Olá, pessoal. Sou iniciante no Linux. Já testei algumas distros como Ubuntu e Mint, mas sempre me frustrava com algo e desistia.
Decidi migrar de vez do Windows pro Zorin OS, que achei muito bom. Porém estou quase desistindo novamente pois não consigo realizar uma tarefa que no Windows é bem simples com o Bitlocker.
Instalei o sistema no SSD de 128GB e tenho um HD com 1TB. Aqui começa o problema. Se eu optar por instalar o sistema com o particionamento avançado, ele não permite criptografar nenhuma unidade. Se eu instalar de forma nativa, ele permite criptografar a unidade do sistema. Depois de instalado, eu consigo criptografar o HD de 1TB pelo próprio app Discos com o Luks, mas mesmo desbloqueado, não consigo mover a pasta home com os tutoriais que vi, pois a unidade está criptografada. Consigo mover a pasta /home se a unidade estiver sem criptografia.
Queria saber, é isso mesmo? Ou eu movo meus arquivos pro HD e fico sem proteção ou sou obrigado a usar a mesma unidade do sistema? Pesquisei bastante sobre isso mas não achei uma solução. Postar aqui é minha última tentativa antes de desistir e (infelizmente) voltar pro Windows.
Olá, @Victor_Melo. Bem-vindo ao Diolinux Plus!
Qual erro aparece quando você tenta copiar os arquivos para a unidade criptografada? Se puder anexar a saída do terminal ou uma captura de tela…
Que chato que tem essa limitação do instalador…
Bem, como o instalador não deixa, fazer a criptografia de uma partição que será montada ao iniciar o sistema é um tanto complicado. Os passos a grosso modo são :
- Criptografar a unidade: que felizmente vc já conseguiu
- Carregar o módulo de criptografia
cryptna initramfs: instruções dependem se sua distro usadracutoumkinitcpio - Configurar um arquivo com as instruções de quais partições estão criptografadas:
/etc/crypttab - Editar o
/etc/fstabcom a informação da home criptografada. Recomendo primeiro fazer os outros passos, reinicializar até conseguir descriptografar a unidade na inicialização, conferindo as unidades em/dev/mapper. - Caso tenha mais dúvidas, não hesite em perguntar aqui ou para sua IA favorita.
O ideal é que o instalador estivesse preparado para essa situação. Diferentes distribuições possuem diferentes instaladores, é possível que outra distribuição consiga fazer a instalação já do jeito que vc quer, embora eu não saiba qual faça isso. Tente o openSuse, ele tem um instalador bem potente.
Uma vez que consiga configurar o home criptografado, tenha o cuidado de configurar a partição /tmp somente em memória, evitando que informação temporária salva em disco fique acessível mesmo após o desligamento do computador.
Não tenho como mandar print agora, mas segui esse tutorial e tudo dá certo… Se a unidade não estiver criptografada. Mas dá alguma mensagem que não é possível continuar por conta desse motivo.
Cara, eu já segui tantos tutoriais e nenhum funciona no Zorin OS. Eu vou testar isso em alguma máquina virtual e ver se consigo com alguma distro mais “amigável” pra quem saiu do Windows, como a Element OS. Ubuntu me deu muita dor de cabeça nessa nova versão, muita coisa quebrada e quebrando. É um parto. Gostei muito do Zorin mas não dá pra ficar desprotegido pois uso o notebook fora de casa também. Mas muito obrigado pela ajuda! Se eu achar uma solução, volto no post pra tentar ajudar quem esteja passando pelo mesmo problema.
Um adendo: Usei o Chat-GPT pra uns tutoriais, vi vídeos em inglês e português, e nada funcionou de forma a resolver esse problema. A /home é tranquila demais de mover, mas a encriptação me impede disso. Também não tenho como mover a home e criptografar depois pois a encriptação formata a unidade e, pelo menos o Zorin, quebra.
Ok, eu dei uma olhada no link que você colocou, mas como não sei exatamente em qual ponto você está tendo a falha, tentei reproduzir o cenário aqui em uma máquina virtual. E consegui fazer funcionar. Vou tentar colocar um passo a passo do que eu fiz:
- Instale o Zorin OS normalmente, usando a opçãp “Apagar o disco inteiro e instalar o Zorin OS”. Aí você marca a opção para criptografar o disco e seleciona o disco desejado, onde irá instalar o sistema.
- Depois de instalado o sistema, entre no GNOME Disks, selecione o disco no qual você deseja colocar a
/homee crie uma nova tabela de partições, clicando nos 3 pontinhos no canto superior direito, e depois na opção “Formatar disco”:
- Em seguida, será necessário criar uma partição, clicando no botão (+), com o disco selecionado. Selecione o sistema de arquivos Ext4 e marque a opção “Proteger o volume com senha (LUKS)”.
- Nesse ponto, o GNOME Disks mostrará visualmente dois “blocos” no seu HD, como na imagem anexada a seguir. O bloco de cima é a partição “física” que foi criada, que no seu caso deve aparecer com um nome como
/dev/sdb1. O bloco de baixo é o sistema de arquivos Ext4 criptografado, que você irá posteriormente montar em/home.
Agora você precisa anotar duas informações: (1) O UUID da partição/dev/sdX1(nesse caso, selecione o bloco de cima e copie o UUID), e (2) o “nome de dispositivo” do sistema de arquivos Ext4 criado (selecione o bloco de baixo e copie o nome que deve se parecer com/dev/mapper/luks-xxxxx-xxxx-xxx). - Monte o sistema de arquivos
/dev/mapper/luks-xxxxx-xxxx-xxxem/mnte siga as instruções daquele tutorial para copiar os arquivos da sua home para o novo local. - Edite o arquivo
/etc/fstabe adicione a linha abaixo para montar o sistema de arquivos na/homeautomaticamente durante a inicialização (substitua com o nome correto do sistema de arquivos):
/dev/mapper/luks-xxxxx-xxxx-xxx /home ext4 errors=remount-ro 0 1 - Edite o arquivo
/etc/crypttabe adicione a linha abaixo para descriptografar o sistema de arquivos durante a inicialização:
luks-xxxxx-xxxx-xxx UUID=xxxxx-xxxx-xxx none luks,discard(substitua com as informações que você copiou no passo 4).
É isso, se tiver alguma dúvida, não hesite em perguntar.
Algumas considerações importantes:
- Faça backup dos seus arquivos antes.
- Antes de editar esses dois arquivos de configuração mencionados acima, crie cópias deles, por exemplo, salve o
/etc/fstabem/etc/fstab.bkp, e o mesmo com o outro arquivo. - Faça o procedimento com bastante atenção.
- Tenha um pendrive de recuperação pronto para caso algo dê errado.
Obrigado! Vou tentar em uma máquina virtual também e digo se consegui. No momento, voltei pro Windows. Quando tiver disposto a passar por todo esse processo, se depois da sua dica dar certo, eu tento novamente.
Cara, fiz agora a instalação em máquina virtual e dá sim para fazer a instalação com a home criptografada em um outro HD. A questão é que o ponto de montagem vc define no dispositivo criptografado que foi criado, não na partição em disco. Os passos são:
- Criar partições no disco de sistema. No meu caso com instalação UEFI criei a partição especial efi (700 MB) e a partição raiz (35 GB)
- Criar partições no segundo disco. Criei apenas uma partição e marquei como espaço criptografado.
- Após isso, o instalador faz os paranauê e aparece um novo dispositivo virtual em
/dev/mapper, que é a partição descriptografada. Nessa partição vc altera e marca como ponto de montagem/home - Faça a instalação e tudo vai ficar do seu agrado.
Segue abaixo o vídeo que eu fiz só dessa parte:
Eu apanhei aqui uma hora até descobrir, mas depois que sabe fica fácil!
Vou tentar essa abordagem e dou um retorno! Obrigado.
Cara, muito bom o vídeo, muito obrigado! Só tem um problema: Não mostra como criptografar a pasta raiz /, como quando você escolhe a opção “Apagar disco e instalar o Zorin OS” com a opção “recursos avançados”. No particionamento manual, não tem como criptografar a partição e por como /. Então, eu tenho que escolher uma ou outra, mas nunca as duas. A não sei que haja outra forma e eu não tenha conseguido visualizar. Depois de instalado, como falei, não dá pra criptografar a unidade e mover a home, nem tentei nesse caso pois não deu pra criptografar a pasta do sistema.
Entendi. No meu notebook eu não criptografo a partição raiz, afinal ela não tem dados além dos disponíveis nos pacotes. Só o cuidado é que não dá pra usar swap e nem arquivos temporários no sistema raiz.
Fazer a criptografia em várias partições tem a parte chata que vc vai precisar entrar duas ou mais vezes com a senha durante a inicialização. Vou dar uma olhada no que ele faz quando usa a opção de disco inteiro.
Como sou leigo, deixa eu aproveitar e tirar uma dúvida: Se eu não criptografar a unidade do sistema, existe a chance de, em caso de furto/roubo, conseguirem acessar meus dados, por exemplo, os dados do navegador, senhas e etc ou outras informações sensíveis? Porque se eu estiver seguro quanto a isso, criptografar a /home já seria suficiente.
@Victor_Melo Respondendo à sua pergunta:
As chances de isso acontecer são mínimas, pois geralmente, conforme você usar seu computador, os dados pessoais ficarão armazenados dentro da sua pasta pessoal, em /home/seuusuario.
Apesar disso, existem pastas de cache que podem armazenar arquivos temporários no sistema, não necessariamente contendo informações pessoais suas, como, por exemplo, /tmp (essa pasta normalmente usa um sistema de arquivos temporário armazenado na memória RAM, e todo o conteúdo é deletado ao reiniciar o computador, mas em algumas distros ela ainda fica na partição raiz, então não dá para garantir que sempre os arquivos dessa pasta serão apagados). Tem também o diretório /var/cache, normalmente armazena caches do sistema e dos pacotes baixados pelo APT. E tem os diretórios de log, em /var/log.
Enfim, não há tanto com o que se preocupar em deixar a raiz criptografada. Mas se você realmente estiver preocupado com isso e quiser garantir a segurança, então criptografe a raiz.
Nos testes que eu fiz, criptografando tanto a partição raiz quanto a partição home, ele pediu a senha apenas uma vez para descriptografar ambas as partições. Isso porque eu utilizei a mesma senha de criptografia para as duas partições. Se escolher uma senha diferente, então ele vai pedir a senha duas vezes.
Perfeitas as colocações do colega Thiago12! O vazamento de informações na pasta /tmp é realmente um perigo, afinal os arquivos vão estar ali “dando sopa”. Os demais (e inclua aqui a swap não criptografada) é um segundo nível, onde precisará de análise forense para encontrar arquivos, ou seja, de alguém com conhecimentos avançados.
Se vc for criptografar o raiz, precisa ter uma partição /boot que não é criptografada, senão o grub não pode ser carregado facilmente (teria que carregar módulos de descriptografia no grub, coisa avançada que não tem no instalador). O instalador dá esse aviso, então crie uma partição com 2G e marque como /boot.
O instalador só suporta um dispositivo criptografado, então não dá para fazer a criptografia em duas ou mais partições. Mesmo que se coloque uma segunda partição como “volume físico a ser criptografado”, o instalador vai “esquecer” da primeira e vai travar a instalação. É bug/limitação do próprio instalador.
Basicamente a melhor opção para ter duas ou mais partições criptografadas é seguir o passo a passo do Thiago no comentário 7, mas eu faria sem LVM e sem ZFS. Avisa quando estiver entusiasmado para instalar que eu faço um video seguindo a instalação dele (avise se é MBR ou UEFI).
Observa minha resposta ao comentário dele. Se quiser e puder fazer um vídeo, eu agradeço muito. Estou testando em uma máquina virtual tantos as indicações aqui quanto umas que tô pensando. Até agora, nada.
Obervação: Fiz a instalação direta com encriptação, e estou tentando editar o outro drive que encriptei via “Discos” do próprio Zorin. Não selecionei “EFI” na criação da máquina virtual, então ACHO que é MBR.
Fez por particionamento manual, disco inteiro LVM ou disco inteiro ZFS?
Disco inteiro ZFS.