Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
cryptsetup [Le 16/06/2021, 11:14] zococo [Modifier le mot de passe de la partition chiffrée] |
cryptsetup [Le 19/11/2023, 19:50] (Version actuelle) cqfd93 Correction mineure (espace et minuscule) |
||
|---|---|---|---|
| Ligne 3: | Ligne 3: | ||
| ---- | ---- | ||
| + | <note warning>Cette page contient des références à Ubuntu 6.04 Dapper Drake. Son contenu est par conséquent probablement très obsolète et les bonnes pratiques en matière de cryptographie ont certainement changé depuis.</note> | ||
| ====== Partition chiffrée avec Cryptsetup ====== | ====== Partition chiffrée avec Cryptsetup ====== | ||
| Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système. Le chiffrement de partition permet d’éviter ça. | Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système. Le chiffrement de partition permet d’éviter ça. | ||
| - | Ubuntu intègre en standard les outils nécessaires à une gestion simple de votre sécurité. | + | Ubuntu intègre en standard les outils nécessaires à une gestion simple de votre sécurité. |
| =====Installation===== | =====Installation===== | ||
| Ligne 94: | Ligne 95: | ||
| Attention, si une ligne est déjà présente pour le montage de la partition qui héberge le système de fichier chiffré (/dev/hda7 dans l'exemple ci-dessus), il faut la commenter (en ajoutant un # comme premier caractère) pour éviter un message d'erreur au démarrage. | Attention, si une ligne est déjà présente pour le montage de la partition qui héberge le système de fichier chiffré (/dev/hda7 dans l'exemple ci-dessus), il faut la commenter (en ajoutant un # comme premier caractère) pour éviter un message d'erreur au démarrage. | ||
| - | Attention: Si le boot a lieu avec les options **quiet splash** supprimées, la demande de la phrase de décodification va passer inaperçue... Le boot se mettra à attendre la saisie de la clé. Le plus simple est d'appuyer sur la touche **entrée** afin qu'il repose la question. | + | Attention : si le boot a lieu avec les options **quiet splash** supprimées, la demande de la phrase de décodification va passer inaperçue... Le boot se mettra à attendre la saisie de la clé. Le plus simple est d'appuyer sur la touche **entrée** afin qu'il repose la question. |
| === Ouverture automatique du conteneur chiffré au démarrage à l'aide d'un support amovible === | === Ouverture automatique du conteneur chiffré au démarrage à l'aide d'un support amovible === | ||
| Ligne 184: | Ligne 185: | ||
| exit 0 | exit 0 | ||
| </code> | </code> | ||
| + | === Cas concret en version 22.04 === | ||
| + | * Créer la partition chiffrée en utilisant l'application [[:gnome-disk-utility#creer_une_partition_chiffree|gnome-disk-utility]]. | ||
| + | * Récupérer le UUID généré. Exemple: 1a831923-20f8-4219-aaa9-c13e6da8b6e2. | ||
| + | * Définir cette partition dans le fichier /etc/crypttab. Exemple:<code bash> echo PartitionChiffree UUID=1a831923-20f8-4219-aaa9-c13e6da8b6e2 none luks | sudo tee -a /etc/crypttab </code>Le mot** PartitionChiffree** peut être remplacé par tout mot qui vous convient. Les espaces sont interdits. Eviter les caractères spéciaux et les accents. | ||
| + | * Mettre à jour le fichier /etc/fstab. Exemple: <code bash> echo /dev/mapper/PartitionChiffree /media/PartitionChiffree ext4 defaults 0 1 | sudo tee -a /etc/fstab</code> | ||
| + | * Créer le point de montage<code bash>sudo mkdir -v /media/PartitionChiffree</code> | ||
| + | |||
| + | |||
| ==== Modifier le mot de passe de la partition chiffrée === | ==== Modifier le mot de passe de la partition chiffrée === | ||
| - | LUKS autorise jusqu'à 8 mots de passe pour une même partition, ce qui permet d'attribuer des mots de passe différents à différents utilisateurs. Pour supprimer un mot de passe existant, il convient préalablement d'ajouter un mot de passe supplémentaire avant de supprimer l'ancien mot de passe. | + | LUKS autorise jusqu'à 8 mots de passe pour une même partition, ce qui permet d'attribuer des mots de passe différents à différents utilisateurs. Cette limitation est de **[[https://forum.ubuntu-fr.org/viewtopic.php?pid=22618883#p22618883|32 ]]** si utilisation de la version 22.04 |
| + | |||
| + | Pour supprimer un mot de passe existant, il convient préalablement d'ajouter un mot de passe supplémentaire avant de supprimer l'ancien mot de passe __lorsque la partition n'en contient qu'un!__ | ||
| === Ajouter un mot de passe supplémentaire === | === Ajouter un mot de passe supplémentaire === | ||
| On suppose que l'utilisateur a parfaitement identifié la partition physique chiffrée, par exemple avec lsblk : | On suppose que l'utilisateur a parfaitement identifié la partition physique chiffrée, par exemple avec lsblk : | ||
| Ligne 223: | Ligne 234: | ||
| </code> | </code> | ||
| </note> | </note> | ||
| + | |||
| + | ===== Monter automatiquement le volume chiffré (LUKS) au démarrage ===== | ||
| + | |||
| + | Grâce à la librairie libpam-mount, il est possible de monter automatiquement un volume chiffré, occasionnant le fait que ce dernier soit configuré avec le même mot de passe que celui de l'utilisateur. | ||
| + | |||
| + | <code>sudo apt install libpam-mount libpam-mount-bin</code> | ||
| + | |||
| + | - Dans : /etc/pam.d/gdm-password : | ||
| + | |||
| + | Ajouter : | ||
| + | |||
| + | <code>auth optional pam_mount.so try_first_pass</code> | ||
| + | <code>session optional pam_mount.so</code> | ||
| + | |||
| + | |||
| + | - Dans /etc/security/pam_mount.conf.xml : | ||
| + | |||
| + | <code><volume user="awk" fstype="crypt" path="/dev/sdb1" mountpoint="/media/awk/Data" /></code> | ||
| + | |||
| + | (changer "awk" par votre nom d'utilisateur et "sdb1" par votre disque) | ||
| + | |||
| + | Le disque se déchiffre et se monte au démarrage du PC. | ||
| ===== Chiffrer votre système avec le swap aléatoirement ===== | ===== Chiffrer votre système avec le swap aléatoirement ===== | ||
| Allez voir ce tutoriel pour plus d'information sur le sujet : [[:chiffrement_manuel]] | Allez voir ce tutoriel pour plus d'information sur le sujet : [[:chiffrement_manuel]] | ||
| + | |||
| + | |||
| + | |||
| ===== Conclusion ===== | ===== Conclusion ===== | ||
| Ligne 234: | Ligne 270: | ||
| ===== Sous Windows ===== | ===== Sous Windows ===== | ||
| - | Grâce au logiciel [[http://sourceforge.net/projects/freeotfe.mirror/|FreeOTFE]], il est possible de monter de façon non permanente une partition LUKS chiffrée par Cryptsetup sous Linux à partir de votre système Windows. | + | Grâce au logiciel [[https://sourceforge.net/projects/freeotfe.mirror/|FreeOTFE]], il est possible de monter de façon non permanente une partition LUKS chiffrée par Cryptsetup sous Linux à partir de votre système Windows. |
| Pour monter et utiliser le même type de partition que celle décrite dans ce wiki, voici les étapes : | Pour monter et utiliser le même type de partition que celle décrite dans ce wiki, voici les étapes : | ||
| Ligne 260: | Ligne 296: | ||
| Ce volume ne survivra pas à un redémarrage, il faudra tout reprendre de zéro à chaque fois. | Ce volume ne survivra pas à un redémarrage, il faudra tout reprendre de zéro à chaque fois. | ||
| - | Si vous fermez FreeOTFE alors qu'il est en mode portable, vous devez lui spécifier de ne pas désactiver les pilotes d'encryptage afin de ne pas perdre l'usage de votre partition. | + | Si vous fermez FreeOTFE alors qu'il est en mode portable, vous devez lui spécifier de ne pas désactiver les pilotes d'encryptage afin de ne pas perdre l'usage de votre partition. |
| Avant de fermer votre ordinateur, il est recommandé de démonter la partition à l'aide de FreeOTFE et de lui permettre de désactiver tous les pilotes à sa fermeture. | Avant de fermer votre ordinateur, il est recommandé de démonter la partition à l'aide de FreeOTFE et de lui permettre de désactiver tous les pilotes à sa fermeture. | ||