Arch Linux com LVM e encriptação na raiz - Instalação
Informação é algo valioso, até mais que o próprio computador. Atualmente, com a popularização dos computadores portáteis, torna-se comum também o empréstimo não autorizado destes equipamentos. Imagine seu computador, com todas suas fotos pessoais tiradas em boa parte de sua vida, sendo roubado de você. Se você for uma pessoa despreocupada, como a maioria, não terá uma cópia de segurança guardada em um lugar seguro. Mesmo que você seja precavido e possua a cópia. Imagine todos as suas fotos expostas a um desconhecido qualquer!
Parte 7: Configurações pós-instalação
Agora, com o sistema já instalado e mais próximos do fim, iremos terminar as configurações e iniciar a nova máquina com disco encriptado.
Primeira coisa antes de entrar no chroot, é gerar o "fstab". Para evitar problemas futuros com montagem, ao invés de utilizar o nome do dispositivo, utilizaremos a UUID.
# genfstab -U /mnt >> /mnt/etc/fstab
Agora entramos no ambiente chroot.
# arch-chroot /mnt
Estamos agora dentro da instalação que acabamos de fazer. Vamos configurar o teclado durante a inicialização do sistema.
# echo KEYMAP=br-abnt2 > /etc/vconsole.conf
# echo FONT= >> /etc/vconsole.conf
# echo FONT_MAP= >> /etc/vconsole.conf
É preciso agora gerar os locales do idioma pt_BR e informar para o sistema a LANG a ser utilizada.
# sed -i 's/#pt_BR/pt_BR/' /etc/locale.gen
# locale-gen
# echo LANG=pt_BR.UTF-8 > /etc/locale.conf
# export LANG=pt_BR.UTF-8
Próximo passo, é gerar a imagem do Kernel. Mas antes, precisamos adicionar alguns Hooks ao "/etc/mkinitcpio.conf".
Procuramos a linha seguinte: HOOKS="base udev autodetect modconf block filesystems keyboard fsck"
Deixamos assim:
A Hook keyboard foi trazida para logo depois de block, pois dependendo do teclado que você estiver usando, ele pode não funcionar quando o sistema pedir a senha. Em seguida, a hook keymap, que diz para o sistema utilizar o mapa especificado em "/etc/vconsole.conf". Encrypt indica ao sistema para montar um dispositivo com criptografia. Recomendo colocar keymap antes de encrypt, pois se utilizarmos caracteres acentuados ou especiais na senha, podemos ter problemas.
Agora, é só gerar a imagem:
# mkinitcpio -p linux
Para que o sistema possa ser inicializado, precisamos agora instalar o GRUB. Mas antes de mais nada, precisamos dizer ao GRUB que o sistema possui um dispositivo encriptado a ser montado. No nosso caso, o "/dev/sda2".
Edite o arquivo "/etc/default/grub" e altere a linha: GRUB_CMDLINE_LINUX=""
Para:
Agora é só instalar e gerar o arquivo de configuração do GRUB.
# grub-install --recheck /dev/sda
# grub-mkconfig -o /boot/grub/grub.cfg
Para definir o nome da máquina, basta colocá-lo no arquivo "/etc/hostname".
# echo "MaquinaTeste" > /etc/hostname
Configure o fuso-horário de acordo com o seu local.
# ln -s /usr/share/zoneinfo/America/Fortaleza /etc/localtime
Defina a senha do usuário root.
# passwd
Antes de reiniciar e usar o novo sistema, marcamos para ser iniciados automaticamente o GDM, que irá gerenciar o login em modo gráfico. O Wicd, que irá gerenciar a rede. Também adicionamos um usuário comum e definimos sua senha. Não é recomendado utilizar o sistema com um usuário com super poderes, como o root.
# systemctl enable wicd
# systemctl enable gdm
# useradd -m -g users usuario
# passwd usuario
Agora, desmontamos todos os volumes e reiniciamos.
# exit
# umount /mnt/boot
# umount /mnt/home
# umount /mnt
# swapoff -a
# vgchange -an
# cryptsetup luksClose crypt_sda2
# reboot
Não podemos esquecer de remover a mídia de instalação inserida.
Se tudo correu bem, o sistema pedirá a senha para acessar o dispositivo encriptado que contém os volumes, que por sua vez contém a raiz do sistema, a Home e a SWAP.
Agora só usar e ficar tranquilo que os dados estarão protegidos.
Primeira coisa antes de entrar no chroot, é gerar o "fstab". Para evitar problemas futuros com montagem, ao invés de utilizar o nome do dispositivo, utilizaremos a UUID.
# genfstab -U /mnt >> /mnt/etc/fstab
Agora entramos no ambiente chroot.
# arch-chroot /mnt
Estamos agora dentro da instalação que acabamos de fazer. Vamos configurar o teclado durante a inicialização do sistema.
# echo KEYMAP=br-abnt2 > /etc/vconsole.conf
# echo FONT= >> /etc/vconsole.conf
# echo FONT_MAP= >> /etc/vconsole.conf
É preciso agora gerar os locales do idioma pt_BR e informar para o sistema a LANG a ser utilizada.
# sed -i 's/#pt_BR/pt_BR/' /etc/locale.gen
# locale-gen
# echo LANG=pt_BR.UTF-8 > /etc/locale.conf
# export LANG=pt_BR.UTF-8
Próximo passo, é gerar a imagem do Kernel. Mas antes, precisamos adicionar alguns Hooks ao "/etc/mkinitcpio.conf".
Procuramos a linha seguinte: HOOKS="base udev autodetect modconf block filesystems keyboard fsck"
Deixamos assim:
HOOKS="base udev autodetect modconf block keyboard keymap encrypt lvm2 filesystems fsck"
A Hook keyboard foi trazida para logo depois de block, pois dependendo do teclado que você estiver usando, ele pode não funcionar quando o sistema pedir a senha. Em seguida, a hook keymap, que diz para o sistema utilizar o mapa especificado em "/etc/vconsole.conf". Encrypt indica ao sistema para montar um dispositivo com criptografia. Recomendo colocar keymap antes de encrypt, pois se utilizarmos caracteres acentuados ou especiais na senha, podemos ter problemas.
Agora, é só gerar a imagem:
# mkinitcpio -p linux
Para que o sistema possa ser inicializado, precisamos agora instalar o GRUB. Mas antes de mais nada, precisamos dizer ao GRUB que o sistema possui um dispositivo encriptado a ser montado. No nosso caso, o "/dev/sda2".
Para:
GRUB_CMDLINE_LINUX="cryptdevice=UUID=0df03590-52b8-4c02-b7d1-65dab422c7ff:crypt_sda2"
Agora é só instalar e gerar o arquivo de configuração do GRUB.
# grub-install --recheck /dev/sda
# grub-mkconfig -o /boot/grub/grub.cfg
Para definir o nome da máquina, basta colocá-lo no arquivo "/etc/hostname".
# echo "MaquinaTeste" > /etc/hostname
Configure o fuso-horário de acordo com o seu local.
# ln -s /usr/share/zoneinfo/America/Fortaleza /etc/localtime
Defina a senha do usuário root.
# passwd
Antes de reiniciar e usar o novo sistema, marcamos para ser iniciados automaticamente o GDM, que irá gerenciar o login em modo gráfico. O Wicd, que irá gerenciar a rede. Também adicionamos um usuário comum e definimos sua senha. Não é recomendado utilizar o sistema com um usuário com super poderes, como o root.
# systemctl enable wicd
# systemctl enable gdm
# useradd -m -g users usuario
# passwd usuario
Agora, desmontamos todos os volumes e reiniciamos.
# exit
# umount /mnt/boot
# umount /mnt/home
# umount /mnt
# swapoff -a
# vgchange -an
# cryptsetup luksClose crypt_sda2
# reboot
Não podemos esquecer de remover a mídia de instalação inserida.
Se tudo correu bem, o sistema pedirá a senha para acessar o dispositivo encriptado que contém os volumes, que por sua vez contém a raiz do sistema, a Home e a SWAP.
Agora só usar e ficar tranquilo que os dados estarão protegidos.
Failed to connect to lvmetad
e
Set "GRUB_ENABLE_CRYPTODISK=1"
Daí não faço a minima ideia do que fazer ora.
Desde já agradeço a ajuda amigão!