İşlemler

Bu yöntem şifreli verinin şifrelenmeden önce içeriğinin silinmesine göre tasarlanmıştır. Şifrelenecek veriniz diskin üzerinde ise, geçici olarak veriyi başka biryere kopyalamalısınız ve daha sonra verinizi şifreleme işleminden sonra geri kopyalayabilirsiniz. Veriyi bulunuğu yerde şifrelemek mümkündür, ancak şu an için bunun bu NASIL belgesi için çok ileri seviyede olacağını düşünüyorum. Bu yöntem ilginizi çekiyor ise, daha fazla bilgi için loop-AES'in README belgesini okuyunuz.

Aşağıdaki işlemleri yapmak için loop-AES destekli çekirdeğe sahip bir sisteminiz olmalı. Şayet elinizde bir tane yok ise, KNOPPIX kullanmanızı tavsiye ederim. KNOPPIX önyüklemeyi CD-ROM'dan yapar ve kurulmasına gerek yoktur, yani KNOPPIX soruna neden olmayacak bir seçenektir.

Bu yönergeler, basitleştirmek için anahtar zinciri ile şifrelenecek verinin aynı bilgisayarda olduğunu farzeder, fakat bu şart değil. Yönergeleri sizin için hangisi daha uygunsa o şekilde değiştirebilirsiniz.

Anahtar Zincirinin Hazırlanması

Eğer bir disk ya da bölüm şifrelemek yerine sadece bir dosya şifreleme amacında iseniz, bu bölümü atlayabilir ve doğruca Şifrelenecek Verinin Hazırlanması bölümü ile devam edebilirsiniz.

En ideal kurulum için USB flash sürücü ya da kartvizit boyutunda CD-ROM gibi önyüklemeli anahtar zinciri aygıtı kullanabilirsiniz. Bunun amacı, diskinizi mümkün olduğunca az açıkta bırakmak istiyoruz, fakat çok ufak bir önyükleme işlemi açığa vurulacaktır ya da bilgisayar hiçbir zaman çalıştırılmayacaktır. Önyükleme işlemi ancak şifresiz gerçekleştirilmesi gerektiğinden, anahtar zincirini bilgisayarda bulundurmamak daha iyidir. Birtakım nedenlerden dolayı önyüklemeli anahtar zinciri kullanamıyorsanız ya da kullanmak istemiyorsanız, o zaman bu yönergeleri yined e takip edebilirsiniz fakat anahtarları anahtar zinciri yerine diskin ufak bir önyükleme bölümü'nde bulundurabilirsiniz.

Aşağıdaki örnekte anahtar zinciri ilk SCSI sürücüsü /dev/sda olarak gözüküyor. /dev/sda'ı sürücünüzün aygıtı ile uygun olacak şekilde değiştirin.

İlk adım- anahtar zincirini sıfırlama-teknik açıdan gereksizdir, fakat Sınama ve Yedekleme'de tavsiye edildiği gibi eğer eşlem olarak yedeklerseniz, bu anahtar zincirini daha küçük yapacaktır.

bash# dd if=/dev/zero of=/dev/sda

Sonra, anahtar zincirini herhangi bir önyüklemeli diski bölümlediğiniz gibi bölümleyin. Bölümleme konusunda yardıma ihtiyacınız var ise Linux Bölümleme NASIL belgesine göz atınız.

bash# cfdisk /dev/sda

İlk bölüme bir dosya sistemi yerleştirin.

bash# mkfs /dev/sda1

Anahtar zincirine bağlayın.

bash# mkdir /tmp/keychain
bash# mount /dev/sda1 /tmp/keychain
bash# cd /tmp/keychain

Çekirdek Derleme

Anahtar zincirini birden fazla bilgisayar ile birlikte kullanacaksanız, herbiri için farklı bir çekirdek derlemeniz gerekir.

Muhtemelen anahtar zinciriniz için özel bir çekirdek derlemeniz gerekecektir, böylece iki şeyden emin olabilirsiniz:

loop-AES ile doğru şekilde yamanmıştır ve şifreleme desteği etkinleştirilmiştir.
Bilgisayarınızı önyüklemesini sağlayan ve şifrelenecek veriye erişimi sağlayan bütün aygıt sürücüleri modül olarak eklenmek yerine çekirdeğin içinde derlenmişlerdir.

initrd kullandığımız için aygıt sürücülerini modül olarak yükleyebilirsiniz, fakat ben önyükleme diskini mümkün olduğunca basit tutmak için çekirdeğin içine derlemeyi seçtim. Siz başka bir yol deneyebilirsiniz.

Geleneksel bir çekirdek oluşturmak için yardıma ihtiyacınız var ise Linux Çekidek NASIL belgesini okuyabilirsiniz. Çekirdeği CONFIG_BLK_DEV_RAM içerecek şekilde oluşturduğunuzdan emin olun, böylece çekirdek initrd kullanarak önyükleme gerçekleştirebilir.

loop-AES ile birlikte gelen yönergeleri izleyerek döngü aygıtını oluşturun. Ayrıca bir kısmını daha sonra anahtar zincirine kopyalayacağımız util-linux araçlarını tekrar oluşturmak için yönergeleri izleyin. Dağıtımınız bunları sizin için zaten yapmış olabilir (örneğin, Debian'nın loop-aes-utils ve loop-aes-source paketleri).

Çekirdeği oluşturduktan sonra, anahtar zincirine kopyalayın.

bash# mkdir boot
bash# cp arch/i386/boot/bzImage boot/vmlinuz-laptop

GRUB'u ya da favoriniz olan önyükleyiciyi yükleyiniz.

bash# grub-install --root-directory=. /dev/sda

Burada GRUB için örnek bir menu.lst dosyası bulunmaktadır. Bu dosya laptop ve desktop isimli iki bilgisayar için girdi içermektedir.

	Önemli
	Anahtar ismini (bilgisayarın ardından isimlendirilmesini tavsiye ederim) linuxrc'ye ilk parametre olarak aktarmak gerekmektedir.

Örnek 4.1. /tmp/keychain/boot/grub/menu.lst

title  laptop
root (hd0,0)
kernel /boot/vmlinuz-laptop root=/dev/ram0 init=/linuxrc laptop
initrd /boot/initrd

title  desktop
root (hd0,0)
kernel /boot/vmlinuz-desktop root=/dev/ram0 init=/linuxrc desktop
initrd /boot/initrd.old

initrd Oluşturma

Anahtar zincirini initrd'yi kullanarak önyükleriz, böylece önyükleme başladıktan sonra anahtar zincirini çıkarabiliriz (kim bir kafeteryada otururken dizüstü bilgisayarından USB flash sürücünün sarkmasını ister ki?). Şifreli veriye ulaşabilmek için initrd'nin /dev/loop0 dosyasına eklenmiş olan bir geridönüş aygıtı oluştururuz. Aygıt dosyasını initrd'ye koymak, şifreli veri bağlı olduğu sürece initrd'nin de bağlı olması gerektiği anlamına gelir (sorun değil).

Başlangıç RAM diskleri hakkında daha fazla bilgi edinmek için Linux Önyükleme Diski NASIL ve Linux'ün Documentation/initrd.txt belgelerini okuyabilirsiniz ya da bunu geçip devam edebilirsiniz.

Tamamını kullanmayacak olsak da 4MB büyüklüğünde başlangıç RAM diski seçiyoruz. Bu büyüklük geleneksel azami büyüklüktür (ve bir zararı yoktur).

bash# head -c 4m /dev/zero > boot/initrd
bash# mke2fs -F -m0 -b 1024 boot/initrd

initrd'yi bağlayalım, böylece üzerinde çalışabiliriz.

bash# mkdir /tmp/initrd
bash# mount -o loop=/dev/loop3 boot/initrd /tmp/initrd
bash# cd /tmp/initrd

İhtiyacımız olan en ufak dizin yapısını oluşturalım.

bash# mkdir -p {bin,dev,lib,mnt/{keys,new-root},usr/sbin,sbin}

İhtiyacımız olan en ufak aygıt kümesini oluştalım. tty'nin parola istemi için gerekli olduğunu unutmayın. Bu komut şifrelenecek verinizin /dev/hda sürücüsü olduğunu farzeder. Bunu uygun şekilde değiştirebilirsiniz.

bash# cp -a /dev/{console,hda,loop0,loop1,tty} dev

İhtiyacımız olan 6 yazışımı kopyalayacağız.

	İpucu
	`which` komutunu bir uygulamanın tam yolunu bulmak için kullanabilirsiniz, örneğin: `bash#` `which mount` /bin/mount

Uygulamaları kopyalayalım:

bash# cp /bin/{mount,sh,umount} bin
bash# cp /sbin/{losetup,pivot_root} sbin
bash# cp /usr/sbin/chroot usr/sbin

Şimdi de ugulamaların bağımlı olduğu paylaşımlı kütüphaneleri kopyalayalım.

İpucu

Bir uygulamanın (bu örnekte /bin/sh) kullandığı paylaşımlı kütüphaneleri bulmak için:

bash# ldd /bin/sh
        libncurses.so.5 => /lib/libncurses.so.5 (0x40020000)
        libdl.so.2 => /lib/libdl.so.2 (0x4005c000)
        libc.so.6 => /lib/libc.so.6 (0x4005f000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

Kütüphaneleri kopyalayalım:

bash# cp /lib/{ld-linux.so.2,libc.so.6,libdl.so.2,libncurses.so.5} lib

Şifrelenecek Verinin Hazırlanması

Aynı anahtar zincirini kullanarak birden fazla bilgisayarı idare etmek için bu adımları tekrarlamak mümkündür. Her bilgisayar kendi anahtarına ve bir ihtimalle kendi çekirdeğine sahip olacaktır. Bu yönergeler bilgisayar isminin laptop olduğunu farzeder; bu adımları her tekrarladığınız sefer bilgisayarınızın adını buna göre ayarlayınız.

İlk önce verinizi yedekleyin. Linux Tam Yedekleme ve Onarım NASIL'ı okuyun.

Hayır, dur, beni dinle. Verinin yedeğini al. Gerçekten. Yaptığın bir hatadan dolayı şifrelediğin diskin şifresini çözememek zevk vermez. Bu araçlar kuvvetli sırdırlar; eğer verinizi uçurursanız, Bilgisayar Dahilerini çağırıp onların verilerinizi geri getirmelerini umamazsınız. Bu alıştırmanın ana noktası budur.

Bütün diskinizi şifreliyorsanız (tavsiye edilir), /dev/hda'yı sizin disk aygıtınız ile değiştirin.

bash# ln -s /dev/hda /tmp/asset

Eğer bir bölümü şifreliyorsanız (çoklu önyükleme durumu), /dev/hda3'ü sizin bölümünüzün aygıtı ile değiştirin.

bash# ln -s /dev/hda3 /tmp/asset

Sadece bir dosya şifreliyorsanız, ~/encrypted dosyasını sizin dosyanız ile değiştirin ve /tmp/keychain isminde anahtar dosyanızı kaydedeceğiniz yeri (hazırda bulunan çıkarılabilir ortam, örneğin: /mnt/cf) işaret eden bir sembolik bağ oluşturun.

bash# ln -s ~/encrypted /tmp/asset
bash# ln -s /mnt/cf /tmp/keychain

Şifrelenecek verinizi rasgele veri ile hazırlayın. Bu saldırganın hangi bölümlerin boş alan olduğunu bulmasını zorlaştıracktır.

bash# shred -n 1 -v /tmp/asset

Burada anahtarları bulunduracak şifreli bir dosya sistemi oluşturuyoruz. Daha fazla şifreleme, ister misiniz? Evet, anahtar deponuzun çalınması durumunda (Tablo 4.1), anahtarlarınızın ortaya çıkmasını istemezsiniz. Dosya sisteminin boyutu olarak 1 MB seçtim çünkü yuvarlak bir rakam. Anahtarlar için bu kadar bir alana ihtiyacımız olmayacak, o zaman isterseniz daha ufak bir boyut seçebilirsiniz (her anahtar 61 byte uzunluğundadır).

Tekrar rasgele veri ile ilklendirin.

bash# cd /tmp/initrd
bash# head -c 1m /dev/urandom > keys

Parolayı sözlük saldırılarına dayanıklı kılmak için tohum üreteceğiz. Ne zaman <seed> sembolünü görürseniz, onu sizin oluşturduğunuz ile değiştirdiğinizden emin olun. Şu komut ekranda rasgele bir tohum gösterecektir.

bash# head -c 15 /dev/random | uuencode -m - | head -2 | tail -1

Tohumu kullanarak geridönüş aygıtını kurun. Parolanızı burada seçiyorsunuz. Unutmayacağınız birşey seçin. Diceware yöntemini güvenli bir parola seçmek için kullanmak isteyebilirsiniz.

bash# losetup -e AES128 -C 100 -S <seed> -T /dev/loop1 keys

Anahtar dosya sistemini biçimlendirin ve bağlayın (decrypt.sh betiği ext2 dosya sistemini kullandığınızı farzeder).

bash# mke2fs /dev/loop1
bash# mkdir /tmp/keys
bash# mount /dev/loop1 /tmp/keys

Şimdi gerçek şifrelenecek verinin anahtarı için 45 byte, bilgisayarınızın oluşturabildiği kadar rasgele seçilmiş olsun. Saldırgan, şimdi sözlük saldırısı deneyebilir! Haha! Anahtarı laptop diye isimlendirdiğimiz bilgisayar adından sonra isimlendiririz. Bunun yerine bilgisayarınızın adını kullanın.

bash# head -c 45 /dev/random | uuencode -m - | head -2 | tail -1 > /tmp/keys/laptop

Şifrelenecek veriye şifreli erişim sağlayan geridönüş aygıtını anahtar ile birlikte kurun.

bash# losetup -e AES128 -p 0 /dev/loop0 /tmp/asset < /tmp/keys/laptop

Anahtar dosya sistemini devreden çıkarın.

bash# umount /tmp/keys
bash# losetup -d /dev/loop1

Takas Bölümü

Sadece bir dosya şifreliyorsanız bu bölümü atlayın.

mkswap'a boyut parametresi vermek kritiktir, çünkü bu komutu sadece ona adanmış bir bölüm için kullanmıyoruz. İstediğiniz boyutu seçin, ben 2GB seçtim.

bash# mkswap /dev/loop0 $((2*1024*1024))
mkswap: warning: truncating swap area to 2097144kB
Setting up swapspace version 1, size = 2147471360 bytes

Kök Dosya Sistemi

Sadece bir dosya şifreliyorsanız, bunun gibi bir dosya sistemi ile şifreleyin ve Betikler bölümüne atlayın.

bash# mkfs /dev/loop0

Takas alanından sonra kök 'bölümünü' oluşturacağız. 'bölüm' kelimesini tırnak içinde yazıyorum çünkü gerçek bir bölüm değildir. losetup'ın -o göreli konum argümanını kullanarak onu yanıltıyoruz.

mkswap'in takas alanın istenen boyutta olması gerekmeyen gerçek boyutunu bize nasıl belirttiğine dikkat edin. Göreli konumu kök dosya sistemine başlamak için belirlerken gerçek boyutu (yukarıdaki örnekte 2147471360 idi) kullanın.

bash# losetup -o <root offset> /dev/loop1 /dev/loop0

Eğer şifrelenecek veri bütün disk ya da diskin son bölümü ise, o zaman dosya sistemi için bir boyut belirliyeceğiz diye telaşa gerek yoktur. Sizin durumunuz buna uyuyor ise aşağıdakileri yapın ve initrd Bağlama Noktasıkısmına geçin.

bash# mkfs /dev/loop1

Şifrelenecek veri diskin son bölümü olmadığı için, mkfs'e boyut kısıtlaması vermek zorundayız ya da bunun ile diskin sonu arasındakı bütün bölümlere yazılacaktır. Tekrarlıyorum, eğer mkfs'e doğru boyutta parametre vermez iseniz, veri kaybına uğrayabilirsiniz. mkfs aslında sadece bir ön uçtur, dolayısı ile azami ölçüde dikkatli olmak için gerçek bir dosya sistemi oluşturucusu seçeceğiz, bu durumda mke2fs'i.

Dosya sisteminin boyutunu öbeklerle belirtmek sureti ile kısıtlamak mümkündür, fakat mke2fs öbek boyutunu dosya sisteminin boyutuna dayanarak seçer. Klasik Catch-22! Bizim için öbek boyutun ne seçileceğini bulabilir (istediğimizden de fazlası).

bash# mke2fs -n -j /dev/loop1
mke2fs 1.34-WIP (21-May-2003)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
9781248 inodes, 19544448 blocks
977222 blocks (5.00%) reserved for the super user
First data block=0
597 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
        32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
        4096000, 7962624, 11239424

Bu durum için 4096 seçti. Ne seçerse seçsin bizim dosya sistemimiz için yakın bir değerdir. Doğru boyutu blok cinsinden hesaplayınız.

dosya sistemi boyutu = (bölüm boyutu - takas alanın boyutu) / blok boyutu

Bölümün boyutunu 10GB ve takas bölümünün boyutunu 2GB farzedin. mke2fs için doğru boyut:

(10 - 2) x 2³⁰ / 4096 = 2097152

Yanlış anlamayın! Yedekleme yapın! İki kere ölçün, bir kere biçin!

bash# mke2fs -j /dev/loop1 2097152

initrd Bağlama Noktası

Yeni kök dosya sistemini bağlayın ve initrd bağlama noktasını oluşturun. Bu linuxrc betiğinin pivot_root çağrısı için gereklidir.

bash# mount /dev/loop1 mnt/new-root
bash# mkdir mnt/new-root/initrd
bash# umount mnt/new-root

Betikler

Şifre çözme betiğini oluşturmak için yeterli bilgimiz var. Değişkenleri başlangıçta değiştirin (önceden ürettiğiniz tohum da dahil).

Bütün diski ya da bir bölümü şifreliyorsanız, ROOT_OFFSET'e mkswap'den aldığınız değeri atayın. Betiği /tmp/initrd dizinine koyun ve ismini decrypt.sh olarak değiştirin.

Sadece bir dosya şifreliyorsanız, o zaman bu betik herhangi bir yerde bulunabilir. Bu durumda ROOT_OFFSET'e 0 atadığınızdan emin olun ve MOUNT'ta da uygun bir bağlama noktası atayın (muhtemelen /mnt/new-root değil).

Şekil 4.1. /tmp/initrd/decrypt.sh

#!/bin/sh

SEED=<seed>
ASSET=/dev/hda
ROOT_OFFSET=<root offset>
ROOT_TYPE=ext3
MOUNT=/mnt/new-root
KEY="$1"

# Anahtarları açmak için parola sor (bu anahtar zinciri sahibi
tarafından kaybedildiğinde anahtarların ortaya çıkmasını engeller).
Kullanıcıya parolayı bilebilmesi için üç hak verin.

for ((FAILED=1, TRY=1; ($FAILED != 0) && (TRY <= 3); TRY++))
do
        mount -n -t ext2 -o loop=/dev/loop1,encryption=AES128,itercountk=100,pseed=$SEED keys /mnt/keys
        FAILED=$?
done

if [ $FAILED -ne 0 ]; then
        echo "Üzgünüm, parolayı tahmin için sadece üç hakkınız var."
        exit 1
fi

# Şifreli veriyi çözmek için anahtarı kullan.
losetup -e AES128 -p 0 /dev/loop0 $ASSET < "/mnt/keys/$KEY"

# Anahtarları kapat.
umount -n /mnt/keys
losetup -d /dev/loop1

# Kök dizin "bölüm" aygıtını kur.
losetup -o $ROOT_OFFSET /dev/loop1 /dev/loop0

# Kök dizin dosya sistemini bağlayın (fsck ile denetlenebilmesi için salt-okunur olmalıdır).
mount -n -r -t $ROOT_TYPE /dev/loop1 $MOUNT

Betiği çalıştırılabilir yapın.

bash# chmod +x decrypt.sh

Eğer sadece bir dosya şifreliyorsanız, Sınama ve Yedekleme bölümüne geçin. Aksi takdirde, aşağıdaki betiği linuxrc ismi ile kaydedin ve onu /tmp/initrd dizinine yerleştirin.

Şekil 4.2. /tmp/initrd/linuxrc

#!/bin/sh

# Şifreli veriyi çöz
source decrypt.sh "$1"

#Şifreli verinin kök dizin dosya sistemini değiştir.
cd $MOUNT
/sbin/pivot_root . initrd

# Kontrolü init'e ver.
shift 1
exec chroot . /sbin/init $* <dev/console >dev/console 2>&1

Betiği çalıştırılabilir yapın.

bash# chmod +x linuxrc

Tamam, anahtar zinciri ve şifrelenen veri şimdi hazır. Herşeyi çözün.

bash# umount /tmp/{initrd,keychain}

Şimdi boş şifreli bir dosya sisteminiz var. Yaşasın!

Sınama ve Yedekleme

Sisteminizi anahtar zincirinden önyükleme yaparak ya da decrypt.sh betiğini uygun şekilde yürüterek sınayın (betiğe değiştirge olarak kullanmak istediğiniz anahtarın ismini verin). Önyüklemeden sonra /sbin/init'in varolmadığı gibi bir uyarı olabilir ama şimdilik bu sorun değil.

Kök dizininizin başarılı bir şekilde bağlanmış olduğunu kontrol edin. Herşeyin çalıştığından emin olduğunuzda, anahtar deponuzu yedekleyin. Aslında, birçok yedek alın. Şunu sorabilirsiniz, "Fakat anahtar depomun biryerlerde kopyasının olması güvenlik için tehlikeli değil mi?" Cevabı evettir, fakat anahtar deponuzu kaybetmek kadar tehlikeli değildir, eğer güvenliği "bilgime erişimi koruma" anlamında da kullanıyorsnız.

Anahtar depom ufak olduğu için bütün eşlemin yedeğini almaya karar verdim, böylece geri yüklemek kolaydır:

bash# bzip2 -c /dev/sda > keychain.img.bz2

Sadece bir dosyayı kopyalıyorsanız, arkanıza yaslanabilirsiniz çünkü işiniz bitti.

Kurtarma Diski

Kurtarma diskleri, bir sistemin düzgün çalışmadığı ve/veya önyükleme yapmadığı durumlarda işe yarar. Kurtarma diskinizin çekirdeğinde loop-AES desteği olduğundan ve util-linux losetup ve mount gibi düzgün yamanmış araçlar olduğundan emin olun, aksi takdirde şifrelediğiniz veri işe yaramayacaktır. Gelecekte, bütün kurtarma diskleri bu desteği içerecekler, çünkü 2.6 çekirdeği ile birlikte standart olacak. Bu arada, KNOPPIX (örneğin) şimdiden gerekli desteği sağlar ve kurtarma diski olarak kullanılabilir.

Uygun bir kurtarma diski ile önyükleme yaptıktan sonra, anahtar deponuzu bağlayın ve decrypt.sh betiğini yürütün.

bash# mkdir /tmp/{keychain,initrd}
bash# mount /dev/sda1 /tmp/keychain
bash# mount -o loop=/dev/loop3 /tmp/keychain/boot/initrd /tmp/initrd
bash# pushd /tmp/initrd
bash# ./decrypt.sh laptop
bash# popd
bash# umount /tmp/{initrd,keychain}

Şifreli verinize şimdi decrypt.sh'de tanımlanan bağlama noktasından erişebilirsiniz.

Linux Kurma

Son göreviniz yeni şifreli dosya sisteminize Linux kurmaktır. Bunu yaparken /etc/fstab dosyasında kök dizin ve takas alanı için girişlerin aşağıdaki gibi olduğundan emin olun:

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>               <dump>  <pass>
/dev/loop0      none            swap    sw                      0       0
/dev/loop1      /               ext3    errors=remount-ro       0       1

Daha önceden başka biryerde bir kurulumunuz varsa, Disk Yükseltme mini-NASIL belgesini nasıl kopyalama yapıldığını öğrenmek için okuyabilirsiniz.

Yeni bir Linux kurmanın yordamı dağıtımdan dağıtıma değişir. Lütfen aşağıda listelenmeyen dağıtımlar için yönergeleri bana gönderiniz ve onları buraya ekleyeceğim.

Debian

Kurtarma Diski'de ki yönergeleri takip ederek bir kurtarma diskinden önyükleme yapın.
3.7 Unix/Linux Sisteminden Debian GNU/Linux Kurma yöntemini kullanarak kurun.

Gentoo

Kurtarma Diski'de ki yönergeleri takip ederek bir kurtarma diskinden (Gentoo's Live CD 1.4 çalışmayacaktır) önyükleme yapın.
Eğer oluşturduğunuz bir takas alanı var ise onu etkinleştirin.
```
bash# swapon /dev/loop0
```
/mnt/gentoo'yu kök dizin dosya sistemine yönlendirin.
```
bash# ln -s new-root /mnt/gentoo
```
Gentoo Linux 1.4 Kurulum Yönergeleri'de ki8. Bölüm - Aşama Tar Paketleri ve chroot bölümüne atlayın.

İşlevsizlik Halinde Oturumu Kapama

Sisteminizin belirli bir süre etkin olmaması durumunda otomatik olarak oturum kapanacak şekilde ayarlayın. Bu dizüstü bilgisayarınız açıkken çalınması durumunda şifreli verinizin ortaya çıkma riskini azaltacaktır (fakat tam olarak önlemez!) (Tablo 4.1'e bakın).