Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
tutoriel:chiffrer_son_disque [Le 10/04/2018, 10:45] bougron [Conclusion] |
tutoriel:chiffrer_son_disque [Le 18/06/2021, 14:14] 0ol |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag> trusty xenial sécurité chiffrement tutoriel}} | + | {{tag>Xenial Bionic sécurité chiffrement tutoriel}} |
| ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== | ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| Ligne 95: | Ligne 95: | ||
| Dans cet exemple on supprime la clef présente dans le 2ème slot. | Dans cet exemple on supprime la clef présente dans le 2ème slot. | ||
| cryptsetup luksKillSlot /dev/sda5 2 | cryptsetup luksKillSlot /dev/sda5 2 | ||
| - | |||
| - | |||
| ==== Entête LUKS ==== | ==== Entête LUKS ==== | ||
| Si l'entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données. | Si l'entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données. | ||
| Ligne 107: | Ligne 105: | ||
| cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5 | cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5 | ||
| - | === Monter la partition manuellement === | + | ===== Deuxieme disque ===== |
| + | Pour ne pas avoir à taper une passe-phrase pour chaque disque, on va se débrouiller pour que le 2e disque se déchiffre tout seul. Bien sur uniquement si on a réussi à déchiffrer le 1er. | ||
| + | |||
| + | |||
| + | ==== Chiffrement manuel ==== | ||
| + | On va chiffrer à l'aide d'une passe-phrase (là même que pour le disque 1) et formaté en ext4 le 2e disque. | ||
| + | |||
| + | |||
| + | <code bash> | ||
| + | cryptsetup luksFormat /dev/sdb1 | ||
| + | cryptsetup luksOpen /dev/sdb1 RAB | ||
| + | mkfs.ext4 /dev/mapper/RAB | ||
| + | cryptsetup luksClose RAB | ||
| + | </code> | ||
| + | |||
| + | ==== Création du fichier clef ==== | ||
| + | Création de ''/root/keyfile'' rempli aléatoirement, et mise en place de droits plus restrictif. | ||
| + | |||
| + | dd if=/dev/urandom of=/root/keyfile bs=1024 count=4 | ||
| + | chmod 400 /root/keyfile | ||
| + | |||
| + | ==== Ajout du fichier clef dans un slot ==== | ||
| + | Je le met dans le dernier slot. | ||
| + | |||
| + | cryptsetup luksAddKey /dev/sdb1 /root/keyfile --key-slot 7 | ||
| + | |||
| + | |||
| + | ==== crypttab ==== | ||
| + | |||
| + | Ajout dans crypttab | ||
| + | |||
| + | <file bash /etc/crypttab > | ||
| + | #… | ||
| + | sdb1_crypt UUID=eba3e3fa-bbbb-3333-cccc-7f4f601fbc4c /root/keyfile luks | ||
| + | </file> | ||
| + | ==== fstab ==== | ||
| + | |||
| + | Ajout dans fstab | ||
| + | <file bash /etc/fstab > | ||
| + | #… | ||
| + | UUID="13907d57-1111-2222-91f6-40e4b026fba2" /disque2 ext4 defaults 0 2 | ||
| + | </file> | ||
| + | |||
| + | |||
| + | Et voilà :-P | ||
| + | |||
| + | lors du boot sera demandée une passe-phrase pour déchiffrer le 1er disque. | ||
| + | |||
| + | Le 2nd pourra alors accéder à son fichier clef ''keyfile'' et se déchiffrer automatiquement. | ||
| + | |||
| + | ===== Monter la partition manuellement ===== | ||
| Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM. | Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM. | ||
| <note tip> | <note tip> | ||
| Ligne 129: | Ligne 177: | ||
| Le chiffrement du seul /home avec [[:ecryptfs]] comme proposé dans une installation desktop standard ne permet pas d'assurer le même niveau de sécurité même si cela peut constituer une bonne alternative. De la même manière, chiffrer uniquement son /home avec un conteneur LUKS, est possible. Les performances (I/O système) ne seront pas trop dégradées, tout en ayant ses données sécurisées. Mais il faut garder en tête que pourrait transiter dans un espace temporaire ou en swap vos données en clair. | Le chiffrement du seul /home avec [[:ecryptfs]] comme proposé dans une installation desktop standard ne permet pas d'assurer le même niveau de sécurité même si cela peut constituer une bonne alternative. De la même manière, chiffrer uniquement son /home avec un conteneur LUKS, est possible. Les performances (I/O système) ne seront pas trop dégradées, tout en ayant ses données sécurisées. Mais il faut garder en tête que pourrait transiter dans un espace temporaire ou en swap vos données en clair. | ||
| - | |||
| - | ======Installer Ubuntu dans dans un espace sécurisé ====== | ||