Mike Kasberg

08 Abr 2020

Cuando ejecutas el instalador de Ubuntu, hay una opción para hacer un arranque dual de Ubuntu con una instalación existente de Windows. También hay una opción para cifrar tu instalación de Ubuntu, pero sólo si borras todo e instalas ubuntu. No hay una forma automática de instalar Ubuntu junto a Windows 10 con cifrado. Y aunque hay un montón de tutoriales para el arranque dual de Ubuntu y Windows, muchos de ellos son obsoletos – a menudo haciendo referencia a una tabla de partición MBR – y casi ninguno de ellos parece abordar el cifrado de su partición de Ubuntu.

El arranque dual con almacenamiento encriptado no debería ser tan difícil en 2020.

Yo, mientras averiguo cómo hacer esto.

En realidad, una vez que lo descubres, no es tan difícil. ¡Lo complicado es que esto no está bien documentado en ningún sitio! Así que estoy esperando para arreglar eso con thistutorial blog post. Sinceramente, si sabes lo suficiente sobre Ubuntu para configurar el arranque dual con Windows, sólo es un poco más difícil hacerlo con el cifrado.Preparé este tutorial en un Dell Latitude e7450, y lo afiné cuando lo probé en mi Dell Precision 5510. Así que debería funcionar con casi ninguna modificación en la mayoría de los sistemas Dell, y con sólo pequeñas modificaciones (particularmente en torno a la configuración de la BIOS) en la mayoría de los otros tipos de ordenadores.

Para escribir esta guía, he recopilado información de varias fuentes. Aquí están algunas de las referencias más útiles que encontré:

• Notas sobre el arranque dual del XPS 15 9560 con cifrado, por luispabon. Seguí estas notas con bastante exactitud, pero modifiqué algunos tamaños y nombres de particiones basándome en otras guías.
• XPS 15 9570 Dual-Boot with Encryption Notes,por mdziekon, en el que se basa lo anterior.
• Full Disk Encryption HowTo 2019,de la Ubuntu Community Wiki. Este es un gran recurso, pero trata de la encriptación sin el arranque dual.
• Encriptación manual del sistema completo,de la Wiki de la Comunidad de Ubuntu. Esto es más largo, y no se centra en el arranque dual, pero proporciona grandes detalles sobre la forma en que ciertas cosas funcionan.

Vale la pena señalar que este método no encripta /boot. Aunque hay razones válidas para cifrar /boot, el instalador gráfico no lo cifra cuando se hace una instalación gráfica con LUKS. Como tal, estoy igualando ese precedente, y manteniendo la simplicidad de una partición /boot sin cifrar. Por lo tanto, la guía que he compilado a continuación es casi la forma más sencilla de tener un cifrado LUKS con arranque dual.

Por qué es importante el cifrado

Empecé a utilizar el almacenamiento cifrado en todos mis ordenadores personales hace 5 o 6 años después de notar que todas las empresas para las que había trabajado lo requerían, y tenía buenas razones para hacerlo. Los ordenadores portátiles se pierden y son robados constantemente. Son objetos de gran valor, pequeños y fáciles de transportar. Y cuando un ladrón se hace con el portátil, tiene montones de información valiosa que puede utilizar o vender. Incluso si utilizas una contraseña para iniciar sesión, es fácil que un atacante acceda a tus datos si tu disco no está cifrado, por ejemplo, utilizando una memoria USB. Y una vez que tengan esos datos, podrían acceder a cuentas en línea, extractos bancarios, correos electrónicos y montones de otros datos. Para mí, un disco duro encriptado ya no es opcional, es una necesidad.

Una visión general

Entonces, ¿qué vamos a hacer? Este tutorial te ayudará a configurar un sistema de arranque dual de Ubuntu 20.04 y Windows 10. (No lo he probado, pero debería funcionar con la mayoría de otras versiones modernas (~16.04+) de Ubuntu o Windows). El sistema utilizará un disco duro GPT con UEFI (su BIOS debe soportar UEFI). La partición de Ubuntu se cifrará con LUKS.1 La partición de Windows puede cifrarse opcionalmente con BitLocker. Voy a mantener la instalación de Ubuntu tan cerca de una instalación «por defecto» como sea posible – sin trucos de fantasía como una partición separada/home, pero debería ser algo fácil de añadir que usted mismo si ustedrealmente quiere.

Voy a empezar con un disco duro en blanco, la instalación de ambos Windows 10 y Ubuntudesde cero. Si ya tienes Windows instalado y quieres mantenerlo, deberías poder reducir tu partición de Windows en lugar de borrar tu disco duro al final de la fase 1, y saltarte la fase 2 (instalar Windows) por completo.Ten en cuenta que cuando te reincorpores en la fase 3, tus números de partición podrían ser diferentes a los nuestros, así que deberías ejecutar sudo sgdisk --print /dev/sda para asegurarte de que entiendes tu tabla de particiones.

Para dar una visión general de hacia dónde nos dirigimos, esto es lo que vamos a hacer:

1. Preparar los medios de instalación y el ordenador
2. Instalar Windows 10
3. Crear una partición encriptada para Ubuntu
4. Instalar Ubuntu

Por supuesto, al igual que con cualquier instalación de un nuevo sistema operativo, deberías hacer una copia de seguridad de cualquier dato importante antes de proceder. Las instrucciones siguientes borrarán todos los datos de su disco duro. Procede bajo tu propio riesgo; no me hago responsable de cualquier daño o pérdida de datos.

Fase 1: Preparar el medio de instalación y el ordenador

Como vamos a instalar tanto Windows 10 como Ubuntu desde cero, necesitaremos una memoria USB para cada uno. Si no tienes ya un ordenador con Ubuntu o Windows, hacer el medio de instalación será un poco más difícil – pero hay tutoriales para ello y dejaré que lo descubras por tu cuenta.

1. Crea una memoria USB de Windows Installer. La forma más fácil es utilizar la herramienta de creación de medios de Windows10 desde un ordenador que ya esté ejecutando Windows.
2. Crear una memoria USB de Ubuntu 20.04. La forma más sencilla es descargar la ISO y utilizar el Startup Disk Creator en un ordenador que ya esté ejecutando Ubuntu.
3. ¡Genial! ¡Ya tenemos nuestras memorias USB listas para funcionar! Una última cosa antes de getstarted – tenemos que asegurarnos de que nuestro BIOS está configurado correctamente. En particular, queremos asegurarnos de que estamos utilizando UEFI para arrancar nuestro sistema operativo.2

   

   1. Asegúrate de que tu ordenador está ejecutando la última BIOS disponible. Esto es importanteporque una BIOS desactualizada puede tener errores, y esos errores a veces afectan a cosas como UEFI, sistemas operativos que no son de Windows u otros componentes que tocaremos.
   2. Edita la configuración de tu BIOS. Los siguientes nombres son probablemente específicos de DellBIOS, pero otros fabricantes tendrán configuraciones similares.
      1. Debajo de General y Boot Sequence, asegúrese de que su BootList Option esté configurado como UEFI.
      2. Debajo de General y Advanced Boot Options, desactivéLegacy Option ROMs. Es importante que ambos SO se instalen en modo UEFI.(Probablemente puedas habilitarlo cuando la instalación esté completa si te interesa).
      3. Debajo de SecurityTPM Security debe estar habilitado si quieres configurar fácilmente BitLocker en Windows.
      4. Desactivé Secure Boot. No estoy seguro de que esto sea absolutamente necesario, y podéis probar a dejarlo activado o volver a activarlo cuando hayáis terminado si queréis.

   Ahora que nuestra BIOS está configurada para UEFI, vamos a configurar nuestro disco duro.

   Para este tutorial, tu BIOS debe soportar UEFI!

   La mayoría de los ordenadores modernos lo soportan, pero si el tuyo no lo hace este tutorial no te servirá. Deberías considerar:

   • Instalar sólo Linux con encriptación usando el instalador gráfico.
   • O instalar sólo Windows con encriptación.
   • O arrancar de forma dual Linux y Windows sin encriptación usando el instalador gráfico de Ubuntu.
   • O Encontrar otro tutorial o averiguar cómo hacer esto con un disco MBR.
   1. Borrar completamente su disco duro y configurarlo para UEFI haciendo lo siguiente.3
      1. Arranca tu memoria USB de Ubuntu y utiliza Try without installing.
      2. Abre un terminal. Hazlo a pantalla completa mientras estás en ello.
      3. Averigua cómo se llama tu disco duro primario. Probablemente será /dev/sda o /dev/nvme0n1. Es importante que no sea /dev/sda1 o/dev/nvme0n1p1 – esas son particiones del disco. Una forma de averiguar cómo se llama la tuya es ejecutar lsblk y mirar el tamaño del disco. En el resto de esta guía, me referiré a /dev/sda. Si el tuyo no es/dev/sda, sustituye /dev/sda por el tuyo (quizás /dev/sdb o/dev/nvme0n1) para el resto de esta guía.
      4. Ejecute los siguientes comandos. Esto inicializará la unidad como una unidad GPTy creará una partición del sistema EFI de 550M formateada como FAT32.

         $ sudo su# sgdisk --zap-all /dev/sda# sgdisk --new=1:0:+550M /dev/sda# sgdisk --change-name=1:EFI /dev/sda# sgdisk --typecode=1:ef00 /dev/sda# mkfs.fat -F 32 /dev/sda1

   Bien, la fase 1 está completa. Tenemos nuestros medios de instalación listos para ir y el BIOS del ordenador y el disco duro está configurado correctamente. A continuación, vamos a instalar Windows.

   Fase 2: Instalar Windows

   En esta fase, vamos a instalar Windows. Ten en cuenta que cuando hagamos esto, vamos a dejar algo de espacio sin asignar para instalar Linux después. Este es un buen enfoque porque el instalador de Windows se meterá un poco con nuestras particiones, y es más fácil dejar que lo haga antes de finalizar nuestras particiones de Linux.

   

   1. Arranca desde tu memoria USB de instalación de Windows.
   2. Elige una Custom (advanced) instalación para llegar a la herramienta de particionado de Windows.
   3. Crea una nueva partición. El tamaño de esta partición debe ser la cantidad de espacio de disco que desea utilizar para Windows. En este ejemplo, hice 80G ya que el SSD de mi ordenador es relativamente pequeño. Si no está seguro, haga aproximadamente la mitad de su disco duro.
   4. Windows le advertirá que va a crear una partición de sistema adicional.Esto es bueno.4
   5. Instale Windows en la partición que acaba de hacer. No es necesario formatear ninguna partición: el instalador de Windows se encargará de ello.
   6. Cuando termine la instalación de Windows, inicie sesión y habilite BitLocker ondrive C:. Esto creará automáticamente otra partición en su disco (una partición de recuperación de Windows) – que es la razón por la que estamos haciendo antes departición para Ubuntu.
   En este punto, usted puede comenzar a usar Windows. Pero yo evitaría hacer demasiado setupor la personalización todavía para que no tenga que hacerlo de nuevo si algo va wrongbelow. Si quieres volver a comprobar tus particiones, esto es lo que te quedará después de instalar Windows y activar BitLocker:

   ubuntu@ubuntu:~$ sudo sgdisk --print /dev/sdaDisk /dev/sda: 500118192 sectors, 238.5 GiBNumber Start (sector) End (sector) Size Code Name 1 2048 1128447 550.0 MiB EF00 EFI 2 1128448 1161215 16.0 MiB 0C01 Microsoft reserved ... 3 1161216 167825076 79.5 GiB 0700 Basic data partition 4 167825408 168900607 525.0 MiB 2700

   Fase 3: Particionar la unidad para Ubuntu

   ¡Verifica dos veces los números de las particiones!

   Si has seguido esta guía exactamente, tus números de partición son probablemente idénticos a los míos. Pero si tienes un disco NVMe o si no borraste tu disco por completo al principio, tendrás que asegurarte de que utilizas los números de partición correctos para tu propio disco cuando ejecutes estos comandos.

   Esta es la fase más complicada ya que aquí es donde tenemos que configurar manualmente nuestros discos encriptados para Ubuntu. Vamos a hacer que funcione de manera muy similar a la forma en que el instalador de Ubuntu configuraría las cosas si usted encriptó todo su disco.

   

   A lo largo de esta sección, voy a hacer referencia a los comandos sgdisk. Puedes usar gdisk si te sientes cómodo con él y quieres una interfaz interactiva, o puedes usar GParted si lo prefieres. Los comandos sgdisk son más fáciles de referenciar en un tutorial. Y de nuevo, me referiré a /dev/sda, pero existe la posibilidad de que el tuyo se llame algo así como /dev/nvme0n1 – simplemente sigue sustituyendo lo que hayas estado usando.

   Si quieres, puedes ejecutar sudo sgdisk --print /dev/sda para examinar la tabla de particiones antes de continuar. Verás múltiples particiones creadas por el instalador de Windows, y deberías ver algún espacio vacío donde vamos a instalar Ubuntu.

   Ahora, vamos a cifrar nuestra partición de datos de Linux.

   Ahora, todas nuestras particiones están preparadas. ¡No te detengas aquí! Continúe con la siguiente fase sin salir del entorno en vivo de Ubuntu.

   Fase 4: Instalar Ubuntu

   1. Ejecute el instalador de Ubuntu desde el Escritorio, y elija Something else para configurar las particiones usted mismo.
      1. Utiliza nuestra partición de ~768M como ext4 con punto de montaje /boot
      2. .
      3. Usa /dev/mapper/ubuntu--vg-root como ext4 con punto de montaje /
      4. Utiliza /dev/mapper/ubuntu--vg-swap_1 como swap
      5. El dispositivo del gestor de arranque debe ser /dev/sda (aunque parece que esta configuración podría no utilizarse realmente en el modo UEFI)
   2. Cuando el instalador haya terminado, pulsa Continue Testing. Tenemos que hacer un par de cosas más antes de reiniciar.
   3. Configurar etc/crypttab. Esto es lo que te permitirá desbloquear tu disco encriptado escribiendo tu frase de acceso al arrancar.
      1. Busca el UUID de la partición que has configurado con LUKS: sudo blkid /dev/sda6

      Entra en un chroot en el sistema recién instalado:

      # mount /dev/mapper/ubuntu--vg-root /target# mount /dev/sda5 /target/boot# for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done # chroot /target # mount -a

      Dentro de tu chroot (es decir, en el mismo terminal), configura /etc/crypttab.Usa tu editor favorito para editar este archivo. Yo usaré vi. sudo vi /etc/crypttabGuarda el siguiente contenido del archivo, sustituyendo el UUID por el UUID real que encontraste arriba.

      # <target name> <source device> <key file> <options># options used:# luks - specifies that this is a LUKS encrypted device# tries=0 - allows to re-enter password unlimited number of times# discard - allows SSD TRIM command, WARNING: potential security risk (more: "man crypttab")# loud - display all warningssda6_crypt UUID=abcdefgh-1234-5678-9012-abcdefghijklm none luks,discard

      Ejecuta lo siguiente para aplicar los cambios que acabas de hacer. (Todavía en el chroot.)

      # update-initramfs -k all -c

      ¡Hecho! Enhorabuena, has creado un sistema de arranque dual con Ubuntu 20.04 yWindows 10 con todos tus datos cifrados. Ahora que ambas instalaciones están terminadas, puedes reiniciar tu ordenador.

      Por defecto, tu ordenador arrancará en grub, que puede arrancar Ubuntu. AunqueWindows aparece en grub, el arranque de Windows desde grub con BitLocker activadono funcionará porque el TPM del sistema detectará un cambio en la secuencia de arranque.Para evitar este problema, debes arrancar Windows directamente desde el menú de arranque de laBIOS de tu ordenador – normalmente accesible pulsando F12 en el arranque.

      Como referencia, aquí está el estado final de mi disco duro (con 2 volúmenes lógicos en la partición rootfs para / y swap):

      $ sudo sgdisk --print /dev/sdaDisk /dev/sda: 500118192 sectors, 238.5 GiB Number Start (sector) End (sector) Size Code Name 1 2048 1128447 550.0 MiB EF00 EFI 2 1128448 1161215 16.0 MiB 0C01 Microsoft reserved ... 3 1161216 167825076 79.5 GiB 0700 Basic data partition 4 167825408 168900607 525.0 MiB 2700 5 168900608 170473471 768.0 MiB 8301 /boot 6 170473472 500118158 157.2 GiB 8301 rootfs

      Espero que esta guía os haya resultado útil, ¡y espero que el cifrado de disco completo con Ubuntu se haga más popular y tenga más soporte como resultado!

      1. Ubuntu soporta otros tipos de encriptación. Pero el cifrado de la carpeta de inicio puede causar muchos problemas e incompatibilidades. Y las páginas de manual de cryptsetup recomiendan LUKS sobre dm-crypt.

      2. El arranque en UEFI es importante para que este proceso funcione. Hay una discusión en profundidad sobre los modos de arranque en la wiki de la comunidad de Ubuntu.

      3. Aquí hay un buen recurso de información sobre UEFI.

      4. Según las páginas de manual de sgdisk, «Si Windows va a arrancar desde un disco GPT, se recomienda una partición de tipo Microsoft Reserved (código interno de sgdisk 0x0C01). Esta partición debe tener un tamaño de unos 128 MiB. Normalmente sigue a la partición del sistema EFI y precede inmediatamente a las particiones de datos de Windows.»

      5. Hay una buena discusión sobre los modos de suspensión en la wiki de la comunidad de Ubuntu, en la que se destaca la necesidad del espacio de intercambio.