przy takich operacjach - zrób wcześniej kopię istotnych danych

[davj]

Troche czasu minęło, ale sprawdziłem kilka rzeczy. Nie ma możliwości szyfrowania Windowsa jeżeli grub zastąpił windowsowy loader. Żeby Truecrypt to zrobił musi być Windowsowy loader w MBR. Konfiguracja jaka powinna zadziałaś to loader windowsowy i Grub na partycji linuxa i tylko wpis w boot.ini do Gruba. Oczywiście musi być też plik rozruchowy dla Gruba na partycji z Windowsem, ale to nie przeszkadza. Jak to zrobić jest tu: https://help.ubuntu.com/community/Recov ... ingWindows - część Preserving Windows Bootloader i moje uwagi do tego help'a viewtopic.php?t=114736

[valdi74]

Nie ma możliwości szyfrowania Windowsa jeżeli grub zastąpił windowsowy loader.

To zapraszam do mnie do obejrzenia takiego rozwiązania

Żeby Truecrypt to zrobił musi być Windowsowy loader w MBR

Dla samego zaszyfrowania może i tak, ale po zaszyfrowaniu można już się pobawić i startować system z GRUBa.

Natomiast problem pojawia się w przypadku GRUB2 (stosowanego domyślnie od 9.10), który niestety zajmuje nie tylko miejsce w MBR ale i za nim, nadpisując dane programu ładującego TC. Niestety nie udało mi się póki co znaleźć innego rozwiązania poza używaniem TC Rescue CD do uruchamiania szyfrowanego systemu. Na szczęście robię to bardzo rzadko. Z drugiej strony to dodatkowo podnosi poziom bezpieczeństwa, ponieważ na HDD nie ma bootloadera TC.

[davj]

To zapraszam do mnie do obejrzenia takiego rozwiązania

Zgoda Z tym, że pisałem to co podpowiada TrueCrypt w trakcie szyfrowania.

Ogólnie mam już zaszyfrowany Windows XP. Oto kilka wskazówek zgodnie z zaleceniami TrueCrypt:
1. Windows XP musi być na partycji rozruchowej dysku.
2. Jeżeli mamy Ubuntu lub inny Linux na komputerze to TrueCrypt nie zezwala na zastąpienie loadera windowsowego poprzez inny loader, bo poprostu również szyfrowany jest dostęp to windowsowego loadera.
3. Mając Linux na innej partycji trzeba zainstalować Grub na partycji z linuxem lub zrobić partycję /boot, dodać na partycję windowsową obraz bootloadera linuxa linux.bin i zrobić wpis w boot.ini w postaci

Kod: Zaznacz cały

c:\linux.bin="Linux"

wówczas mamy gruba starowanego z loadera windowsa poprzez linux.bin. Dla takiej konfiguracji, podczas wybierania opcji w truecrypt należy wybrać że na kompie jest jeden system operacyjny. Z punktu widzenia uruchamiania linuxa to nic nie zmienia, linux będzie uruchomiony po rozruchu loadera win i wyborze opcji z boot.ini...
4. ... lub podczas weryfikacji (hasło) truecrypt, przyciskamy Esc i co ciekawe truecrypt przeszukuje dysk w poszukiwaniu innych bootowalnych partyci i odnajduje Gruba i uruchamia go. Czyli ogólnie są dwie opcje, 1. uruchomienie linuxa z poziomu zaszyfrowanego loadera windowsa lub 2. z pominięciem go. Wniosek też jest taki, że w opcjach truecrypt możnaby wybrać, że jest więcej systemów na komputerze, ale loader windowsa nie jest nadpisany wówczas efekt powinien być taki jak opcja 2, czyli pominiecie loadera windowsa i szukanie innych. Także kluczowe jest, aby Grub zainstalowany był przy linuxie lub na oddzielnej partycji zamontowanej jako /boot, która nie jest partcją bootowalną dysku (to chyba jest możliwe - nie testowałem).


valdi74, uwagi do Twoich rozwiązań:

Jeśli się nie mylę, to szyfrowanie XP nadpisze Ci MBR.

Nie nadpisze, tylko doda swój krok rozruchowy na początku i zaszyfruje go. TrueCrypt nie ruszy, gdy w opcjach szyfrowania wybierzesz że jest Grub, a to zakładasz że Grub jest w MBR. Gdyby wybrać że nie ma Gruba a faktycznie był to kto wie co się stanie.

Po restarcie powinien pokazać się GRUB i po wybraniu "Windows" zaczytać się bootloader od TC pytając o hasło.

Tak się raczej nie stanie ze względu na to, że Truecrypt nie zaszyfruje nic jak jest Grub w MBR.

Może bardziej szczegółowo opisz swój sposób, jeżeli tak zrobiłeś.

[valdi74]

Robiłem to w opcji "ukryty system operacyjny". Po kolei:
1) Zainstalowałem Ubuntu (np. na sda3)
2) Wykonałem kopię MBR (GRUBa)
3) Zainstalowałem XP na sda1 (MBR został nadpisany przez XP)
4) Zaszyfrowałem XP, trafił na sda2, sda1 został wymazany (MBR został nadpisany przez TC)
5) Uruchomiłem Ubuntu LiveCD i wykonałem kopię MBR (TC)
6) W tej samej sesji LiveCD odtworzyłem kopię MBR z p. 2)
7) Dodałem wpis do GRUBa jak w pierwszym moim poście (partycje inne oczywiście), czyli chainloader i ścieżka do MBR z p. 5)

Dodam, że nie jest to optymalna kolejność (łatwiej na początku instalować XP), ale akurat tak mi pasowało.

Po tych zabiegach uruchamia się najpierw GRUB z Ubuntu i ma opcję Windows, która ładuje loader TC i umożliwia wpisanie hasła. Pominąłem tworzenie systemu wabika w p. 4a), ale to nic nie zmienia z punktu widzenia zapisów w MBR.

[kodama]

Ja przykładowo zrobiłem u siebie tak (xp oraz U8.10):
1)Instalacja xp na sda1 partycji + szyfrowanie całej partycji - przy starcie wyskakuje TC z prośbą o hasło
2)Na sda2 jest partycja / (nie szyfrowana) na sda3 jest /home (szyfrowany - dm). Tutaj lekka 'niedogodność' - ubu nie pyta gdzie wrzucić gruba - domyślnie załadował go na początek dysku (sda1) i nadpisał TC, no ale problem żaden przecież - wbijamy do ubuntu i przeinstalowujemy gruba na sda2.
3)Odpalamy komputer z TrueCrypt Rescue Disk i nadpisujemy gruba na początku dysku.
Voila :] Startujemy komputer - chcemy do xp? Podajemy hasło i jazda, chcemy do ubuntu? Wciskamy ESC i ładuje się grub - po czym za chwilkę wyskakuje komunikat o podanie hasła do /home. Nice and slow - obydwa systemy szyfrowane, pięknie jest :]

EDIT: a ja mam jeszcze jedną zagadkę - zdarzyło mi się parę razy takie coś, że 'uwaliłem' gruba. Teoretycznie później trzeba uruchomić komputer z live cd i zrobić 'sztuczki' z grubem. No tylko, że wtedy kiedy wpisuję w konsoli grub dostaję komunikat, że gruba nie znaleziono...

[davj]

na sda3 jest /home (szyfrowany - dm).

Czyli czym?

[kodama]

Sorry, mój błąd, chodzi oczywiście o LUKSa nie dm (device mapper). Masz to do wyboru kiedy np. odpalisz instalację z minimal cd. Przy partycjonowaniu dysku jest opcja, żeby użyć partycji jako woluminu szyfrowanego.