Dans le cas d’un Debian monté lui-même en LUKS, et donc je tape la passphrase du disque système au démarrage, et sur laquelle j’ai un second disque dur également protégé avec chiffrement (LUKS), comment puis-je faire pour monter automatiquement le second disque au démarrage, quel que soit l’utilisateur qui ouvre une session ensuite ?
Merci,
Hal
Édit de la modération :
Conformément à la FAQ que vous avez dû lire durant l’inscription, merci de veiller à poster dans le forum adéquate ?!
Faites l’effort de mettre les choses au bon endroit, afin que nous puissions passer plus de temps à discuter et moins à ranger. Ainsi :
Ne commencez pas un sujet dans la mauvaise catégorie.
En quoi ce sujet est un “Trucs & Astuces” ?
déplacement vers le forum “Support” - ce que ce post est censé être !
Il semblerait que si les deux volumes LUKS ont la même passphrase, celle-ci ne soit demandée qu’une fois.
Sinon, le plus simple me semble d’utiliser le champ <key file> dans /etc/crypttab pour spécifier un fichier contenant la passphrase (sans saut de ligne), qui devra bien sûr se trouver dans un volume chiffré précédemment ouvert et avec des droits en lecture et écriture limités à root.
Bonjour et merci beaucoup pour ta réponse rapide qui m’a un peu éclairé et rassuré pour avancer Pascal.
Je posais la question car j’ai vu des trucs peu fouillis dans les forums en effet sur ce point de sécurité que tu soulignes.
Ai suivi le protocole décrit ici :
(qui précise bien de créer le fichier avec root et de le limiter en lecture à root)
en mettant mes propres noms et avec ext4 (en lieu et place de ext3).
Ça fonctionne.
Voici donc en résumé et en français :
Passage en root (perso je préfère, sans oublier de se déconnecter dès qu’on a terminé bien entendu, ce qui n’est pas nécessaire ici vu qu’on termine par un redémarrage).
su -
Création de la clef aléatoire (sur un /root qui est lui-même protégé par une phrase secrète)
Protection du fichier ainsi créé pour qu’il ne soit accessible qu’en lecture et qu’à root :
chmod 0400 /root/keyfile
Ajout de la clef à luks (remplacer sdX par votre disque) :
cryptsetup luksAddKey /dev/sdX /root/keyfile
Note : dans mon cas aucun retour après avoir tapé la phrase secrète… Ni erreur ni confirmation. Ça m’a un peu inquiété je dois dire…
Ajout du mapper dans cryptab :
nano /etc/crypttab
Ajout de la ligne (sdX_crypt est un nom libre que vous pouvez adapter à votre contexte, et sdX est le même que précédemment) :
sdX_crypt /dev/sdX /root/keyfile luks
(il existe une variante utilisant l’uuid du disque, voir la source en anglais)
Fermer l’édition en enregistrant vos modifications.
Montage dans fstab :
où sdX_crypt est à remplacer par le nom que vous avez choisi, sdX est toujours le même, et ext4 peut être à remplacer par le type de partition si vous en utilisez une autre.
Fermer en enregistrant vos modifications.
Redémarrer.
En principe c’est bon.
Perso je ne mets jamais la même phrase secrète sur mes disques…
Mais je veux bien savoir si c’est effectivement le cas (je testerai à l’occasion sinon).
Je pense que l’utilisation de “sdX” est une mauvaise pratique aussi bien dans le nom du volume chiffré que comme périphérique conteneur. Il est connu et reconnu que les noms de disques /dev/sdX ne sont pas stables et peuvent changer d’un démarrage à l’autre, après l’ajout ou la suppression d’un disque, un changement de noyau… Utiliser un identifiant persistant comme l’UUID est beaucoup plus sûr. Quant au nom du volume chiffré, dans la mesure où il peut être choisi arbitrairement, il n’a pas à coller au nom du périphérique conteneur (d’autant plus si ce dernier est susceptible de changer), et devrait au contraire coller au contenu de ce volume, comme on le fait pour les noms des volumes logiques LVM.
Merci Pascal,
J’ai modifié pour utiliser l’uuid.
Niveau nommage, j’avais déjà appliqué ce que tu dis en utilisant un nommage « explicite pour moi ».
À bientôt,
Hal
