luks
Ceci est une ancienne révision du document !
Table des matières
LUKS
Chiffrer un deuxième disque dur
On peut facilement configurer le chiffrement avec LUKS lors de l'installation d'une distribution GNU/Linux. Mais si on veut chiffrer un éventuel deuxième disque dur , il faut le faire à la main.
Une fois le disque identifié (avec fdisk, comme plus bas), on peut le chiffrer :
# cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha256 /dev/sda1 WARNING! ======== Cette action écrasera définitivement les données sur /dev/sda1. Are you sure? (Type uppercase yes): YES Saisissez la phrase secrète : Vérifiez la phrase secrète :
Vérification :
# cryptsetup luksDump /dev/sda1 LUKS header information for /dev/sda1 Version: 1 Cipher name: aes Cipher mode: xts-plain64 Hash spec: sha256 Payload offset: 4096 MK bits: 512 MK digest: 0a 16 95 1f 9c 18 26 62 95 87 69 fb 9d 32 d5 00 89 21 a9 36 MK salt: 3f fd 91 5f c6 02 e8 8e 38 b8 05 bc 83 a7 e2 26 65 0a 07 88 02 38 da 73 db cb 0c 8e ba c8 8c b9 MK iterations: 173750 UUID: cff610dd-3207-472f-bdd9-dbaf102958a9 Key Slot 0: ENABLED Iterations: 1406591 Salt: 1f 0b 0c c5 21 0e d3 e8 05 8c 81 3b 81 fb e9 99 15 d1 65 c8 c6 70 b2 1d c4 39 94 fb 62 26 85 80 Key material offset: 8 AF stripes: 4000 Key Slot 1: DISABLED Key Slot 2: DISABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED
Il faut maintenant créer une partition :
# cryptsetup luksOpen /dev/sda1 data Saisissez la phrase secrète pour /dev/sda1 : # ls -l /dev/mapper/ total 0 lrwxrwxrwx 1 root root 7 nov 2 21:42 alt--simon--vg-home -> ../dm-3 lrwxrwxrwx 1 root root 7 nov 2 21:42 alt--simon--vg-root -> ../dm-1 lrwxrwxrwx 1 root root 7 nov 2 21:42 alt--simon--vg-swap_1 -> ../dm-2 crw------- 1 root root 10, 236 nov 2 21:42 control lrwxrwxrwx 1 root root 7 nov 2 22:28 data -> ../dm-4 lrwxrwxrwx 1 root root 7 nov 2 21:42 nvme0n1p3_crypt -> ../dm-0
Ajouter une deuxième mot de passe pour déchiffrer
Suite à une intallation d'une Debian avec le disque chiffré, je souhaite pouvoir rajouter une clé pour déchiffrer le disque dur, en plus de celle configurée au départ.
On identifie tout d'abord les partitions :
# fdisk -l Disque /dev/nvme0n1 : 238,5 GiB, 256060514304 octets, 500118192 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets Type d'étiquette de disque : gpt Identifiant de disque : FB187D7A-0D33-4743-889D-5441E424852D Périphérique Début Fin Secteurs Taille Type /dev/nvme0n1p1 2048 1050623 1048576 512M Système EFI /dev/nvme0n1p2 1050624 1550335 499712 244M Système de fichiers Linux /dev/nvme0n1p3 1550336 500117503 498567168 237,8G Système de fichiers Linux Disque /dev/sda : 465,8 GiB, 500107862016 octets, 976773168 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets Type d'étiquette de disque : dos Identifiant de disque : 0x6ee5e36e Périphérique Amorçage Début Fin Secteurs Taille Id Type /dev/sda1 * 2048 976771071 976769024 465,8G 7 HPFS/NTFS/exFAT Disque /dev/mapper/nvme0n1p3_crypt : 237,8 GiB, 255264292864 octets, 498563072 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets Disque /dev/mapper/alt--simon--vg-root : 28 GiB, 29997662208 octets, 58589184 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets Disque /dev/mapper/alt--simon--vg-swap_1 : 15,9 GiB, 17075011584 octets, 33349632 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets Disque /dev/mapper/alt--simon--vg-home : 193,9 GiB, 208188473344 octets, 406618112 secteurs Unités : secteur de 1 × 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 512 octets taille d'E/S (minimale / optimale) : 512 octets / 512 octets
# cryptsetup luksDump /dev/nvme0n1p3 LUKS header information for /dev/nvme0n1p3 Version: 1 Cipher name: aes Cipher mode: xts-plain64 Hash spec: sha256 Payload offset: 4096 MK bits: 512 MK digest: 6f c0 da 10 e2 67 96 91 e3 d1 61 49 7a ef 5b f0 2b f2 94 9a MK salt: 2a 58 19 02 dd 6a ca 3e d4 ba ac 6d 34 c3 0e 4b b4 45 61 69 58 6d 41 1b e3 ed 08 d7 08 a1 b9 05 MK iterations: 174750 UUID: 8fb1b94f-db06-4d28-bb8a-abc1a30d2126 Key Slot 0: ENABLED Iterations: 1391302 Salt: ef 73 48 b9 05 36 24 ec 7c 0a 9b ca 63 fd d0 fa e6 c6 c1 aa f1 56 d9 13 f7 50 14 cc d1 3c 22 2c Key material offset: 8 AF stripes: 4000 Key Slot 1: DISABLED Key Slot 2: DISABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED
On voit qu'il reste 7 slots disponibles. On ajoute :
# cryptsetup luksAddKey /dev/nvme0n1p3 Entrez une phrase secrète existante : Entrez une nouvelle phrase secrète pour l'emplacement de clé : Vérifiez la phrase secrète :
On vérifie :
# cryptsetup luksDump /dev/nvme0n1p3 LUKS header information for /dev/nvme0n1p3 Version: 1 Cipher name: aes Cipher mode: xts-plain64 Hash spec: sha256 Payload offset: 4096 MK bits: 512 MK digest: 6f c0 da 10 e2 67 96 91 e3 d1 61 49 7a ef 5b f0 2b f2 94 9a MK salt: 2a 58 19 02 dd 6a ca 3e d4 ba ac 6d 34 c3 0e 4b b4 45 61 69 58 6d 41 1b e3 ed 08 d7 08 a1 b9 05 MK iterations: 174750 UUID: 8fb1b94f-db06-4d28-bb8a-abc1a30d2126 Key Slot 0: ENABLED Iterations: 1391302 Salt: ef 73 48 b9 05 36 24 ec 7c 0a 9b ca 63 fd d0 fa e6 c6 c1 aa f1 56 d9 13 f7 50 14 cc d1 3c 22 2c Key material offset: 8 AF stripes: 4000 Key Slot 1: ENABLED Iterations: 1398906 Salt: d1 cf 7f 08 e8 bb 57 0c f4 e5 27 fb fd c7 a3 66 c7 1c 85 7f b6 be 79 50 fa f0 60 ab 0c bd c8 44 Key material offset: 512 AF stripes: 4000 Key Slot 2: DISABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED
Cette fois, deux emplacements sont bien utilisés.
luks.1509658378.txt.gz · Dernière modification : 2020/08/09 12:59 (modification externe)