Chiffrement LUKS-dmcrypt et automontage

Aujourd’hui, j’ai chiffrĂ© mon disque dur 🙂

Contexte: j’utilise 2 volumes de stockage internes, Ă  savoir un SSD (pour le systĂšme, le /home etc) et un disque dur bien gros (pour l’archive du Mitsu’Media, les fichiers de jeux Steam, …). Le SSD se compose ainsi:

  • partitionnement MBR
  • une partition de 255 Mo en ext2 pour le /boot
  • une partition LUKS
  • → un groupe de volumes LVM

Ça, c’est une combinaison de flemmardise et de bidouilles: l’assistant installation d’Antergos permet de chiffrer le pĂ©riphĂ©rique avec LUKS-dmcrypt, mais pour cette opĂ©ration il crĂ©e un « plan standard » de partitionnement: un /home, un /, et un espace swap. C’est pourquoi j’ai choisi LVM, car alors avec un peu de bidouille on peut supprimer le swap et fusionner le /home au sein du /. Pratique, car GParted n’est d’aucune aide, car ne traitant pas les conteneurs LUKS-dmcrypt.

Bref ! Le disque dur de stockage Ă©tait bĂȘtement sous partitionnement MBR et type ext4 avec montage automatique dĂ©fini dans /etc/fstab.


 

Dans un premier temps, j’ai transfĂ©rĂ© toutes les donnĂ©es de ce disque dur interne vers des disques durs externes. Puis une fois le disque dur vidĂ©, je l’ai formatĂ© ainsi:

  • partitionnement GPT
  • chiffrement LUKS-dmcrypt avec mot de passe
  • type de partition ext4

Jusque lĂ , c’est cool: gnome-disk-utility (ou palimpsest) dispose d’une fonction de formatage LUKS-dmcrypt, c’est enfantin.

À prĂ©sent, au dĂ©marrage de l’ordinateur, aprĂšs m’avoir demandĂ© le mot de passe pour dĂ©chiffrer le SSD, le systĂšme me demande le mot de passe pour dĂ©chiffrer le DD. RĂ©barbatif ! On va automatiser ça.

LUKS est super pratique, car il dispose de « slots » oĂč l’on peut dĂ©finir un mot de passe, ou un keyfile (dont les X premiers octets sont utilisĂ©s comme clĂ©). On peut Ă  tout moment ajouter ou supprimer des clĂ©s dans ces slots (en veillant Ă  toujours garder au moins 1 slot utilisĂ©, car sinon aprĂšs on peut plus dĂ©chiffrer, normal). Et si l’on dĂ©finit un keyfile, il est possible de faire un montage automatique au dĂ©marrage. L’intĂ©rĂȘt Ă©tant bien sĂ»r de placer ce keyfile dans le SSD dĂ©jĂ  chiffrĂ© par mot de passe.

Ainsi donc, au démarrage, le PC demande le mot de passe pour booter sur le SSD, SSD sur lequel se trouve le keyfile utilisé par crypptab pour déverrouiller le DD, DD qui est ensuite monté automatiquement par fstab.

Mon dernier problĂšme: si le /home est intĂ©gralement sauvegardĂ© 2 fois sur disques durs externes, ce n’est pas le cas du DD, beaucoup trop gros. Donc je me cherche une solution:

  • passer mes 6 disques durs externes de sauvegarde de 1 To Ă  2 To (voire 4 To) – sachant que c’est des 2.5″
  • sauvegarder que l’essentiel tant que j’ai de la place, en attendant que les SSD de 1 To+ soient abordables
  • chiffrer les fichiers dont je n’ai pas souvent besoin (genre les japanimations) et les envoyer dans le cloud (hubiC + Mediafire) et utiliser la place ainsi libĂ©rĂ©e pour les sauvegardes restantes

FinanciĂšrement la derniĂšre solution semble meilleure, mais avec quelle solution de chiffrement ? Je pensais par exemple Ă  du 7-zip Ă  mot de passe: chiffrement AES donc assez solide, les noms de fichiers dans l’archive sont aussi chiffrĂ©s, et il y a un contrĂŽle d’intĂ©gritĂ©… bref, dĂ©jĂ  finir le retransfert des donnĂ©es ^^

2 pensĂ©es sur “Chiffrement LUKS-dmcrypt et automontage”

  1. Intéressant la solution ;).

    Mais j’ai une question pour ma part j’aimerai procĂ©dĂ© plus ou moins de la mĂȘme maniĂšre.

    Explications de ce que je cherche Ă  faire :

    – 1 carte SD qui comporterai la partition /boot et le keyfile

    – Mon HDD avec le reste de partition chiffrĂ© avec LUKS

    De cette j’espĂšre en faite pouvoir dĂ©marrer la machine sans les demandes de mot de passes mais dĂ©s que je retire la carte SD impossibilitĂ© de dĂ©marrer la machine Ă©tant donnĂ© que la clĂ© est dans la carte SD ainsi que la partition /boot. Et de cette maniĂšre, dans un exemple concrĂšte, lors de dĂ©placement je sĂ©pare les 2 support pour Ă©viter toutes tentative de rĂ©cupĂ©ration.

    En espérant que celui soit possible.

    1. Donc, si tu perds ta SD ou qu’elle lĂąche, tu peux plus dĂ©marrer ton PC. L’idĂ©e est intĂ©ressante mais trop coercitive selon moi. Un mot de passe, ça se rĂ©vĂšle moins facilement qu’un pĂ©riphĂ©rique. Combiner les deux et dupliquer, tu augmentes la sĂ©curitĂ© mais encore une fois trop de contraintes je trouve.

      Je me mets l’article sous le coude Mitsu, ça pourrait me servir plus tard. Merci.

Les commentaires sont fermés.