Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
cryptsetup [Le 13/08/2020, 02:39]
162.222.146.146 cheat sheet étendu
cryptsetup [Le 16/06/2021, 11:14]
zococo [Modifier le mot de passe de la partition chiffrée]
Ligne 124: Ligne 124:
  
 Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs. Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs.
 +<note warning>​pam_mount ne prend pas en charge les partitions LUKS2, ([[https://​wiki.archlinux.org/​index.php/​pam_mount|voir ici]])</​note>​
  
 La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /​mnt/​cryptodisk. La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /​mnt/​cryptodisk.
Ligne 183: Ligne 184:
 exit 0 exit 0
 </​code>​ </​code>​
 +
 +==== Modifier le mot de passe de la partition chiffrée ===
 +LUKS autorise jusqu'​à 8 mots de passe pour une même partition, ce qui permet d'​attribuer des mots de passe différents à différents utilisateurs. Pour supprimer un mot de passe existant, il convient préalablement d'​ajouter un mot de passe supplémentaire avant de supprimer l'​ancien mot de passe.
 +=== Ajouter un mot de passe supplémentaire ===
 +On suppose que l'​utilisateur a parfaitement identifié la partition physique chiffrée, par exemple avec lsblk :
 +<​code>​
 +usr@pc:~$ sudo lsblk
 +sda                        8:0    0 211,​8G ​ 0 disk  ​
 +├─sda1 ​                    ​8:​1 ​   0   ​512M ​ 0 part  /boot/efi
 +├─sda2 ​                    ​8:​2 ​   0   ​700M ​ 0 part  /boot
 +└─sda3 ​                    ​8:​3 ​   0 210,​6G ​ 0 part  ​
 +  └─partition_chiffree
 +                         ​253:​0 ​   0 210,​6G ​ 0 crypt 
 +    ├─PartitionLUKS--vg-root 253:1    0    30G  0 lvm   /
 +    └─PartitionLUKS--vg-home 253:2    0    180G  0 lvm   /home
 +sdb                        8:48   0 800,​4G ​ 0 disk  ​
 +└─sdb1 ​                    ​8:​49 ​  0 800,​4G ​ 0 part   /​media/​disque
 +</​code>​
 +Dans l'​exemple ci-dessus, la partition dont le mot de passe doit être modifié est la partition /dev/sda3. L'​ajout d'un mot de passe se fait en utilisant la commande **cryptsetup luksAddKey**. L'​affichage interactif invite ensuite l'​utilisateur,​ dans le terminal, à saisir d'​abord une clé valide (la seule s'il n'y en a qu'​une),​ puis, à deux reprises, le nouveau mot de passe (nouvelle clé ou nouvelle phrase secrète : ces termes sont ici synonymes).
 +<​code>​
 +usr@pc:~$ sudo cryptsetup luksAddKey /dev/sda3
 +Entrez une phrase secrète existante : ​
 +Entrez une nouvelle phrase secrète pour l'​emplacement de clé : ​
 +Vérifiez la phrase secrète : ​
 +</​code>​
 +Une fois ce nouveau mot de passe créé, il est désormais possible de supprimer l'​ancien mot de passe.
 +=== Supprimer un mot de passe ===
 +<note important>​Attention à bien avoir préalablement créé au moins un autre mot de passe pour le conteneur chiffré qui permettra de le déverrouiller ultérieurement</​note>​
 +La suppression d'un mot de passe utilise la commande **cryptsetup luksRemoveKey**. Celle-ci nécessite, tout comme lors de la création d'un mot de passe, de connaître la partition physique sur laquelle opérer. Dans l'​exemple ci-dessous, c'est toujours /dev/sda3. Après avoir saisi la commande suivie de la partition, il suffit donc, à l'​invite du terminal, de saisir la phrase secrète (le mot de passe) à supprimer pour que celle-ci le soit immédiatement :
 +<​code>​
 +usr@pc:~$ sudo cryptsetup luksRemoveKey /dev/sda3
 +Entrez la phrase secrète à effacer : ​
 +</​code>​
 +C'est tout.
 +<note tip>Il semblerait que la commande **luksChangeKey** permettre d'​effectuer l'​opération de changement de clé en une seule opération. À vérifier.
 +<​code>​
 +usr@pc:~$ cryptsetup luksChangeKey <target device> -S <target key slot number>
 +</​code>​
 +</​note>​
 +
 ===== Chiffrer votre système avec le swap aléatoirement ===== ===== Chiffrer votre système avec le swap aléatoirement =====
 Allez voir ce tutoriel pour plus d'​information sur le sujet : [[:​chiffrement_manuel]] Allez voir ce tutoriel pour plus d'​information sur le sujet : [[:​chiffrement_manuel]]
  • cryptsetup.txt
  • Dernière modification: Le 16/06/2021, 11:14
  • par zococo