Luks: 1 seule demande de mot de passe?

Support Debian
#1

Bonjour,

Je possède les partitions suivantes:

Device Boot Start End Sectors Size Id Type /dev/sda1 * 2048 3905535 3903488 1,9G 83 Linux /dev/sda2 3905536 7811071 3905536 1,9G 82 Linux swap / Solaris /dev/sda3 7811072 46872575 39061504 18,6G 83 Linux /dev/sda4 46872576 1465147391 1418274816 676,3G 83 Linux

Avec les mappages suivants:

[code]#
/dev/mapper/sda3_crypt / ext4 errors=remount-ro 0 1

/boot was on /dev/sda1 during installation

UUID=a7539bf0-9c26-494a-b137-74768d0585ea /boot ext4 defaults 0 2
/dev/mapper/sda4_crypt /home ext4 defaults 0 2
/dev/mapper/sda2_crypt none swap sw 0 0[/code]

sda2, 3 et 4 sont cryptées.

Voici le contenu du fichier /etc/crypttab:

sda2_crypt UUID=ba7d30c4-6a30-493d-832f-d44386f87268 /root/keyfile luks sda3_crypt UUID=b2f18622-cc34-4487-85d2-62b867fe6e9c /root/keyfile luks sda4_crypt UUID=73644626-b33b-4863-8cb7-bbfc7cdad122 /root/keyfile luks

Je souhaite n’avoir qu’une seule demande de mot de passe au démarrage.

J’ai donc utilisé les commandes suivantes:

sudo dd if=/dev/urandom of=/root/keyfile bs=1024 count=4 sudo chmod 0400 /root/keyfile sudo cryptsetup luksAddKey /dev/sda3 /root/keyfile sudo cryptsetup luksAddKey /dev/sda2 /root/keyfile sudo cryptsetup luksAddKey /dev/sda4 /root/keyfile

puis modifié le fichier /etc/crypttab (cf. plus haut).

J’ai pensé à effectuer un sudo update-initramfs -u mais cela me renvoie:

sudo update-initramfs -u update-initramfs: Generating /boot/initrd.img-3.16.0-4-amd64 cryptsetup: WARNING: target sda3_crypt uses a key file, skipped cryptsetup: WARNING: target sda2_crypt uses a key file, skipped

Actuellement, des mots de passe me sont demandés, au reboot, pour les partitions sda2 et sda3.

Quelqu’un peut-il m’aider svp pour que j’arrive à n’avoir qu’une seule demande de mot de passe au démarrage?

Merci.

#2

Salut,

La situation me semble normale, l’init peut pas trouver [mono]/root/keyfile[/mono] si la partition racine n’est pas montée auparavant. Mais je peux me tromper. Ca devrait marcher en la mettant dans /boot :think: (je comprends pas l’interet de mettre le fichier de clé sur le poste ou se situe les partitions qu’il ouvre…)

J’en conclus sans clé ?

La seule solution à ma connaissance c’est du lvm crypté, une seule clé ouvre toutes les partitions (enfin je devrais dire les volumes logiques) d’un groupe de volume lvm. Donc une seule demande de passphrase au boot et au retour d’hibernation. C’est ce que j’ai actuellement, j’ai pas fait de détails, j’ai carrément reinstallé.:w

Voila ce que ça donne :

Périphérique Amorçage Début       Fin  Secteurs Taille Id Type
/dev/sda1    *          2048    499711    497664   243M 83 Linux <=== /boot
/dev/sda2             501758 312580095 312078338 148,8G  5 Étendue
/dev/sda5             501760 312580095 312078336 148,8G 83 Linux  <=== alias /dev/mapper/sda5_crypt, le groupe de volume lvm et dedans j'ai les disques logiques suivants: 
Disque /dev/mapper/debian-root : 9,3 GiB, 9999220736 octets, 19529728 secteurs
Disque /dev/mapper/debian-home : 3,7 GiB, 3997171712 octets, 7806976 secteurs
Disque /dev/mapper/debian-swap : 5,6 GiB, 5997854720 octets, 11714560 secteurs
Disque /dev/mapper/debian-data : 130,2 GiB, 139783569408 octets, 273014784 secteurs
#3

Bon et bien gros gros souci. Ce soir, démarrage du Pc, et j’arrive sur initramfs…

Je présume que j’ai placé le fichier de clés sur une partition cryptée donc le systeme ne le voit pas…
Si je fais un mount, aucun drive sdx. Le fstab est vide.

Comment faire pour récupérer le système svp? Ou au moins récupérer mes datas?

Merci

#4

Salut,

Si tu n’as plus accès au fichier qui contient la clé et que t’as pas défini de passphrase c’est à l’eau…

#5

Vu que je vais devoir tout réinstaller, quelle est la logique pour utiliser au mieux ce cryptage/chiffrage?

Sachant que je dispose des partitions suivantes:
/boot
swap
/
/home

Et qu’à l’install, on ne peut chiffrer uniquement /home, il faut impérativement chiffrer la swap (donc 2 mots de passe au minimum).

Le but final étant qu’en cas de vol de mon portable, on n’accède pas à mes données (donc peu importe qu’on accède au “système”).

#6

Non tu peux tout chiffrer avec l’installateur, avec un seul mot de passe, en combinant volume chiffré et volume physique lvm. En plus expliquer textuellement les manips dans partman sans faire d’erreur c’est pas le plus simple :confused:

J’avais justement une VM virtualbox bidon avec ce type de config à installer, du coup j’ai capturé l’installation : frwendling.free.fr/temp/debian_lvm_crypte.html

Le début du partitionnement est vers 1:00 et le reboot à 17:45.