Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
tutoriel:chiffrer_son_disque [Le 05/01/2017, 10:36] 130.120.116.50 [Booter sur l'alternate] |
tutoriel:chiffrer_son_disque [Le 18/06/2021, 14:14] 0ol |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag> precise trusty sécurité chiffrement tutoriel}} | + | {{tag>Xenial Bionic sécurité chiffrement tutoriel}} |
======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== | ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== | ||
===== Introduction ===== | ===== Introduction ===== | ||
Ligne 32: | Ligne 32: | ||
<note important>Sauf pour la [[:variantes|variante Lubuntu]], l'**alternate CD** n'est plus disponible à partir des versions d'Ubuntu [[:trusty|Trusty 14.04]]. Les spécificités de l'Alternate CD sont maintenant reprises sur les images .iso Desktop d'Ubuntu.</note> | <note important>Sauf pour la [[:variantes|variante Lubuntu]], l'**alternate CD** n'est plus disponible à partir des versions d'Ubuntu [[:trusty|Trusty 14.04]]. Les spécificités de l'Alternate CD sont maintenant reprises sur les images .iso Desktop d'Ubuntu.</note> | ||
+ | |||
+ | <note important>L'outil de partitionnement de l'installateur sur les images .iso Desktop d'Ubuntu recentes ne permet pas d'utiliser LVM. Utilisez l'installeur d'une [[https://help.ubuntu.com/community/Installation/MinimalCD|mini .iso]] pour pouvoir suivre ce tutoriel</note> | ||
+ | |||
[[:installation_alternate#mode_par_defaut|Début de l'installation ]] | [[:installation_alternate#mode_par_defaut|Début de l'installation ]] | ||
+ | |||
<note> | <note> | ||
Les impressions écran ont été faite à l'aide d'une machine virtuelle ayant démarré sur une iso alternate. En conséquence, l'utilisation de l'espace disque a été revu à la baisse. | Les impressions écran ont été faite à l'aide d'une machine virtuelle ayant démarré sur une iso alternate. En conséquence, l'utilisation de l'espace disque a été revu à la baisse. | ||
Ligne 91: | Ligne 95: | ||
Dans cet exemple on supprime la clef présente dans le 2ème slot. | Dans cet exemple on supprime la clef présente dans le 2ème slot. | ||
cryptsetup luksKillSlot /dev/sda5 2 | cryptsetup luksKillSlot /dev/sda5 2 | ||
- | |||
- | |||
==== Entête LUKS ==== | ==== Entête LUKS ==== | ||
Si l'entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données. | Si l'entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données. | ||
Ligne 103: | Ligne 105: | ||
cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5 | cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5 | ||
- | === Monter la partition manuellement === | + | ===== Deuxieme disque ===== |
+ | Pour ne pas avoir à taper une passe-phrase pour chaque disque, on va se débrouiller pour que le 2e disque se déchiffre tout seul. Bien sur uniquement si on a réussi à déchiffrer le 1er. | ||
+ | |||
+ | |||
+ | ==== Chiffrement manuel ==== | ||
+ | On va chiffrer à l'aide d'une passe-phrase (là même que pour le disque 1) et formaté en ext4 le 2e disque. | ||
+ | |||
+ | |||
+ | <code bash> | ||
+ | cryptsetup luksFormat /dev/sdb1 | ||
+ | cryptsetup luksOpen /dev/sdb1 RAB | ||
+ | mkfs.ext4 /dev/mapper/RAB | ||
+ | cryptsetup luksClose RAB | ||
+ | </code> | ||
+ | |||
+ | ==== Création du fichier clef ==== | ||
+ | Création de ''/root/keyfile'' rempli aléatoirement, et mise en place de droits plus restrictif. | ||
+ | |||
+ | dd if=/dev/urandom of=/root/keyfile bs=1024 count=4 | ||
+ | chmod 400 /root/keyfile | ||
+ | |||
+ | ==== Ajout du fichier clef dans un slot ==== | ||
+ | Je le met dans le dernier slot. | ||
+ | |||
+ | cryptsetup luksAddKey /dev/sdb1 /root/keyfile --key-slot 7 | ||
+ | |||
+ | |||
+ | ==== crypttab ==== | ||
+ | |||
+ | Ajout dans crypttab | ||
+ | |||
+ | <file bash /etc/crypttab > | ||
+ | #… | ||
+ | sdb1_crypt UUID=eba3e3fa-bbbb-3333-cccc-7f4f601fbc4c /root/keyfile luks | ||
+ | </file> | ||
+ | ==== fstab ==== | ||
+ | |||
+ | Ajout dans fstab | ||
+ | <file bash /etc/fstab > | ||
+ | #… | ||
+ | UUID="13907d57-1111-2222-91f6-40e4b026fba2" /disque2 ext4 defaults 0 2 | ||
+ | </file> | ||
+ | |||
+ | |||
+ | Et voilà :-P | ||
+ | |||
+ | lors du boot sera demandée une passe-phrase pour déchiffrer le 1er disque. | ||
+ | |||
+ | Le 2nd pourra alors accéder à son fichier clef ''keyfile'' et se déchiffrer automatiquement. | ||
+ | |||
+ | ===== Monter la partition manuellement ===== | ||
Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM. | Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM. | ||
<note tip> | <note tip> |