Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
cryptsetup [Le 22/04/2020, 16:15] 86.217.169.189 Il est préférable de laisser les paramètres de sécurité par défaut de la distribution plutôt que de suggérer des paramètres plus faibles que ceux par défaut. |
cryptsetup [Le 16/06/2021, 11:10] zococo [Chiffrer une partition] |
||
---|---|---|---|
Ligne 79: | Ligne 79: | ||
<code> # <target name> <source device> <key file> <options> | <code> # <target name> <source device> <key file> <options> | ||
home /dev/hda7 none luks </code> | home /dev/hda7 none luks </code> | ||
+ | |||
+ | Si vos disques cryptés ont des noms séquentiels vous pouvez utiliser une boucle: <code> for i in sda1 sda2 ; do echo "${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"' -f 2) none luks" >> /etc/crypttab ; done </code> | ||
+ | |||
+ | Si vous désirez que tout vous array raid soient décryptés: <code> truncate -s 0 /etc/crypttab ; for i in $(cat /proc/mdstat | grep -E "^md" | cut -d ' ' -f 1) ; do echo "${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"' -f 2) none luks" >> /etc/crypttab ; done </code> | ||
Modifier **/etc/fstab** pour le volume qui nous intéresse : | Modifier **/etc/fstab** pour le volume qui nous intéresse : | ||
Ligne 120: | Ligne 124: | ||
Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs. | Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs. | ||
+ | <note warning>pam_mount ne prend pas en charge les partitions LUKS2, ([[https://wiki.archlinux.org/index.php/pam_mount|voir ici]])</note> | ||
La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /mnt/cryptodisk. | La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /mnt/cryptodisk. | ||
Ligne 179: | Ligne 184: | ||
exit 0 | exit 0 | ||
</code> | </code> | ||
+ | |||
+ | ==== Modifier le mot de passe de la partition chiffrée === | ||
+ | LUKS autorise jusqu'à 8 mots de passe pour une même partition, ce qui permet d'attribuer des mots de passe différents à différents utilisateurs. Pour supprimer un mot de passe existant, il convient préalablement d'ajouter un mot de passe supplémentaire avant de supprimer l'ancien mot de passe. | ||
+ | === Ajouter un mot de passe supplémentaire === | ||
+ | On suppose que l'utilisateur a parfaitement identifié la partition physique chiffrée, par exemple avec lsblk : | ||
+ | <code> | ||
+ | usr@pc:~$ sudo lsblk | ||
+ | sda 8:0 0 211,8G 0 disk | ||
+ | ├─sda1 8:1 0 512M 0 part /boot/efi | ||
+ | ├─sda2 8:2 0 700M 0 part /boot | ||
+ | └─sda3 8:3 0 210,6G 0 part | ||
+ | └─partition_chiffree | ||
+ | 253:0 0 210,6G 0 crypt | ||
+ | ├─PartitionLUKS--vg-root 253:1 0 30G 0 lvm / | ||
+ | └─PartitionLUKS--vg-home 253:2 0 180G 0 lvm /home | ||
+ | sdb 8:48 0 800,4G 0 disk | ||
+ | └─sdb1 8:49 0 800,4G 0 part /media/disque | ||
+ | </code> | ||
+ | Dans l'exemple ci-dessus, la partition dont le mot de passe doit être modifié est la partition /dev/sda3. L'ajout d'un mot de passe se fait en utilisant la commande **cryptsetup luksAddKey**. L'affichage interactif invite ensuite l'utilisateur, dans le terminal, à saisir d'abord une clé valide (la seule s'il n'y en a qu'une), puis, à deux reprises, le nouveau mot de passe (nouvelle clé ou nouvelle phrase secrète : ces termes sont ici synonymes). | ||
+ | <code> | ||
+ | usr@pc:~$ sudo cryptsetup luksAddKey /dev/sda3 | ||
+ | Entrez une phrase secrète existante : | ||
+ | Entrez une nouvelle phrase secrète pour l'emplacement de clé : | ||
+ | Vérifiez la phrase secrète : | ||
+ | </code> | ||
+ | Une fois ce nouveau mot de passe créé, il est désormais possible de supprimer l'ancien mot de passe. | ||
+ | === Supprimer un mot de passe === | ||
+ | <note important>Attention à bien avoir préalablement créé au moins un autre mot de passe pour le conteneur chiffré qui permettra de le déverrouiller ultérieurement</note> | ||
+ | La suppression d'un mot de passe utilise la commande **cryptsetup luksRemoveKey**. Celle-ci nécessite, tout comme lors de la création d'un mot de passe, de connaître la partition physique sur laquelle opérer. Dans l'exemple ci-dessous, c'est toujours /dev/sda3. Après avoir saisi la commande suivie de la partition, il suffit donc, à l'invite du terminal, de saisir la phrase secrète (le mot de passe) à supprimer pour que celle-ci le soit immédiatement : | ||
+ | <code> | ||
+ | usr@pc:~$ sudo cryptsetup luksRemoveKey /dev/sdd1 | ||
+ | Entrez la phrase secrète à effacer : | ||
+ | </code> | ||
+ | C'est tout. | ||
+ | <note tip>Il semblerait que la commande **luksChangeKey** permettre d'effectuer l'opération de changement de clé en une seule opération. À vérifier. | ||
+ | <code> | ||
+ | usr@pc:~$ cryptsetup luksChangeKey <target device> -S <target key slot number> | ||
+ | </code> | ||
+ | </note> | ||
+ | |||
===== Chiffrer votre système avec le swap aléatoirement ===== | ===== Chiffrer votre système avec le swap aléatoirement ===== | ||
Allez voir ce tutoriel pour plus d'information sur le sujet : [[:chiffrement_manuel]] | Allez voir ce tutoriel pour plus d'information sur le sujet : [[:chiffrement_manuel]] |