Chiffrement LUKS-dmcrypt et automontage

Aujourd’hui, j’ai chiffré mon disque dur 🙂

Contexte: j’utilise 2 volumes de stockage internes, à savoir un SSD (pour le système, le /home etc) et un disque dur bien gros (pour l’archive du Mitsu’Media, les fichiers de jeux Steam, …). Le SSD se compose ainsi:

  • partitionnement MBR
  • une partition de 255 Mo en ext2 pour le /boot
  • une partition LUKS
  • → un groupe de volumes LVM

Ça, c’est une combinaison de flemmardise et de bidouilles: l’assistant installation d’Antergos permet de chiffrer le périphérique avec LUKS-dmcrypt, mais pour cette opération il crée un « plan standard » de partitionnement: un /home, un /, et un espace swap. C’est pourquoi j’ai choisi LVM, car alors avec un peu de bidouille on peut supprimer le swap et fusionner le /home au sein du /. Pratique, car GParted n’est d’aucune aide, car ne traitant pas les conteneurs LUKS-dmcrypt.

Bref ! Le disque dur de stockage était bêtement sous partitionnement MBR et type ext4 avec montage automatique défini dans /etc/fstab.


 

Dans un premier temps, j’ai transféré toutes les données de ce disque dur interne vers des disques durs externes. Puis une fois le disque dur vidé, je l’ai formaté ainsi:

  • partitionnement GPT
  • chiffrement LUKS-dmcrypt avec mot de passe
  • type de partition ext4

Jusque là, c’est cool: gnome-disk-utility (ou palimpsest) dispose d’une fonction de formatage LUKS-dmcrypt, c’est enfantin.

À présent, au démarrage de l’ordinateur, après m’avoir demandé le mot de passe pour déchiffrer le SSD, le système me demande le mot de passe pour déchiffrer le DD. Rébarbatif ! On va automatiser ça.

LUKS est super pratique, car il dispose de « slots » où l’on peut définir un mot de passe, ou un keyfile (dont les X premiers octets sont utilisés comme clé). On peut à tout moment ajouter ou supprimer des clés dans ces slots (en veillant à toujours garder au moins 1 slot utilisé, car sinon après on peut plus déchiffrer, normal). Et si l’on définit un keyfile, il est possible de faire un montage automatique au démarrage. L’intérêt étant bien sûr de placer ce keyfile dans le SSD déjà chiffré par mot de passe.

Ainsi donc, au démarrage, le PC demande le mot de passe pour booter sur le SSD, SSD sur lequel se trouve le keyfile utilisé par crypptab pour déverrouiller le DD, DD qui est ensuite monté automatiquement par fstab.

Mon dernier problème: si le /home est intégralement sauvegardé 2 fois sur disques durs externes, ce n’est pas le cas du DD, beaucoup trop gros. Donc je me cherche une solution:

  • passer mes 6 disques durs externes de sauvegarde de 1 To à 2 To (voire 4 To) – sachant que c’est des 2.5″
  • sauvegarder que l’essentiel tant que j’ai de la place, en attendant que les SSD de 1 To+ soient abordables
  • chiffrer les fichiers dont je n’ai pas souvent besoin (genre les japanimations) et les envoyer dans le cloud (hubiC + Mediafire) et utiliser la place ainsi libérée pour les sauvegardes restantes

Financièrement la dernière solution semble meilleure, mais avec quelle solution de chiffrement ? Je pensais par exemple à du 7-zip à mot de passe: chiffrement AES donc assez solide, les noms de fichiers dans l’archive sont aussi chiffrés, et il y a un contrôle d’intégrité… bref, déjà finir le retransfert des données ^^

2 réponses sur “Chiffrement LUKS-dmcrypt et automontage”

  1. Intéressant la solution ;).

    Mais j’ai une question pour ma part j’aimerai procédé plus ou moins de la même manière.

    Explications de ce que je cherche à faire :

    – 1 carte SD qui comporterai la partition /boot et le keyfile

    РMon HDD avec le reste de partition chiffr̩ avec LUKS

    De cette j’espère en faite pouvoir démarrer la machine sans les demandes de mot de passes mais dés que je retire la carte SD impossibilité de démarrer la machine étant donné que la clé est dans la carte SD ainsi que la partition /boot. Et de cette manière, dans un exemple concrète, lors de déplacement je sépare les 2 support pour éviter toutes tentative de récupération.

    En espérant que celui soit possible.

    1. Donc, si tu perds ta SD ou qu’elle lâche, tu peux plus démarrer ton PC. L’idée est intéressante mais trop coercitive selon moi. Un mot de passe, ça se révèle moins facilement qu’un périphérique. Combiner les deux et dupliquer, tu augmentes la sécurité mais encore une fois trop de contraintes je trouve.

      Je me mets l’article sous le coude Mitsu, ça pourrait me servir plus tard. Merci.

Les commentaires sont fermés.