Modification de LUKS : Chiffrer sa partition home

{{EnCours|Adadov}}

Afin de sécuriser ses données il est possible de chiffrer les partitions de son système suivant ses propres choix.

Bien que lors de l'installation cette option soit directement accessible facilement, il se peut que vous changiez d'avis par la suite, alors voilà comment il faudrait s'y prendre.

{{Info|titre=LVM-over-LUKS ou LUKS-over-LVM ?|text=Dans le cas de cet article nous utiliserons LUKS-over-LVM car nous n'avons besoin de chiffrer qu'une partition, si nous avions eu besoin de chiffrer plusieurs partition on pouvait revoir cette décision.}}

== Préparation == 

On commence par sauvegarder les données vu que toutes les données présentent sur la partition seront détruites lors du chiffrage.

Ensuite nous avons besoin que la structure des partitions qui va accueillir notre conteneur LUKS soit prête.<br />
Voici le volume logique qui contiendra notre conteneur chiffré :
<file>
 # lvdisplay vg/lv_home
  --- Logical volume ---
  LV Path                /dev/vg/lv_home
  LV Name                lv_home
  VG Name                vg
  LV UUID                ---
  LV Write Access        read/write
  LV Creation host, time , 
  LV Status              available
  # open                 1
  LV Size                55,00 GiB
  Current LE             1760
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:2
</file>

== Création du conteneur LUKS ==

Afin de créer un conteneur, il va tout d'abord falloir générer de l'entropie. Pour ce faire, nous allons utiliser /dev/urandom qui est plus rapide que /dev/random.

{{RootLxTerm|text=dd if=/dev/urandom of=/dev/vg/lv_home}}

Il se peut que cette étape soit très longue suivant la taille de la partition, mais elle est nécessaire pour un chiffrement efficace.

Création du conteneur chiffré :

{{RootLxTerm|text=cryptsetup --verbose --hash=sha256 luksFormat /dev/vg/lv_home}}

On peut vérifier que le conteneur est bien créé :

{{RootLxTerm|cryptsetup isLuks /dev/vg/lv_home && echo Success}}

Ouverture du conteneur et création du système de fichiers :

{{RootLxTerm|cryptsetup luksOpen /dev/vg/lv_home home
mkfs.ext4 /dev/mapper/home}}

== Mapping du conteneur ==

Afin de pouvoir accéder aux données, il faut mettre en place le mapping. Il servira aussi à monter automatiquement la partition en ouvrant le conteneur.

=== Ajout de l'entrée dans /etc/crypttab ===

Le format de ce fichier est le suivant :
 <name> <device> none 

{{Param|device}} peut contenir l'identifiant du périphérique de la même manière que pour {{fname|/etc/fstab}}, si on souhaite utiliser l'UUID, il peut être obtenu via la commande suivante :
{{RootLxTerm|cryptsetup luksUUID <device>}}

Dans notre cas nous allons ajouter la ligne suivante dans le fichier :
<file>
luks-home /dev/vg/lv_home none
</file>

Nous aurons donc un device {{fname|/dev/mapper/luks-home}}.

=== Ajout de l'entrée dans /etc/fstab ===

Maintenant que le mapping est fait pour luks nous pouvons mettre en place le montage automatique de la partition, le mot de passe de chiffrement sera demandé au démarrage de la machine.

La ligne à ajouter dans le fichier est la suivante :

<file>
/dev/mapper/luks-home  /home  ext4  defaults  1 2
</file>

== Structure finale == 

<file>
NAME                  MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                     8:0    0 149,1G  0 disk  
├─sda1                  8:1    0   500M  0 part  /boot
└─sda2                  8:2    0 148,6G  0 part  
  ├─vg-lv_swap        253:0    0   5,8G  0 lvm   [SWAP]
  ├─vg-lv_root        253:1    0  87,8G  0 lvm   /
  └─vg-lv_home        253:2    0    55G  0 lvm   
    └─luks-home       253:3    0    55G  0 crypt /home
</file>

[[Catégorie:Workstations]]
[[Catégorie:Linux]]