Dla naszych pracowników chcę zainstalować system operacyjny (Ubuntu), który po zainstalowaniu pozwoli użytkownikowi na rozpoczęcie szyfrowania całego dysku wraz z możliwością ustalenia 'encrypt password'. Czy można to zrealizować za pomocą "OEM Installation"?
Ktoś z Was ma może doświadczenie i może doradzić jak to zrobić, jeżeli OEM nie ma takiej możliwości, to czy jest możliwość oskryptowania?
Masz na myśli szyfrowanie całego dysku (luks), czy też katalogu domowego (ecryptfs)?
Jeżeli całego dysku i na tym dopiero lvm - nie widzę czegoś takiego. Można by co najwyżej oskryptować małą instalację na jakiejś małej partycji, a potem w zależności od potrzeb - rozszerzenie partycji, albo też cryptsetup pozostałej części dysku, vgextend i pvmove roota tamże, oraz usunięcie/przeznaczenie na /boot nieszyfrowanej partycji.
Ale niezbyt widzę sens. Jak koniecznie coś takiego potrzebujesz, proponuję dać użytkownikowi po prostu instalator (tudzież umieścić go na dysku, tak by pierwsze włączenie rozpoczęło instalację i w ramach niej pozwolić użytkownikowi odpowiednio skonfigurować system, z szyfrowanym lub nieszyfrowanym dyskiem. Albo wręcz pozwolić na instalację jednej z opcji).
Ale najprościej, po prostu zaszyfruj dyski i tyle. Jeżeli to sprzęt firmowy gdzie lądują firmowe dane - ze względów bezpieczeństwa nie powinno tam być nieszyfrowanych dysków. Dyski przecież padają, a chyba nikt nie lubi jak firmowe dane lądują w serwisie albo na drugim końcu świata?
Szyfrowanie katalogu domowego, da się zrobić bez większego problemu skryptem. Ale nie szedłbym tą drogą.
Instalacja OEM pozwala na wybranie szyfrowania folderu home, ale nie o to mi chodzi, tylko szyfrowanie całego dysku.Wpadłem na inny pomysł, instaluję OEM i stworzę skrypt, który podczas pierwszego logowania wymusi zmianę hasła do luksa za pomocą polecenia:
cryptsetup luksChangeKey /dev/<device>.
Andrzej masz jaki pomysł, jak to wymusić w GUI, żeby user po zalogowaniu się, musiał zmienić hasło?
