Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
tutoriel:chiffrer_son_disque [Le 05/01/2017, 10:36] 130.120.116.50 [Booter sur l'alternate] |
tutoriel:chiffrer_son_disque [Le 18/06/2021, 14:14] 0ol |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag> precise trusty sécurité chiffrement tutoriel}} | + | {{tag>Xenial Bionic sécurité chiffrement tutoriel}} |
| ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== | ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| Ligne 32: | Ligne 32: | ||
| <note important>Sauf pour la [[:variantes|variante Lubuntu]], l'**alternate CD** n'est plus disponible à partir des versions d'Ubuntu [[:trusty|Trusty 14.04]]. Les spécificités de l'Alternate CD sont maintenant reprises sur les images .iso Desktop d'Ubuntu.</note> | <note important>Sauf pour la [[:variantes|variante Lubuntu]], l'**alternate CD** n'est plus disponible à partir des versions d'Ubuntu [[:trusty|Trusty 14.04]]. Les spécificités de l'Alternate CD sont maintenant reprises sur les images .iso Desktop d'Ubuntu.</note> | ||
| + | |||
| + | <note important>L'outil de partitionnement de l'installateur sur les images .iso Desktop d'Ubuntu recentes ne permet pas d'utiliser LVM. Utilisez l'installeur d'une [[https://help.ubuntu.com/community/Installation/MinimalCD|mini .iso]] pour pouvoir suivre ce tutoriel</note> | ||
| + | |||
| [[:installation_alternate#mode_par_defaut|Début de l'installation ]] | [[:installation_alternate#mode_par_defaut|Début de l'installation ]] | ||
| + | |||
| <note> | <note> | ||
| Les impressions écran ont été faite à l'aide d'une machine virtuelle ayant démarré sur une iso alternate. En conséquence, l'utilisation de l'espace disque a été revu à la baisse. | Les impressions écran ont été faite à l'aide d'une machine virtuelle ayant démarré sur une iso alternate. En conséquence, l'utilisation de l'espace disque a été revu à la baisse. | ||
| Ligne 91: | Ligne 95: | ||
| Dans cet exemple on supprime la clef présente dans le 2ème slot. | Dans cet exemple on supprime la clef présente dans le 2ème slot. | ||
| cryptsetup luksKillSlot /dev/sda5 2 | cryptsetup luksKillSlot /dev/sda5 2 | ||
| - | |||
| - | |||
| ==== Entête LUKS ==== | ==== Entête LUKS ==== | ||
| Si l'entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données. | Si l'entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données. | ||
| Ligne 103: | Ligne 105: | ||
| cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5 | cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5 | ||
| - | === Monter la partition manuellement === | + | ===== Deuxieme disque ===== |
| + | Pour ne pas avoir à taper une passe-phrase pour chaque disque, on va se débrouiller pour que le 2e disque se déchiffre tout seul. Bien sur uniquement si on a réussi à déchiffrer le 1er. | ||
| + | |||
| + | |||
| + | ==== Chiffrement manuel ==== | ||
| + | On va chiffrer à l'aide d'une passe-phrase (là même que pour le disque 1) et formaté en ext4 le 2e disque. | ||
| + | |||
| + | |||
| + | <code bash> | ||
| + | cryptsetup luksFormat /dev/sdb1 | ||
| + | cryptsetup luksOpen /dev/sdb1 RAB | ||
| + | mkfs.ext4 /dev/mapper/RAB | ||
| + | cryptsetup luksClose RAB | ||
| + | </code> | ||
| + | |||
| + | ==== Création du fichier clef ==== | ||
| + | Création de ''/root/keyfile'' rempli aléatoirement, et mise en place de droits plus restrictif. | ||
| + | |||
| + | dd if=/dev/urandom of=/root/keyfile bs=1024 count=4 | ||
| + | chmod 400 /root/keyfile | ||
| + | |||
| + | ==== Ajout du fichier clef dans un slot ==== | ||
| + | Je le met dans le dernier slot. | ||
| + | |||
| + | cryptsetup luksAddKey /dev/sdb1 /root/keyfile --key-slot 7 | ||
| + | |||
| + | |||
| + | ==== crypttab ==== | ||
| + | |||
| + | Ajout dans crypttab | ||
| + | |||
| + | <file bash /etc/crypttab > | ||
| + | #… | ||
| + | sdb1_crypt UUID=eba3e3fa-bbbb-3333-cccc-7f4f601fbc4c /root/keyfile luks | ||
| + | </file> | ||
| + | ==== fstab ==== | ||
| + | |||
| + | Ajout dans fstab | ||
| + | <file bash /etc/fstab > | ||
| + | #… | ||
| + | UUID="13907d57-1111-2222-91f6-40e4b026fba2" /disque2 ext4 defaults 0 2 | ||
| + | </file> | ||
| + | |||
| + | |||
| + | Et voilà :-P | ||
| + | |||
| + | lors du boot sera demandée une passe-phrase pour déchiffrer le 1er disque. | ||
| + | |||
| + | Le 2nd pourra alors accéder à son fichier clef ''keyfile'' et se déchiffrer automatiquement. | ||
| + | |||
| + | ===== Monter la partition manuellement ===== | ||
| Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM. | Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM. | ||
| <note tip> | <note tip> | ||