HOWTO使用TWO驱动器加密Ubuntu 18.04 LTS安装：主SSD上的操作系统，辅助HDD上的/ home

这是Ubuntu 18.04 LTS安装的全磁盘加密指南。 不要混淆/ home目录的加密，我相信在安装过程中它已被删除。 这些说明适用于Ubuntu 18.04 LTS，但应适用于16.04 LTS。

本指南假设您熟悉Ubuntu（Linux），并且可以通过USB密钥安装操作系统，或者至少了解如何执行此过程 – 如果您不能，请找到可以和您同时执行此操作的人员。 本指南还假定您在开始此过程之前备份了所有数据，因为在此过程中您将销毁所有驱动器上的所有数据。

你被警告了！

本指南主要是这里的两个程序的汇合（David Yates的博客文章）（ https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive-on-ubuntu-14- 10-post-install / ）和Ask Ubuntupost（ 将主文件夹移动到第二个驱动器 ）。

首先，为什么我们希望这样做？ 因为如果您拥有笔记本电脑或计算机上的其他敏感数据并且它被盗或丢失，则必须能够保护数据。 您可能有法律责任保护数据。 其次，许多（大多数）系统现在为操作系统提供小型SSD（快速），为数据提供更大的HDD（慢速）。 第三，加密/ home目录现在被认为是一个坏主意，因为它暴露你/ home被黑客入侵的可能性（不要问我怎么做，我做不到），并且部分加密减慢了系统在很大程度上。 FDE需要较少的开销，因此对系统性能的影响最小。

第一部分：在主驱动器（通常是SSD）上安装Ubuntu 18.04 LTS

将Ubuntu 18.04 LTS安装到较小的（通常是SSD）上并检查（i）擦除磁盘，（ii）加密安装，以及（iii）LVM管理。

这将导致加密的SSD，但不会触及第二个（通常是HDD）驱动器。 我假设您的第二个驱动器是一个新的，未格式化的驱动器，但在此过程之前驱动器上的内容并不重要。 我们将销毁此驱动器上的所有数据。 我们将使用Ubuntu内部的软件包来准备驱动器（不确定这个准备是否是必要的，但这是我测试过的）。 要为即将移动的/ home分区（文件夹）做好准备，您应该使用名为gParted的GUI工具对其进行格式化 。

sudo apt install gparted 

打开gParted并导航到第二个HDD（仔细检查/ dev / sd？X ）并删除任何和所有现有分区，然后使用ext4文件系统创建一个新的PRIMARY PARTITION。 您也可以标记它，但这不是必需的。 选择“应用”。 一个gParted已完成，关闭gParted，现在您已准备好在第二个驱动器上安装LUKS容器，然后对其进行格式化。 在以下命令中，将sd？X替换为您的SECONDARY驱动器（而不是主驱动器）的名称，例如sda1 。

 sudo cryptsetup -y -v luksFormat /dev/sd?X 

然后你需要解密新的分区，以便你可以用ext4格式化它，这是Ubuntu首选的现代Linux文件系统。

 sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt sudo mkfs.ext4 /dev/mapper/sd?X_crypt 

如果你想将你的第二个硬盘驱动器用作常规的，经常访问的硬盘驱动器（如将你的/ home分区移动到它，这是第二部分的重点），有一种方法可以在启动时自动安装和解密你的第二个驱动器，当您的计算机提示您输入主硬盘驱动器解密密码时。 旁白：我使用相同的密码用于我的驱动器，因为我迷信并设想两个不同密码的更多问题。

首先，您需要创建一个密钥文件，该密钥文件充当辅助驱动器的密码，因此您不必在每次启动时输入密码（如主硬盘加密密码）。

 sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4 sudo chmod 0400 /root/.keyfile sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile 

创建密钥文件后，使用nano将以下行添加到/ etc / crypttab

 sudo nano /etc/crypttab 

添加此行，保存并关闭文件（ / etc / crypttab ）。

 sd?X_crypt UUID= /root/.keyfile luks,discard 

要让您的parition的UUID进入/ etc / crypttab文件，请使用此命令（您需要使用sudo它以便显示所有分区）：

 sudo blkid 

你想要的值是/ dev / sd？X的UUID，而不是dev / mapper / sd？X_crypt 。 还要确保复制UUID，而不是PARTUUID。

好的，此时（关闭并保存/ etc / crypttab文件），您应该能够登录到您的Ubuntu安装（输入您的主驱动器解密密码），它应该解密您的主驱动器和辅助驱动器。 您应该检查是否发生这种情况，否则停止 ; 并解决问题。 如果你没有这个工作并且你搬家了，那么你将拥有一个不工作的系统。

重新启动并检查是否（菊花链解密）实际上是这种情况。 如果辅助驱动器被自动解密，当您选择“其他位置”时，第二个驱动器应显示在列表中并且上面有一个锁定图标，但该图标应该被解锁 。

如果第二个驱动器自动解密（应该如此），则转到第II部分 ，将第二个驱动器指定为/ home文件夹的默认位置（具有更大的空间）。

第二部分：将您的/ home分区移动到辅助驱动器（ 即 HDD）

我们需要为辅助驱动器创建一个挂载点，暂时挂载新的分区（辅助硬盘驱动器）并移动/回家 ：

 sudo mkdir /mnt/tmp sudo mount /dev/mapper/sd?X_crypt /mnt/tmp 

假设/ sd？X是/ home的新分区（如上所述）

现在我们将您的/ home文件夹从主驱动器（SSD）复制到新的/ home位置到辅助驱动器（HDD）。

 sudo rsync -avx /home/ /mnt/tmp 

然后我们可以将新分区挂载为/ home

 sudo mount /dev/mapper/sd?X_crypt /home 

确保所有文件夹（数据）都存在。

 ls 

现在，我们想要使辅助驱动器上的新/ home位置永久化，我们需要编辑fstab条目以自动将移动的/ home挂载到辅助解密的HDD上。

 sudo nano /etc/fstab 

并在最后添加以下行：

 /dev/mapper/sd?X_crypt /home ext4 defaults 0 2 

保存并关闭文件。

重启。 重新启动后，您的/ home应驻留在新的辅助驱动器上，您应该有足够的空间容纳您的DATA。