Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
Dernière révision Les deux révisions suivantes
cryptsetup [Le 22/04/2020, 16:15]
86.217.169.189 Il est préférable de laisser les paramètres de sécurité par défaut de la distribution plutôt que de suggérer des paramètres plus faibles que ceux par défaut.
cryptsetup [Le 16/06/2021, 11:10]
zococo [Chiffrer une partition]
Ligne 79: Ligne 79:
 <​code>​ # <target name> <source device> ​        <​key file> ​     <​options>​ <​code>​ # <target name> <source device> ​        <​key file> ​     <​options>​
 home /​dev/​hda7 ​ none    luks </​code>​ home /​dev/​hda7 ​ none    luks </​code>​
 +
 +Si vos disques cryptés ont des noms séquentiels vous pouvez utiliser une boucle: <​code>​ for i in sda1 sda2 ; do echo "​${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"'​ -f 2) none luks" >> /​etc/​crypttab ; done </​code> ​
 +
 +Si vous désirez que tout vous array raid soient décryptés:​ <​code>​ truncate -s 0 /​etc/​crypttab ; for i in $(cat /​proc/​mdstat | grep -E "​^md"​ | cut -d ' ' -f 1) ; do echo "​${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"'​ -f 2) none luks" >> /​etc/​crypttab ; done </​code>​
  
 Modifier **/​etc/​fstab** pour le volume qui nous intéresse : Modifier **/​etc/​fstab** pour le volume qui nous intéresse :
Ligne 120: Ligne 124:
  
 Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs. Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs.
 +<note warning>​pam_mount ne prend pas en charge les partitions LUKS2, ([[https://​wiki.archlinux.org/​index.php/​pam_mount|voir ici]])</​note>​
  
 La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /​mnt/​cryptodisk. La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /​mnt/​cryptodisk.
Ligne 179: Ligne 184:
 exit 0 exit 0
 </​code>​ </​code>​
 +
 +==== Modifier le mot de passe de la partition chiffrée ===
 +LUKS autorise jusqu'​à 8 mots de passe pour une même partition, ce qui permet d'​attribuer des mots de passe différents à différents utilisateurs. Pour supprimer un mot de passe existant, il convient préalablement d'​ajouter un mot de passe supplémentaire avant de supprimer l'​ancien mot de passe.
 +=== Ajouter un mot de passe supplémentaire ===
 +On suppose que l'​utilisateur a parfaitement identifié la partition physique chiffrée, par exemple avec lsblk :
 +<​code>​
 +usr@pc:~$ sudo lsblk
 +sda                        8:0    0 211,​8G ​ 0 disk  ​
 +├─sda1 ​                    ​8:​1 ​   0   ​512M ​ 0 part  /boot/efi
 +├─sda2 ​                    ​8:​2 ​   0   ​700M ​ 0 part  /boot
 +└─sda3 ​                    ​8:​3 ​   0 210,​6G ​ 0 part  ​
 +  └─partition_chiffree
 +                         ​253:​0 ​   0 210,​6G ​ 0 crypt 
 +    ├─PartitionLUKS--vg-root 253:1    0    30G  0 lvm   /
 +    └─PartitionLUKS--vg-home 253:2    0    180G  0 lvm   /home
 +sdb                        8:48   0 800,​4G ​ 0 disk  ​
 +└─sdb1 ​                    ​8:​49 ​  0 800,​4G ​ 0 part   /​media/​disque
 +</​code>​
 +Dans l'​exemple ci-dessus, la partition dont le mot de passe doit être modifié est la partition /dev/sda3. L'​ajout d'un mot de passe se fait en utilisant la commande **cryptsetup luksAddKey**. L'​affichage interactif invite ensuite l'​utilisateur,​ dans le terminal, à saisir d'​abord une clé valide (la seule s'il n'y en a qu'​une),​ puis, à deux reprises, le nouveau mot de passe (nouvelle clé ou nouvelle phrase secrète : ces termes sont ici synonymes).
 +<​code>​
 +usr@pc:~$ sudo cryptsetup luksAddKey /dev/sda3
 +Entrez une phrase secrète existante : ​
 +Entrez une nouvelle phrase secrète pour l'​emplacement de clé : ​
 +Vérifiez la phrase secrète : ​
 +</​code>​
 +Une fois ce nouveau mot de passe créé, il est désormais possible de supprimer l'​ancien mot de passe.
 +=== Supprimer un mot de passe ===
 +<note important>​Attention à bien avoir préalablement créé au moins un autre mot de passe pour le conteneur chiffré qui permettra de le déverrouiller ultérieurement</​note>​
 +La suppression d'un mot de passe utilise la commande **cryptsetup luksRemoveKey**. Celle-ci nécessite, tout comme lors de la création d'un mot de passe, de connaître la partition physique sur laquelle opérer. Dans l'​exemple ci-dessous, c'est toujours /dev/sda3. Après avoir saisi la commande suivie de la partition, il suffit donc, à l'​invite du terminal, de saisir la phrase secrète (le mot de passe) à supprimer pour que celle-ci le soit immédiatement :
 +<​code>​
 +usr@pc:~$ sudo cryptsetup luksRemoveKey /dev/sdd1
 +Entrez la phrase secrète à effacer : ​
 +</​code>​
 +C'est tout.
 +<note tip>Il semblerait que la commande **luksChangeKey** permettre d'​effectuer l'​opération de changement de clé en une seule opération. À vérifier.
 +<​code>​
 +usr@pc:~$ cryptsetup luksChangeKey <target device> -S <target key slot number>
 +</​code>​
 +</​note>​
 +
 ===== Chiffrer votre système avec le swap aléatoirement ===== ===== Chiffrer votre système avec le swap aléatoirement =====
 Allez voir ce tutoriel pour plus d'​information sur le sujet : [[:​chiffrement_manuel]] Allez voir ce tutoriel pour plus d'​information sur le sujet : [[:​chiffrement_manuel]]
  • cryptsetup.txt
  • Dernière modification: Le 16/06/2021, 11:14
  • par zococo