Autoblog de Mitsukarenai

Ce site n'est pas le site officiel de Mitsukarenai
C'est un blog automatisé qui réplique les articles de suumitsu.eu

Chiffrement LUKS-dmcrypt et automontage

Sat, 21 Mar 2015 22:44:05 +0000 - (source)

Aujourd’hui, j’ai chiffrĂ© mon disque dur 🙂

Contexte: j’utilise 2 volumes de stockage internes, Ă  savoir un SSD (pour le système, le /home etc) et un disque dur bien gros (pour l’archive du Mitsu’Media, les fichiers de jeux Steam, …). Le SSD se compose ainsi:

Ça, c’est une combinaison de flemmardise et de bidouilles: l’assistant installation d’Antergos permet de chiffrer le pĂ©riphĂ©rique avec LUKS-dmcrypt, mais pour cette opĂ©ration il crĂ©e un « plan standard » de partitionnement: un /home, un /, et un espace swap. C’est pourquoi j’ai choisi LVM, car alors avec un peu de bidouille on peut supprimer le swap et fusionner le /home au sein du /. Pratique, car GParted n’est d’aucune aide, car ne traitant pas les conteneurs LUKS-dmcrypt.

Bref ! Le disque dur de stockage était bêtement sous partitionnement MBR et type ext4 avec montage automatique défini dans /etc/fstab.


 

Dans un premier temps, j’ai transfĂ©rĂ© toutes les donnĂ©es de ce disque dur interne vers des disques durs externes. Puis une fois le disque dur vidĂ©, je l’ai formatĂ© ainsi:

Jusque lĂ , c’est cool: gnome-disk-utility (ou palimpsest) dispose d’une fonction de formatage LUKS-dmcrypt, c’est enfantin.

Ă€ prĂ©sent, au dĂ©marrage de l’ordinateur, après m’avoir demandĂ© le mot de passe pour dĂ©chiffrer le SSD, le système me demande le mot de passe pour dĂ©chiffrer le DD. RĂ©barbatif ! On va automatiser ça.

LUKS est super pratique, car il dispose de « slots » oĂą l’on peut dĂ©finir un mot de passe, ou un keyfile (dont les X premiers octets sont utilisĂ©s comme clĂ©). On peut Ă  tout moment ajouter ou supprimer des clĂ©s dans ces slots (en veillant Ă  toujours garder au moins 1 slot utilisĂ©, car sinon après on peut plus dĂ©chiffrer, normal). Et si l’on dĂ©finit un keyfile, il est possible de faire un montage automatique au dĂ©marrage. L’intĂ©rĂŞt Ă©tant bien sĂ»r de placer ce keyfile dans le SSD dĂ©jĂ  chiffrĂ© par mot de passe.

Ainsi donc, au démarrage, le PC demande le mot de passe pour booter sur le SSD, SSD sur lequel se trouve le keyfile utilisé par crypptab pour déverrouiller le DD, DD qui est ensuite monté automatiquement par fstab.

Mon dernier problème: si le /home est intĂ©gralement sauvegardĂ© 2 fois sur disques durs externes, ce n’est pas le cas du DD, beaucoup trop gros. Donc je me cherche une solution:

Financièrement la dernière solution semble meilleure, mais avec quelle solution de chiffrement ? Je pensais par exemple Ă  du 7-zip Ă  mot de passe: chiffrement AES donc assez solide, les noms de fichiers dans l’archive sont aussi chiffrĂ©s, et il y a un contrĂ´le d’intĂ©gritĂ©… bref, dĂ©jĂ  finir le retransfert des donnĂ©es ^^


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles