Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
tutoriel:chiffrer_son_disque [Le 10/04/2018, 12:05]
bougron [Installation.]
tutoriel:chiffrer_son_disque [Le 18/06/2021, 14:14]
0ol
Ligne 1: Ligne 1:
-{{tag> ​trusty xenial ​sécurité chiffrement tutoriel}}+{{tag>Xenial Bionic ​sécurité chiffrement tutoriel}}
 ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ======
 ===== Introduction ===== ===== Introduction =====
Ligne 95: Ligne 95:
 Dans cet exemple on supprime la clef présente dans le 2ème slot. Dans cet exemple on supprime la clef présente dans le 2ème slot.
   cryptsetup luksKillSlot /dev/sda5 2   cryptsetup luksKillSlot /dev/sda5 2
- 
- 
 ====  Entête LUKS ==== ====  Entête LUKS ====
 Si l'​entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données. Si l'​entête (header) du conteneur LUKS est endommagé, il ne sera plus possible d’accéder aux données.
Ligne 107: Ligne 105:
   cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5   cryptsetup luksHeaderRestore --header-backup-file machine-header /dev/sda5
  
-=== Monter la partition manuellement ===+===== Deuxieme disque ===== 
 +Pour ne pas avoir à taper une passe-phrase pour chaque disque, on va se débrouiller pour que le 2e disque se déchiffre tout seul. Bien sur uniquement si on a réussi à déchiffrer le 1er. 
 + 
 + 
 +==== Chiffrement manuel ​ ==== 
 +On va chiffrer à l'aide d'une passe-phrase (là même que pour le disque 1) et formaté en ext4 le 2e disque. 
 + 
 + 
 +<code bash> 
 +cryptsetup luksFormat /dev/sdb1 
 +cryptsetup luksOpen /dev/sdb1 RAB 
 +mkfs.ext4 /​dev/​mapper/​RAB 
 +cryptsetup luksClose RAB 
 +</​code>​ 
 + 
 +==== Création du fichier clef ==== 
 +Création de ''/​root/​keyfile''​ rempli aléatoirement,​ et mise en place de droits plus restrictif. 
 + 
 +  dd if=/​dev/​urandom of=/​root/​keyfile bs=1024 count=4 
 +  chmod 400 /​root/​keyfile 
 + 
 +==== Ajout du fichier clef dans un slot ==== 
 +Je le met dans le dernier slot. 
 + 
 +  cryptsetup luksAddKey /​dev/​sdb1 ​ /​root/​keyfile --key-slot 7 
 + 
 + 
 +==== crypttab ==== 
 + 
 +Ajout dans crypttab 
 + 
 +<file bash /​etc/​crypttab > 
 +#… 
 +sdb1_crypt UUID=eba3e3fa-bbbb-3333-cccc-7f4f601fbc4c /​root/​keyfile luks 
 +</​file>​ 
 +==== fstab ==== 
 + 
 +Ajout dans fstab 
 +<file bash /etc/fstab > 
 +#… 
 +UUID="​13907d57-1111-2222-91f6-40e4b026fba2"​ /​disque2 ​   ext4    defaults ​       0       2 
 +</​file>​ 
 + 
 + 
 +Et voilà :-P 
 + 
 +lors du boot sera demandée une passe-phrase pour déchiffrer le 1er disque. 
 + 
 +Le 2nd pourra alors accéder à son fichier clef ''​keyfile''​ et se déchiffrer automatiquement. 
 + 
 +===== Monter la partition manuellement ​=====
 Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM. Il vous faudra bien évidement booter sur un système prenant en charge dm-crypt et LVM.
 <note tip> <note tip>
Ligne 129: Ligne 177:
  
 Le chiffrement du seul /home avec [[:​ecryptfs]] comme proposé dans une installation desktop standard ne permet pas d'​assurer le même niveau de sécurité même si cela peut constituer une bonne alternative. De la même manière, chiffrer uniquement son /home avec un conteneur LUKS, est possible. Les performances (I/O système) ne seront pas trop dégradées,​ tout en ayant ses données sécurisées. Mais il faut garder en tête que pourrait transiter dans un espace temporaire ou en swap vos données en clair. Le chiffrement du seul /home avec [[:​ecryptfs]] comme proposé dans une installation desktop standard ne permet pas d'​assurer le même niveau de sécurité même si cela peut constituer une bonne alternative. De la même manière, chiffrer uniquement son /home avec un conteneur LUKS, est possible. Les performances (I/O système) ne seront pas trop dégradées,​ tout en ayant ses données sécurisées. Mais il faut garder en tête que pourrait transiter dans un espace temporaire ou en swap vos données en clair.
- 
-======Installer Ubuntu ​ dans un espace sécurisé ====== 
-===== Introduction. ===== 
-==== Pourquoi. ==== 
-Le titre du document étant ​ "​chiffrer son disque",​ ce qui suit explique une autre méthode qui n'est pas chiffrer le disque mais chiffrer **UBUNTU**. 
-Cela permet de ne pas chiffrer la totalité du disque mais seulement la seule partition du disque qui est allouée à ubuntu. Cela a l'​avantage de laisser d'​autres partitions hors chiffrement pour un accès aisé. ​ 
-====  Comment. ==== 
-L'​utilisation d'un conteneur chiffré LUKS assure la sécurité. ​ 
-Cela va chiffrer l'​intégralité des données, mises à part celles contenues dans le /boot, en une seule fois, il ne faudra donc qu'une seule fois "​montrer patte blanche"​ au moment du boot. L '​intégralité des répertoires est dans la même partition (/etc /swap /home   ​.....) à l'​exception du seul répertoire /boot afin de permettre le démarrage de Ubuntu. C'​est ​ le script ​ /​boot/​.../​script/​local-top qui vous demandera le mot de passe pour déverrouiller le démarrage de Ubuntu. Ce mot de passe sera d'au minima 6 caractères. Eviter si possible des catactères trop compliqués du style U avec accent circonflexe qu'il faut frapper avec deux touches. ​  Une idée ???  Ne prendre que des caractères compatibles querty/​azerty 
-==== Pré-requis ==== 
-Disposer d'un support d'​installation de la version 16.04  ou plus récente et booter avec en choisissant le choix "​essayer avant d'​installer"​. 
- 
-Fabriquer la partition qui va servir au boot. Son format peut être EXT2 ou EXT4. Sa taille sera d'au minima 256 Mo afin de permettre la cohabitation de 3 noyaux qui est le strict minima pour un fonctionnement correct. Si possible, mettre 512 Mo pour un peu de sécurité. 
- 
-Réfléchir à l'​existence d'une partition qui contiendrait des données qu'on souhaite laisser publiques. 
- 
-Fabriquer la partition qui va héberger le logiciel et les données de l'​utilisateur sous forme chiffrée. ​   La taille minima est de 5 Go. Le type de partition est sans importance car il sera détruit lors de l'​installation. 
-La taille de cette seule partition de ubuntu sera donc maxima. 
-===== Installation. ===== 
-Lancer l'​installation ​ en cliquant sur l'​icône présente. 
- 
-Prendre le choix "autre chose"​. 
- 
-Sélectionner la partition prévue à cet effet et choisir de la monter comme "​volume physique pour chiffrement"​. 
- 
-http://​pix.toile-libre.org/​upload/​original/​1523212163.png 
- 
-. 
- 
-Sélectionner la nouvelle partition qui vient d'​être créée sous la structure **/​dev/​mapper** ​ et indiquer qu'​elle sera au format EXT4 et destinée au point de montage ** /**  
- 
-Appliquer l'​action et laisser du temps  (beaucoup ?)  pour réalisation... 
- 
-Sélectionner éventuellement ​ la partition de boot EFI. ( Pour l'​instant,​ le logiciel semble s'en moquer). ​ 
- 
-Sélectionner la partition prévue pour recevoir la structure de boot et indiquer qu'​elle sera au format EXT2 et destinée au point de montage** /boot 
-** 
- 
-**Dire de faire l'​installation.** 
- 
-Rappel: La  création d'une partition /home est impossible. ​ 
- 
  
  
  • tutoriel/chiffrer_son_disque.txt
  • Dernière modification: Le 18/06/2021, 14:14
  • par 0ol