Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
cryptsetup [Le 02/11/2017, 11:28] UnMamouth [Applications] |
cryptsetup [Le 13/08/2020, 02:39] 162.222.146.146 cheat sheet étendu |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag> precise trusty xenial chiffrement sécurité}} | + | {{tag>Trusty Xenial chiffrement sécurité}} |
| ---- | ---- | ||
| Ligne 8: | Ligne 8: | ||
| Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système. Le chiffrement de partition permet d’éviter ça. | Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système. Le chiffrement de partition permet d’éviter ça. | ||
| Ubuntu intègre en standard les outils nécessaires à une gestion simple de votre sécurité. | Ubuntu intègre en standard les outils nécessaires à une gestion simple de votre sécurité. | ||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| - | |||
| =====Installation===== | =====Installation===== | ||
| Installer **[[apt>cryptsetup|cryptsetup]]** | Installer **[[apt>cryptsetup|cryptsetup]]** | ||
| - | |||
| - | ou | ||
| - | |||
| - | Pour l'installation, lancez [[Synaptic]]. Recherchez «cryptsetup», cochez la case correspondante et validez le tout (bouton « Appliquer ») pour l'installer. | ||
| Si nécessaire charger les modules « aes-i586 », « dm_mod » et « dm_crypt ». Au besoin, les ajouter à la liste de ///etc/modules// (cf. infra Référence). | Si nécessaire charger les modules « aes-i586 », « dm_mod » et « dm_crypt ». Au besoin, les ajouter à la liste de ///etc/modules// (cf. infra Référence). | ||
| Ligne 43: | Ligne 29: | ||
| Exemple sur une partition libre /dev/hda7 : | Exemple sur une partition libre /dev/hda7 : | ||
| - | <code> sudo cryptsetup luksFormat -c aes -h sha256 /dev/hda7 </code> | + | <code> sudo cryptsetup luksFormat /dev/hda7 </code> |
| - | ou avec un chiffrement plus fort : | + | |
| - | <code> sudo cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/hda7 </code> | + | |
| - | encore plus fort selon moi : | + | |
| - | <code>sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdaXX</code> | + | |
| - | Remplacez les XX par la partition concernée. | + | |
| On invoque cette commande pour formater la partition au type LUKS (initialiser la partition LUKS et définir la clé initiale). Le chiffrement sera de type AES avec un algorithme de hachage SHA256. Vous allez taper votre phrase de déchiffrement qui va permettre de créer un conteneur standard chiffré à l'aide de votre phrase. | On invoque cette commande pour formater la partition au type LUKS (initialiser la partition LUKS et définir la clé initiale). Le chiffrement sera de type AES avec un algorithme de hachage SHA256. Vous allez taper votre phrase de déchiffrement qui va permettre de créer un conteneur standard chiffré à l'aide de votre phrase. | ||
| Ligne 98: | Ligne 79: | ||
| <code> # <target name> <source device> <key file> <options> | <code> # <target name> <source device> <key file> <options> | ||
| home /dev/hda7 none luks </code> | home /dev/hda7 none luks </code> | ||
| + | |||
| + | Si vos disques cryptés ont des noms séquentiels vous pouvez utiliser une boucle: <code> for i in sda1 sda2 ; do echo "${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"' -f 2) none luks" >> /etc/crypttab ; done </code> | ||
| + | |||
| + | Si vous désirez que tout vous array raid soient décryptés: <code> truncate -s 0 /etc/crypttab ; for i in $(cat /proc/mdstat | grep -E "^md" | cut -d ' ' -f 1) ; do echo "${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"' -f 2) none luks" >> /etc/crypttab ; done </code> | ||
| Modifier **/etc/fstab** pour le volume qui nous intéresse : | Modifier **/etc/fstab** pour le volume qui nous intéresse : | ||
| Ligne 107: | Ligne 92: | ||
| La clé d'ouverture du volume chiffré vous sera demandée au démarrage de la machine si votre partition est montée automatiquement (voir [[mount_fstab|fstab]]). | La clé d'ouverture du volume chiffré vous sera demandée au démarrage de la machine si votre partition est montée automatiquement (voir [[mount_fstab|fstab]]). | ||
| - | Attention, si une ligne est déjà présente pour le montage de la partition qui héberge le système de fichier chiffré (/dev/hda7 dans l'exemple ci-dessus), il faut la commenter (en ajoutant un # comme premier caractère) pour éviter un message d'erreur au démarrage. | + | Attention, si une ligne est déjà présente pour le montage de la partition qui héberge le système de fichier chiffré (/dev/hda7 dans l'exemple ci-dessus), il faut la commenter (en ajoutant un # comme premier caractère) pour éviter un message d'erreur au démarrage. |
| + | |||
| + | Attention: Si le boot a lieu avec les options **quiet splash** supprimées, la demande de la phrase de décodification va passer inaperçue... Le boot se mettra à attendre la saisie de la clé. Le plus simple est d'appuyer sur la touche **entrée** afin qu'il repose la question. | ||
| === Ouverture automatique du conteneur chiffré au démarrage à l'aide d'un support amovible === | === Ouverture automatique du conteneur chiffré au démarrage à l'aide d'un support amovible === | ||