Live usb key custom ( live-build / linux-live-kit) + chiffrement du / (root)

anoskar · Septembre 29, 2022, 2:39pm

Bonjour,

Je travaille actuellement sur un projet passionnant, je crée une clé live key linux bootable qui serait chiffrée .

Voici mes contraintes

Live Custom Usb sous  Debian / Ubuntu / Rocky ( je commence à abandonner Rocky, je ne trouve rien pour lui :s) :slight_smile:

Avoir du chiffrement sur l’os ( en cas de perte, qu’on ne sache rien en tirer)

Etre en RO en live mais pouvoir écrire sur une partition montée une fois l’OS lancé

Je suis parti sur linux-live-kit et j’ai presque tout réussi. Le seul point qui coince est le chiffrement du root ( le / ).

Je peux bien sur créer une partition sur le côté que je chiffre et que je monte en lancant la session live.
Mon besoins serait de tout chiffrer sauf le boot bien évidemment.

Est-il possible d’effectuer cela ? Tous les sites sur lesquels je tombe ( live-build, linveng) ne propose que cette solution : live usb sur partion A et persistence chiffrée sur partition B.

Linux-live-kit ne permet pas le chiffrement du / , le dev me l’a confirmé.

Merci de m’avoir lu, j’espère pour voir vous lire car je désespère un peu.

Bonne journée

Anoskar

Clochette · Septembre 29, 2022, 3:24pm

Le principe d’un live système c’est justement de ne pas utiliser de donnée à caractère personnelle dessus et de préférer stocker la donnée sur une partition annexe qui pourra être chiffré.

Peux-tu donner un exemple de donnée qui serait à caractère personnelle et présente sur la partition / de ton système ?

anoskar · Septembre 29, 2022, 7:42pm

Je souhaite qu’en cas de perte / vol, on ne sache rien faire ce qu’il y a dans la clé.
De mon point de vue si on a accès à un sytème, cela reste un risque.
Dans mon cas je ne peux pas le prendre ( ce n’est pas un choix personnel )

Sinon c’est possible ou pas ??

Zargos · Septembre 29, 2022, 8:02pm

Bonjour,

Ça ne sert strictement à rien. seul le disque utilisé pour tes donnée mérite d’être chiffré.

Clochette · Septembre 29, 2022, 9:09pm

Un système sans log ni aucune donnée personnelle … c’est un linux en gros vierge.

Troisième personne avec le dev à te le dire.

dindoun · Septembre 30, 2022, 8:20am

Encrypted Persistent Filesystem in Live Debian - tech.moe.ph peut peut être t’aider

ça aussi marche très bien avec un kali live mais je n’ai pas réussi avec un debian :

anoskar · Septembre 30, 2022, 8:20am

Hello Clochette,

Je comprends ton point de vue ( et celui des personnes qui m’ont répondues) et c’était le mien jusqu’il y a peu.

Je ne peux pas aller plus loin mais cette contrainte n’est pas la mienne pour résumer simplement. Ce n’est pas une « lubie » ou autre bien loins de là.

Vos arguments sont pertinents clairement et suis d’accord avec le fait que la partition secondaire chiffrée est top + le read only sur le reste mais je suis obligé de faire une créer une live-build avec son / chiffré.

Ma question est simplement de savoir si on peut arriver à faire cela techniquement.

J’ai trouvé une piste ici : Persistence — liveng 1.0 documentation. Le lien de @dindoun va dans ce sens aussi.

Cependant, cela explique comment déchiffrer une partition secondaire via une entrée dans le grub et une injection de cryptsetup dans l’initramfs. Grâce à cela, on a un prompt au boot qui nous demande de fournir la passphrase de la partition secondaire chiffrée.

Je bloque cependant sur comment refaire cela mais pour le / .

Bonne journée @ vous, j’espère pouvoir vous lire en tout cas merci pour vos retours précédent !

dindoun · Septembre 30, 2022, 12:47pm

salut
le lien kali chiffre le slash
il garde deux partitions boot et iso
la troisième contient tout le slash me semble-t-il

anoskar · Octobre 3, 2022, 8:10am

Merci, je vais aller voir. Actuellement, je suis sur le test d’une full installation sur une clé, le chiffrement se fait aussi sur le / mais je ne perds pas espoir pour la live key. Merci pour ton aide