Outils pour utilisateurs

Outils du site


divers:luks

Chiffrement avec LUKS


Nous allons chiffrer entièrement le disque dur.

Préparation du disque avant l'installation de l'OS

Création d'un container LUKS temporaire pour écrire des données chiffrées sur tout le disque.

cryptsetup open --type plain /dev/sda container --key-file /dev/random
fdisk -l  # pour vérifier que container existe bien
dd if=/dev/zero of=/dev/mapper/container status=progress

L'opération peut durer plusieurs heures, tout dépend de la taille et la vitesse du disque. Il aura fallut finalement à peu près 4H00 pour écrire les données chiffrées sur le disque. Retour de la commande dd :

dd: écriture vers « /dev/mapper/container »: Aucun espace disponible sur le périphérique
312581809+0 enregistrements lus
312581808+0 enregistrements écrits
160041885696 octets (160 GB) copiés, 13897,6 s, 11,5 MB/s

Reste plus qu'a fermer le container :

cryptsetup close container

Partitionnement

Utiliser cfdisk pour créer une table de partition.

Initialisation du volume LUKS :

cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random --verify-passphrase luksFormat /dev/sda1

Ouverture du volume :

cryptsetup open --type luks /dev/sda1 nom_volume

Création du système de fichier :

mkfs.ext4 /dev/mapper/nom_volume

Montage automatique au boot sans demande de MdP

Récupérer l'UUID du périphérique avec blkid et ajouter une entrée à /etc/crypttab :

nom_volume  UUID=fdf50b92-47e4-46ec-958f-e7751b7efe69	/crypto_keyfile.bin	luks

Pour /crypto_keyfile.bin voir ce chapitre : Se loguer en une fois.

cryptsetup luksAddKey /dev/sdXY /crypto_keyfile.bin

On rajoute une entrée à /etc/fstab :

/dev/mapper/nom_volume      /mnt/backup               ext4    defaults,noatime  0  2

Sauvegarde et restauration de l'entête

Si l'entête ( header ) venait à être corrompu, il devient impossible d'accéder aux données. Il faut donc le sauvegarder dans un endroit sûr.

# cryptsetup luksHeaderBackup /dev/sda1 --header-backup-file /backup/sda1.img

Pour le restaurer :

# cryptsetup luksHeaderRestore /dev/sda1 --header-backup-file /backup/sda1.img

cf : https://wiki.archlinux.org/index.php/Dm-crypt/Device_encryption#Backup_and_restore

divers/luks.txt · Dernière modification: 2018/10/25 18:19 (modification externe)