« LUKS : Chiffrer sa partition home » : différence entre les versions

De Adadov.net wiki
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 1 : Ligne 1 :
{{EnCours|auteur=Adadov}}
{{EnCours|Adadov}}


Afin de sécuriser ses données il est possible de chiffrer les partitions de son système suivant ses propres choix.
Afin de sécuriser ses données il est possible de chiffrer les partitions de son système suivant ses propres choix.
Ligne 37 : Ligne 37 :
Afin de créer un conteneur, il va tout d'abord falloir générer de l'entropie. Pour ce faire, nous allons utiliser /dev/urandom qui est plus rapide que /dev/random.
Afin de créer un conteneur, il va tout d'abord falloir générer de l'entropie. Pour ce faire, nous allons utiliser /dev/urandom qui est plus rapide que /dev/random.


{{LxTerm|user=root|text=dd if=/dev/urandom of=/dev/vg/lv_home}}
{{RootLxTerm|text=dd if=/dev/urandom of=/dev/vg/lv_home}}


Il se peut que cette étape soit très longue suivant la taille de la partition, mais elle est nécessaire pour un chiffrement efficace.
Il se peut que cette étape soit très longue suivant la taille de la partition, mais elle est nécessaire pour un chiffrement efficace.
Ligne 43 : Ligne 43 :
Création du conteneur chiffré :
Création du conteneur chiffré :


{{LxTerm|user=root|text=cryptsetup --verbose --hash=sha256 luksFormat /dev/vg/lv_home
{{RootLxTerm|text=cryptsetup --verbose --hash=sha256 luksFormat /dev/vg/lv_home}}
}}
 
On peut vérifier que le conteneur est bien créé :
 
{{RootLxTerm|cryptsetup isLuks /dev/vg/lv_home && echo Success}}


Ouverture du conteneur et création du système de fichiers :
Ouverture du conteneur et création du système de fichiers :


{{LxTerm|user=root|text=cryptsetup luksOpen /dev/vg/lv_home home
{{RootLxTerm|cryptsetup luksOpen /dev/vg/lv_home home
mkfs.ext4 /dev/mapper/home
mkfs.ext4 /dev/mapper/home}}
}}
 
== Mapping du conteneur ==
 
Afin de pouvoir accéder aux données, il faut mettre en place le mapping. Il servira aussi à monter automatiquement la partition en ouvrant le conteneur.
 
=== Ajout de l'entrée dans /etc/crypttab ===
 
Le format de ce fichier est le suivant :
<name> <device> none
 
{{Param|device}} peut contenir l'identifiant du périphérique de la même manière que pour {{fname|/etc/fstab}}, si on souhaite utiliser l'UUID, il peut être obtenu via la commande suivante :
{{RootLxTerm|cryptsetup luksUUID <device>}}
 
Dans notre cas nous allons ajouter la ligne suivante dans le fichier :
<file>
luks-home /dev/vg/lv_home none
</file>
 
Nous aurons donc un device {{fname|/dev/mapper/luks-home}}.
 
=== Ajout de l'entrée dans /etc/fstab ===
 
Maintenant que le mapping est fait pour luks nous pouvons mettre en place le montage automatique de la partition, le mot de passe de chiffrement sera demandé au démarrage de la machine.
 
La ligne à ajouter dans le fichier est la suivante :
 
<file>
/dev/mapper/luks-home  /home  ext4  defaults  1 2
</file>


== Structure finale ==  
== Structure finale ==  


<file>
<file>
NAME                                           MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
NAME                 MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                                               8:0    0 149,1G  0 disk   
sda                     8:0    0 149,1G  0 disk   
├─sda1                                           8:1    0  500M  0 part  /boot
├─sda1                 8:1    0  500M  0 part  /boot
└─sda2                                           8:2    0 148,6G  0 part   
└─sda2                 8:2    0 148,6G  0 part   
   ├─vg-lv_swap                                 253:0    0  5,8G  0 lvm  [SWAP]
   ├─vg-lv_swap       253:0    0  5,8G  0 lvm  [SWAP]
   ├─vg-lv_root                                 253:1    0  87,8G  0 lvm  /
   ├─vg-lv_root       253:1    0  87,8G  0 lvm  /
   └─vg-lv_home                                 253:2    0    55G  0 lvm   
   └─vg-lv_home       253:2    0    55G  0 lvm   
     └─luks-9a831617-f0bc-4932-9dcd-f7e6c114bfc9 253:3    0    55G  0 crypt /home
     └─luks-home      253:3    0    55G  0 crypt /home
</file>
</file>


[[Catégorie:Workstations]]
[[Catégorie:Workstations]]
[[Catégorie:Linux]]
[[Catégorie:Linux]]

Version du 3 juillet 2015 à 03:35

Article en cours de rédaction ou de modification !
Le présent article est actuellement en cours de rédaction ou de modification.
Adressez-vous à la personne en charge pour toute proposition ou modification.
Auteur / Editeur : Adadov
Dernière édition : 03/07/2015


Afin de sécuriser ses données il est possible de chiffrer les partitions de son système suivant ses propres choix.

Bien que lors de l'installation cette option soit directement accessible facilement, il se peut que vous changiez d'avis par la suite, alors voilà comment il faudrait s'y prendre.

Préparation

On commence par sauvegarder les données vu que toutes les données présentent sur la partition seront détruites lors du chiffrage.

Ensuite nous avons besoin que la structure des partitions qui va accueillir notre conteneur LUKS soit prête.
Voici le volume logique qui contiendra notre conteneur chiffré : <file>

# lvdisplay vg/lv_home
 --- Logical volume ---
 LV Path                /dev/vg/lv_home
 LV Name                lv_home
 VG Name                vg
 LV UUID                ---
 LV Write Access        read/write
 LV Creation host, time , 
 LV Status              available
 # open                 1
 LV Size                55,00 GiB
 Current LE             1760
 Segments               1
 Allocation             inherit
 Read ahead sectors     auto
 - currently set to     256
 Block device           253:2

</file>

Création du conteneur LUKS

Afin de créer un conteneur, il va tout d'abord falloir générer de l'entropie. Pour ce faire, nous allons utiliser /dev/urandom qui est plus rapide que /dev/random.

[root@linux] # dd if=/dev/urandom of=/dev/vg/lv_homedblclick to copy

Il se peut que cette étape soit très longue suivant la taille de la partition, mais elle est nécessaire pour un chiffrement efficace.

Création du conteneur chiffré :

[root@linux] # cryptsetup --verbose --hash=sha256 luksFormat /dev/vg/lv_homedblclick to copy

On peut vérifier que le conteneur est bien créé :

[root@linux] # cryptsetup isLuks /dev/vg/lv_home && echo Successdblclick to copy

Ouverture du conteneur et création du système de fichiers :

[root@linux] # cryptsetup luksOpen /dev/vg/lv_home homedblclick to copy
[root@linux] # mkfs.ext4 /dev/mapper/home

Mapping du conteneur

Afin de pouvoir accéder aux données, il faut mettre en place le mapping. Il servira aussi à monter automatiquement la partition en ouvrant le conteneur.

Ajout de l'entrée dans /etc/crypttab

Le format de ce fichier est le suivant :

<name> <device> none 

<device> peut contenir l'identifiant du périphérique de la même manière que pour /etc/fstab , si on souhaite utiliser l'UUID, il peut être obtenu via la commande suivante :

[root@linux] # cryptsetup luksUUID <device>dblclick to copy

Dans notre cas nous allons ajouter la ligne suivante dans le fichier : <file> luks-home /dev/vg/lv_home none </file>

Nous aurons donc un device /dev/mapper/luks-home .

Ajout de l'entrée dans /etc/fstab

Maintenant que le mapping est fait pour luks nous pouvons mettre en place le montage automatique de la partition, le mot de passe de chiffrement sera demandé au démarrage de la machine.

La ligne à ajouter dans le fichier est la suivante :

<file> /dev/mapper/luks-home /home ext4 defaults 1 2 </file>

Structure finale

<file> NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 149,1G 0 disk ├─sda1 8:1 0 500M 0 part /boot └─sda2 8:2 0 148,6G 0 part

 ├─vg-lv_swap        253:0    0   5,8G  0 lvm   [SWAP]
 ├─vg-lv_root        253:1    0  87,8G  0 lvm   /
 └─vg-lv_home        253:2    0    55G  0 lvm   
   └─luks-home       253:3    0    55G  0 crypt /home

</file>