Partition chifffrée

Kristen · 24-02-2020 09:28:13

Bonjour
Actuellement sur mon PC j'ai deux disques durs :

lsblk

NAME   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT

sda      8:0    0 223,6G  0 disk 

└─sda1   8:1    0 223,6G  0 part /media/data

sdb      8:16   0 111,8G  0 disk 

├─sdb1   8:17   0    28G  0 part /

├─sdb2   8:18   0     1K  0 part 

├─sdb5   8:21   0   3,7G  0 part [SWAP]

└─sdb6   8:22   0  80,1G  0 part /home

sr0     11:0    1  1024M  0 rom

Pas de uefi, juste debian
J'aimerai chiffrer un peu tout ça pour avoir plus de sécurité sur mes données en cas de vol de la machine.
Je pense que le plus simple serait peut-être de tout réinstaller ?
Dans ce cas, comment je fais à l'installation ? Si je chiffre mes deux DD, je devrais taper deux mots de passe à chaque fois que je démarre mon PC? Ou y a t'il un moyen d'éviter ça ?

Merci.

Dernière modification par Kristen (24-02-2020 09:29:00)

raleur · 24-02-2020 11:31:48

Quelques informations en vrac.

Il est possible de chiffrer le contenu d'une partition existante avec cryptsetup-reencrypt --new.
Une sauvegarde des données est recommandée.
En cas d'interruption les données sont perdues.
Il faut agrandir la partition ou réduire son contenu avant pour faire de la place pour l'en-tête LUKS (2 Mio), ou utiliser un en-tête LUKS détaché.
La partition ne doit pas être en cours d'utilisation.
Chaque partition doit être chiffrée séparément.

Autres opérations nécessaires :
Il faut installer le paquet cryptsetup et ses dépendances.
Il faut configurer /etc/crypttab.
Il faut modifier /etc/fstab.
Si la racine est chiffrée, il faut soit :
- créer une partition non chiffrée pour /boot
- ajouter GRUB_CRYPTODISK=y dans /etc/default/grub (il faudra taper la passphrase en QWERTY dans GRUB en plus)
et dans les deux cas reconstruire l'initramfs, réinstaller GRUB et reconstruire la configuration de GRUB.

Pour chiffrer la racine et le swap il est probablement plus simple de réinstaller le système, d'autant plus qu'une sauvegarde des données est préférable dans tous les cas. Pour chiffrer seulement /home ou un volume de données, il n'est pas utile de réinstaller le système.

Choix des volumes à chiffrer :
- /boot : contient la configuration de GRUB et l'initramfs qui ne contiennent a priori pas de données sensibles
- la racine : contient la clé privée SSH, les clés wifi
- le swap : contient des données présentes en mémoire pouvant avoir un caractère sensible (parties de fichiers de données, mots de passe, clés privées...)
- si l'hibernation est désactivée, il est possible de chiffrer le swap avec une clé aléatoire générée au démarrage

Saisie des passphrases
Si /boot est chiffré, GRUB demande la passphrase en QWERTY.
Si la racine est chiffrée, l'initramfs demande la passphrase en AZERTY pour l'ouvrir. Idem pour /usr si séparé.
Si le swap est chiffré et utilisé pour l'hibernation, l'initramfs demande la passphrase en AZERTY pour l'ouvrir et vérifier s'il contient une image d'hibernation.
L'init demande les passphrases en AZERTY des volumes chiffrés restants définis dans /etc/crypttab pour les ouvrir.
D'après certaines informations, systemd en association avec plymouth pourrait mémoriser la passphrase saisie et la réutiliser avec les autres volumes chiffrés, évitant de la taper plusieurs fois si tous les volumes chiffrés utilisent la même passphrase. Mes tests avec une racine et un swap utilisant la même passphrase n'ont pas été concluants.

LVM permet de chiffrer un volume physique contenant plusieurs volumes logiques avec une seule passphrase. Par contre si le groupe de volumes s'étend sur plusieurs volumes physiques chiffrés, il faudra ouvrir chaque volume physique avec la passphrase correspondante. Pour étendre un groupe de volumes sur plusieurs disques ou partitions avec un seul volume physique, il faut agréger les disques ou partitions avec du RAID ou une première couche de LVM non chiffrée.

Il est possible de spécifier dans /etc/crypttab que la passphrase d'un volume chiffré non ouvert par l'initramfs est contenue dans un fichier pour éviter de la taper. Pour la sécurité, ce fichier doit lui-même être dans un volume chiffré (dont il faudra taper la passphrase) et avoir des permissions restreintes (lecture par root seulement). Attention aux éventuelles sauvegardes de la racine en clair.

Dans ton cas, le plus simple me semble de réinstaller avec :
sur sdb :
- une partition /boot non chiffrée
- /, swap et /home dans LVM chiffré
sur sda :
- volume chiffré pour les données dont la passphrase est dans un fichier stocké sur le volume racine (donc chiffré)

Ainsi il faudra seulement taper une fois la passphrase du volume chiffré sur sdb.

Dernière modification par raleur (24-02-2020 14:49:47)

Kristen · 24-02-2020 13:55:40

Ouah quelle explication, merci raleur.

Si je prends "le plus simple", je sauvegarde mes données, je réinstalle debian en créant une partition /boot non chiffrée (100Mo ça suffit je pense ?) et ensuite /, swap et /home dans LVM chiffré comme tu l'as précisé, pas de problème dans ma tête. Par contre pour sda je ne comprends pas trop comment faire !???
Je ne m'occupe pas de ce disque pendant l'installation et je crée et chiffre la partition une fois debian installée et la machine opérationnelle ? Et comment je fais ça ?

Dernière modification par Kristen (24-02-2020 14:08:15)

raleur · 24-02-2020 14:54:23

Partitionnement manuel, créer une partition (ou réutiliser une partition existante), la marquer utilisée comme volume physique pour le chiffrement, gérer les volumes chiffrés, créer un volume chiffré avec la partition, retour au partitionnement, formater le volume chiffré (pas la partition) avec le type de système de fichiers souhaité (Btrfs, ext4, XFS...) et spécifier le point de montage. Au passage, le point de montage pour le montage permanent d'un volume fixe ne devrait pas être dans /media.

Kristen · 24-02-2020 15:16:39

Pour le point de montage plutôt /mnt/data c'est mieux ?

raleur · 24-02-2020 15:31:23

Non plus, /mnt n'est pas prévu pour les montages permanents.

Kristen · 24-02-2020 15:41:14

mkdir /disk

et le montage dedans /disk/data
mieux ?

raleur · 24-02-2020 15:44:25

Je ne vois pas l'intérêt d'un répertoire /disk.

Kristen · 24-02-2020 15:48:25

alors simplement /data ?

raleur · 24-02-2020 16:04:03

Eventuellement, faute de mieux...
Si ce sont des données utilisateur, ça pourrait aller quelque part dans /home.

Kristen · 24-02-2020 16:39:19

Et voilà en fait ça fonctionne impeccable, mes deux disques sont chiffrés, je n'ai besoin d'entrer qu'un seul mot de passe pour sdb5 et tout fonctionne impeccable.

Grand merci pour ton aide raleur

C'est pas évident quand on n'a jamais fait ces manips ! Maintenant, je m'attaque à mon fixd avec w10 en dual boot

Dernière modification par Kristen (24-02-2020 17:42:15)

raleur · 24-02-2020 20:00:37

Comment as-tu fait pour n'avoir à taper qu'une seule passphrase ?

Kristen · 24-02-2020 20:26:10

À l'installation, je n'installe pas d'environnement. Lorsque je redémarre, je dois entrer les deux mots de passe. Après installation de gnome, on me demande qu'un seul mot de passe.

Je suis joueur, je refais une installation pour voir si j'y arrive une nouvelle fois .

raleur · 24-02-2020 20:50:58

Tu as défini la même passphrase pour les deux volumes chiffrés ? Dans ce cas c'est peut-être l'installation de plymouth avec l'environnement de bureau qui la mémorise pour le second volume.

Dernière modification par raleur (25-02-2020 09:33:01)

Kristen · 24-02-2020 20:53:32

Oui même mot de passe pour les deux.

Debian-facile

#1 24-02-2020 09:28:13

Partition chifffrée

#2 24-02-2020 11:31:48

Re : Partition chifffrée

#3 24-02-2020 13:55:40

Re : Partition chifffrée

#4 24-02-2020 14:54:23

Re : Partition chifffrée

#5 24-02-2020 15:16:39

Re : Partition chifffrée

#6 24-02-2020 15:31:23

Re : Partition chifffrée

#7 24-02-2020 15:41:14

Re : Partition chifffrée

#8 24-02-2020 15:44:25

Re : Partition chifffrée

#9 24-02-2020 15:48:25

Re : Partition chifffrée

#10 24-02-2020 16:04:03

Re : Partition chifffrée

#11 24-02-2020 16:39:19

Re : Partition chifffrée

#12 24-02-2020 20:00:37

Re : Partition chifffrée

#13 24-02-2020 20:26:10

Re : Partition chifffrée

#14 24-02-2020 20:50:58

Re : Partition chifffrée

#15 24-02-2020 20:53:32

Re : Partition chifffrée

Pied de page des forums