Installation chiffrée en mode expert

Support Debian
#1

Bonjour,

Le portable de mon pote dispose d’une installation de seven chiffrée avec truecrypt. Il m’a demandé de lui installer une debian, elle aussi chiffrée. J’ai réussi mais j’ai un petit problème : je dois saisir 3 fois le mot de passe pour que le système démarrage complètement.

Afin de pouvoir booter sur les deux systèmes au démarrage, il a fallu que je réalise le partitionnement de la debian en mode expert; J’ai donc créé une partition /boot (non chiffrée) puis dans une autre partition chiffrée, j’ai créé un groupe de volume avec les volumes logiques suivants : / (racine) , /swap et /home.

# pvscan
  PV /dev/sda5   VG debian   lvm2 [24,41 GiB / 0    free]
  Total: 1 [24,41 GiB] / in use: 1 [24,41 GiB] / in no VG: 0 [0   ]
# lvscan
  ACTIVE            '/dev/debian/root' [9,51 GiB] inherit
  ACTIVE            '/dev/debian/swap' [476,00 MiB] inherit
  ACTIVE            '/dev/debian/home' [14,44 GiB] inherit

Le soucis c’est qu’au lancement, à trois reprises il m’est demandé d’entrer la passphrase (correspondant aux trois volumes logiques).
J’ai cherché un peu partout sur Internet, tout ce que j’ai trouvé se rapprochant à mon problème c’est ça (ce qui d’ailleurs n’a pas fonctionné)
comment puis-je procéder afin que je n’ai pas à saisir 3 fois le même mot de passe ?

#2

Je ne suis pas expert en LVM, loin de là, mais voici ce que j’en pense…

Sur mon netbook, j’ai un LVM chiffré, qui contient deux partitions (/ et swap, /boot étant bien entendu en clair). Un seul mot de passe au boot pour ouvrir le conteneur.

sda1 -> sda1_crypt (chiffrage dm-crypt) -> sda1_crypt_lvm (pv/vg LVM2) -> sda1_crypt_lvm-root (lv LVM2 correspondant à /) -> sda1_crypt_lvm-swap (lv LVM2) sda2 (/boot)
Note bien que c’est tout le contenu de sda1 qui est chiffré chez moi, et que le volume physique / groupe de volumes LVM réside à l’intérieur du conteneur chiffré (aparté : heureusement que j’ai donné des noms clairs, depuis le temps je ne me rappelais plus de l’organisation exacte). On voit bien la différence avec toi :

# pvscan PV /dev/dm-0 VG sda1_crypt_lvm lvm2 [232,64 GiB / 0 free] Total: 1 [232,64 GiB] / in use: 1 [232,64 GiB] / in no VG: 0 [0 ]
Mon volume physique LVM réside sur /dev/dm-0 (fourni par dm-crypt), alors que ton volume physique LVM réside directement sur ta partition sda5. Donc, clairement, tu n’as pas chiffré la partition dans son ensemble, mais chacun des volumes logiques séparément.

Pour corriger ça, je doute que tu puisses faire autrement que de réinstaller complètement. Quant à la procédure exacte pour y arriver, euh, comment dire… la seule chose dont je me rappelle c’est que j’ai réinstallé plusieurs fois jusqu’à obtenir ce que je voulais. :mrgreen:

#3

Ok merci pour ta réponse rapide. Effectivement, j’ai un peu douté sur mon installation… Bon c’est pas bien grave, étant donné que c’est du tout neuf (et qu’en plus je vais devoir étendre la partition!) mieux vaut que je repasse par l’installation complète. :ugeek:

#4

Il y a selon moi deux moyens de parvenir au résultat cherché par ton pote :

  1. mettre en place un système d’authentification via un dongle ou truc de ce genre. Par exemple mettre la clé de chiffrement sur une clé USB et lorsque la clé est insérée le système peut aller chercher la clé de chiffrement sur la clé USB ;

  2. mettre en place un script qui monte automatiquement les partitions chiffrées.

Je n’ai pas de problème avec le cas 1) puisque ça permet de déporter physiquement la clé de chiffrement sans aucun lien physique direct.

Mais dans le cas 2), j’espère que ce n’est pas ce qu’il cherche à faire !! Ca serait complètement crétin. En effet, si la clé de chiffrement est en clair quelque part sur le système, autant ne rien chiffrer du tout !! Car si quelqu’un arrive par un moyen ou par un autre à avoir accès au contenu du disque chiffré, ça signifie qu’il n’est pas loin du tout d’accéder à la clé de chiffrement. Donc cette option est à bannir selon moi. Sauf à vouloir se faire croire que parce qu’on a un système chiffré on ne craint rien.

#5

[quote=“Cluxter”]2) mettre en place un script qui monte automatiquement les partitions chiffrées.
[…]
Mais dans le cas 2), j’espère que ce n’est pas ce qu’il cherche à faire !![/quote]
Non, là c’est vraiment un problème au boot du PC, juste après le chargement du kernel (initramfs) mais avant même de commencer la séquence init.
J’ai eu le même souci quand j’ai installé mon netbook : il me demandait 2 mots de passe (un pour la racine et un pour le swap), et c’était bien un problème d’ordre des conteneurs (md-crypt doit contenir tout le reste pour que ça fonctionne avec un seul mdp).

#6

[quote]et c’était bien un problème d’ordre des conteneurs (md-crypt doit contenir tout le reste pour que ça fonctionne avec un seul mdp)[/quote]Peut être en le mettant sur la partition de boot ?

#7

Avec deux schémas tu comprendras mieux le problème. :wink:
Pour reprendre ma configuration actuelle sur mon netbook (qui est ce qu’il veut obtenir, dans le principe) :

sda1 -> sda1_crypt (chiffrage dm-crypt, demande un mot de passe) -> sda1_crypt_lvm (pv/vg LVM2) -> sda1_crypt_lvm-root (lv LVM2 correspondant à /) -> sda1_crypt_lvm-swap (lv LVM2) sda2 (/boot)
Alors que sa configuration actuelle correspondrait, sur mes partitions, à :

sda1 -> sda1_lvm (pv/vg LVM2) -> sda1_lvm-root (lv LVM2 correspondant à /) -> sda1_lvm-root_crypt (chiffrage dm-crypt, demande un mot de passe) -> sda1_crypt_lvm-swap (lv LVM2) -> sda1_lvm-swap_crypt (chiffrage dm-crypt, demande un mot de passe) sda2 (/boot)
Sachant que lors de la séquence de boot, chaque partition dm-crypt demande un mot de passe juste après grub. Une fois que ces partitions sont accessibles, Linux commence alors sa séquence de boot normale (init SystemV avec les différents rcX.d).
Le but d’une telle config est bien entendu de protéger les données du disque (pas de mot de passe = boot impossible car on ne peut pas déchiffrer le disque, et si tu extrais le disque de la machine il est illisible), sans pour autant se faire emmerder avec 2 ou 3 mots de passe (qui sont totalement redondants, un seul suffit amplement).
Bref, c’est juste une question de configuration au moment de la création des partitions, pendant l’install : il faut spécifier le bon ordre des différents conteneurs dm-crypt / LVM2.

#8

[quote]Le but d’une telle config est bien entendu de protéger les données du disque (pas de mot de passe = boot impossible car on ne peut pas déchiffrer le disque, et si tu extrais le disque de la machine il est illisible), sans pour autant se faire emmerder avec 2 ou 3 mots de passe (qui sont totalement redondants, un seul suffit amplement).[/quote]OK, je pensais que les mots de passe étaient différents. :wink:

#9

merci pour vos réponses; Non, je ne suis pas stupide, et j’ai préféré apprendre plutôt que bricoler.

J’ai donc installé correctement ma debian dans le bon ordre, à savoir :

  • commencer par créer une première partition /boot en clair
  • chiffrer une partition plus importante afin d’y ajouter la racine, /home et la swap.
  • créer le volume physique et puis les volumes logiques…

voilà ce qu’il fallait savoir :023

(peut-on clotûrer le sujet svp ?)

#10

merci pour vos réponses; Non, je ne suis pas stupide, et j’ai préféré apprendre plutôt que bricoler.

J’ai donc installé correctement ma debian dans le bon ordre, à savoir :

  • commencer par créer une première partition /boot en clair
  • chiffrer une partition plus importante afin d’y ajouter la racine, /home et la swap.
  • créer le volume physique et puis les volumes logiques…

voilà ce qu’il fallait savoir :023

message posté avec midori :clap:

(peut-on clotûrer le sujet svp ?)

#11

Il ne tient qu’à toi de cliquer sur la petite coche verte pour marquer ton problème comme résolu. :wink:

#12

[quote]merci pour vos réponses; Non, je ne suis pas stupide, et j’ai préféré apprendre plutôt que bricoler.[/quote]Tu sais on voit de tout ici. :wink: