luks
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
luks [2017/11/02 21:48] – [Montage automatique du deuxième disque dur] simon | luks [2018/10/03 18:26] – [Chiffrer un disque dur externe] simon | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== LUKS ====== | ====== LUKS ====== | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | TODO: Relire et remettre de l' | ||
+ | </ | ||
+ | |||
===== Chiffrer un deuxième disque dur ===== | ===== Chiffrer un deuxième disque dur ===== | ||
On peut facilement configurer le chiffrement avec LUKS lors de l' | On peut facilement configurer le chiffrement avec LUKS lors de l' | ||
Ligne 87: | Ligne 92: | ||
</ | </ | ||
- | ==== Montage automatique | + | ===== Chiffrer un disque dur externe ===== |
- | Comme le premier disque dur est déjà chiffré, nous pouvons stocker sur celui-ci un fichier qui servira de clé pour déchiffrer le deuxième disque dur. (Ce qui évite de taper deux mots de passe au démarrage!) | + | |
+ | On repère le disque avec [[fdisk]] : | ||
+ | <code bash> | ||
+ | $ sudo fdisk -l | ||
+ | (...) | ||
+ | Disque /dev/sdc : 1,8 TiB, 2000365289472 octets, | ||
+ | Unités : secteur de 1 × 512 = 512 octets | ||
+ | Taille de secteur (logique / physique) : | ||
+ | taille d'E/S (minimale / optimale) : | ||
+ | Type d' | ||
+ | Identifiant de disque : 0B31EF05-5462-40FF-B947-C7423EFAB8D2 | ||
+ | |||
+ | Périphérique Début | ||
+ | / | ||
+ | </ | ||
+ | |||
+ | Chiffrer le disque dur : | ||
+ | <code bash> | ||
+ | # cryptsetup luksFormat /dev/sdc1 | ||
+ | </ | ||
+ | |||
+ | J'ai voulu faire ça mais il y a des WARNINGS : | ||
+ | <code bash> | ||
+ | # cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha256 /dev/sdc1 | ||
+ | WARNING: Device /dev/sdc1 already contains a ' | ||
+ | WARNING: Device /dev/sdc1 already contains a ' | ||
+ | |||
+ | WARNING! | ||
+ | ======== | ||
+ | Cette action écrasera définitivement les données sur / | ||
+ | |||
+ | Are you sure? (Type uppercase yes): no | ||
+ | Opération interrompue. | ||
+ | </ | ||
+ | |||
+ | J'ai fait un formatage un peu " | ||
+ | <code bash> | ||
+ | $ sudo dd if=/ | ||
+ | 488370433+0 enregistrements lus | ||
+ | 488370432+0 enregistrements écrits | ||
+ | 2000365289472 octets (2,0 TB, 1,8 TiB) copiés, 199997 s, 10,0 MB/s | ||
+ | </ | ||
+ | |||
+ | <code bash> | ||
+ | $ sudo fdisk -l | ||
+ | Disque /dev/sdc : 1,8 TiB, 2000365289472 octets, | ||
+ | Unités : secteur de 1 × 512 = 512 octets | ||
+ | Taille de secteur (logique / physique) : | ||
+ | taille d'E/S (minimale / optimale) : | ||
+ | </ | ||
+ | |||
+ | <code bash> | ||
+ | $ sudo lsblk | ||
+ | NAME | ||
+ | (...) | ||
+ | sdc 8:32 | ||
+ | </ | ||
+ | |||
+ | __Sources: | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | |||
+ | ===== Montage automatique | ||
+ | Si le premier disque dur principal | ||
Création du fichier : | Création du fichier : | ||
Ligne 110: | Ligne 178: | ||
Entrez une phrase secrète existante : | Entrez une phrase secrète existante : | ||
</ | </ | ||
+ | |||
+ | On vérifie : | ||
+ | <code bash> | ||
+ | # cryptsetup luksDump /dev/sda1 | ||
+ | LUKS header information for /dev/sda1 | ||
+ | |||
+ | Version: | ||
+ | Cipher name: aes | ||
+ | Cipher mode: | ||
+ | Hash spec: | ||
+ | Payload offset: | ||
+ | MK bits: 512 | ||
+ | MK digest: | ||
+ | MK salt: 3f fd 91 5f c6 02 e8 8e 38 b8 05 bc 83 a7 e2 26 | ||
+ | 65 0a 07 88 02 38 da 73 db cb 0c 8e ba c8 8c b9 | ||
+ | MK iterations: 173750 | ||
+ | UUID: cff610dd-3207-472f-bdd9-dbaf102958a9 | ||
+ | |||
+ | Key Slot 0: ENABLED | ||
+ | Iterations: | ||
+ | Salt: | ||
+ | 15 d1 65 c8 c6 70 b2 1d c4 39 94 fb 62 26 85 80 | ||
+ | Key material offset: 8 | ||
+ | AF stripes: | ||
+ | Key Slot 1: ENABLED | ||
+ | Iterations: | ||
+ | Salt: | ||
+ | eb 6f b2 19 be 44 1c e2 87 05 58 7d 5b 27 38 ce | ||
+ | Key material offset: 512 | ||
+ | AF stripes: | ||
+ | Key Slot 2: DISABLED | ||
+ | Key Slot 3: DISABLED | ||
+ | Key Slot 4: DISABLED | ||
+ | Key Slot 5: DISABLED | ||
+ | Key Slot 6: DISABLED | ||
+ | Key Slot 7: DISABLED | ||
+ | </ | ||
+ | |||
+ | Démontage : | ||
+ | <code bash> | ||
+ | # umount /mnt/data/ | ||
+ | # cryptsetup luksClose / | ||
+ | </ | ||
+ | |||
+ | Montage : | ||
+ | <code bash> | ||
+ | # cryptsetup luksOpen /dev/sda1 data | ||
+ | Saisissez la phrase secrète pour / | ||
+ | |||
+ | # mount -t ext4 -o noatime / | ||
+ | </ | ||
+ | |||
+ | On doit maintenant modifier les fichiers ''/ | ||
+ | <code bash> | ||
+ | # nvim / | ||
+ | |||
+ | # cat / | ||
+ | # <target name> | ||
+ | nvme0n1p3_crypt UUID=8fb1b94f-db06-4d28-bb8a-abc1a30d2126 none luks | ||
+ | data / | ||
+ | |||
+ | # nvim / | ||
+ | |||
+ | # cat / | ||
+ | # <file system> | ||
+ | / | ||
+ | # /boot was on / | ||
+ | UUID=c3829ece-82e0-4e83-9a79-ae6c444b42d7 /boot ext2 defaults | ||
+ | # /boot/efi was on / | ||
+ | UUID=B013-E763 | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | |||
+ | #SLF: Deuxième disque dur (/ | ||
+ | UUID=33ac1c64-3173-457e-a7c1-25c7ad35e161 | ||
+ | </ | ||
+ | |||
+ | **TODO:** Terminer la configuration pour permettre à l' | ||
+ | |||
+ | Bonus, pour ouvrir un disque chiffré avec Luks et avec un fichier-clé : | ||
+ | <code bash> | ||
+ | # cryptsetup --key-file=/ | ||
+ | </ | ||
+ | (source: [[https:// | ||
+ | |||
===== Ajouter une deuxième mot de passe pour déchiffrer ===== | ===== Ajouter une deuxième mot de passe pour déchiffrer ===== | ||
Suite à une intallation d'une [[Debian]] avec le disque chiffré, je souhaite pouvoir rajouter une clé pour déchiffrer le disque dur, en plus de celle configurée au départ. | Suite à une intallation d'une [[Debian]] avec le disque chiffré, je souhaite pouvoir rajouter une clé pour déchiffrer le disque dur, en plus de celle configurée au départ. | ||
Ligne 247: | Ligne 401: | ||
===== Sources ===== | ===== Sources ===== | ||
* [[http:// | * [[http:// | ||
+ | * [[https:// |