Ouverture d'un disque (chiffré) automatiquement après l'ouverture de session

Bonjour,

J’ai un disque externe que j’utilise comme banque de données pour certains logiciels.
C’est un disque USB externe chiffré, le mot de passe est enregistré.

Sur Gnome : il ya une case à cocher pour ouvrir le disque au démarrage de la session utilisateur. C’est très pratique.
Existe t’il une méthode équivalente pour KDE ? La clé de chiffrement est bien enregistrée.

Merci

Je ne connais pas ce mécanisme, tu peux me montrer une capture d’écran de la case à cocher sous Gnome STP ?

Bonjour,
Pour ouvrir le disque automatiquement il y a deux configuration à faire:

• Que la partition soit montée automatiquement dans /etc/fstab
• Que la partition soit déchiffrée via /etc/cryptab (attention, cette modification nécessite que l’initramfs soit mis à jour.

Je vais relancer gnome : c’est sur Nautilus , tu peux cocher la case « ouverture automatique lors de l’ouverture de session »

Non, ce n’est pas ce que je veux.

J’en ai un de cette façon, mais celui-ci je ne veux l’ouvrir que si c’est ma session.

Alors il te faut utiliser libpam-mount, mais ce n’est pas simple à utiliser.

Sinon c’est déclaration dans /etc/fstab en noauto et user.
Et tu monte la partition à la main.

pas sur que ça marche avec des disques chiffrés.

pas sur que ça marche avec des disques chiffrés.

Si si, je suis repassé sur Gnome :

shnoulle@isis-debian:~$ cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# systemd generates mount units based on this file, see systemd.mount(5).
# Please run 'systemctl daemon-reload' after making changes here.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
/dev/mapper/isis--debian--vg-root /               ext4    errors=remount-ro 0       1
# /boot was on /dev/sdb1 during installation
UUID=948242b8-496b-402e-8489-87050bb50501 /boot           ext4    defaults        0       2
/dev/mapper/isis--debian--vg-swap_1 none            swap    sw              0       0
/dev/mapper/luks-9e67e412-b4e8-4818-826e-3e6a14ccfef2  /media/shnoulle/data    ext4    defaults        0       2

shnoulle@isis-debian:~$ mount
sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
udev on /dev type devtmpfs (rw,nosuid,relatime,size=16326012k,nr_inodes=4081503,mode=755,inode64)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=600,ptmxmode=000)
tmpfs on /run type tmpfs (rw,nosuid,nodev,noexec,relatime,size=3273356k,mode=755,inode64)
/dev/mapper/isis--debian--vg-root on / type ext4 (rw,relatime,errors=remount-ro)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev,inode64)
cgroup2 on /sys/fs/cgroup type cgroup2 (rw,nosuid,nodev,noexec,relatime,nsdelegate,memory_recursiveprot)
pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
bpf on /sys/fs/bpf type bpf (rw,nosuid,nodev,noexec,relatime,mode=700)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=40,pgrp=1,timeout=0,minproto=5,maxproto=5,direct,pipe_ino=564)
debugfs on /sys/kernel/debug type debugfs (rw,nosuid,nodev,noexec,relatime)
hugetlbfs on /dev/hugepages type hugetlbfs (rw,nosuid,nodev,relatime,pagesize=2M)
mqueue on /dev/mqueue type mqueue (rw,nosuid,nodev,noexec,relatime)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k,inode64)
tracefs on /sys/kernel/tracing type tracefs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /run/credentials/systemd-journald.service type tmpfs (ro,nosuid,nodev,noexec,relatime,nosymfollow,size=1024k,nr_inodes=1024,mode=700,inode64,noswap)
fusectl on /sys/fs/fuse/connections type fusectl (rw,nosuid,nodev,noexec,relatime)
configfs on /sys/kernel/config type configfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /run/credentials/systemd-cryptsetup@luks\x2d9e67e412\x2db4e8\x2d4818\x2d826e\x2d3e6a14ccfef2.service type tmpfs (ro,nosuid,nodev,noexec,relatime,nosymfollow,size=1024k,nr_inodes=1024,mode=700,inode64,noswap)
tmpfs on /run/credentials/systemd-cryptsetup@sdb5_crypt.service type tmpfs (ro,nosuid,nodev,noexec,relatime,nosymfollow,size=1024k,nr_inodes=1024,mode=700,inode64,noswap)
tmpfs on /tmp type tmpfs (rw,nosuid,nodev,size=16366780k,nr_inodes=1048576,inode64)
/dev/sdb1 on /boot type ext4 (rw,relatime)
/dev/mapper/luks-9e67e412-b4e8-4818-826e-3e6a14ccfef2 on /media/shnoulle/data type ext4 (rw,relatime)
binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,nosuid,nodev,noexec,relatime)
tmpfs on /run/user/1000 type tmpfs (rw,nosuid,nodev,relatime,size=3273352k,nr_inodes=818338,mode=700,uid=1000,gid=1000,inode64)
gvfsd-fuse on /run/user/1000/gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=1000,group_id=1000)
portal on /run/user/1000/doc type fuse.portal (rw,nosuid,nodev,relatime,user_id=1000,group_id=1000)
/dev/mapper/luks-a5504796-c7c0-408c-b92f-369b6d61d69b on /media/shnoulle/STOCKAGE type ext4 (rw,nosuid,nodev,relatime,errors=remount-ro,uhelper=udisks2)
kio-fuse on /run/user/1000/kio-fuse-zUOUli type fuse.kio-fuse (rw,nosuid,nodev,relatime,user_id=1000,group_id=1000)

/media/shnoulle/STOCKAGE ne s’ouvre que sur ma session

Et le résultat de mount avant connexion Gnome

sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
udev on /dev type devtmpfs (rw,nosuid,relatime,size=16326012k,nr_inodes=4081503,mode=755,inode64)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=600,ptmxmode=000)
tmpfs on /run type tmpfs (rw,nosuid,nodev,noexec,relatime,size=3273356k,mode=755,inode64)
/dev/mapper/isis--debian--vg-root on / type ext4 (rw,relatime,errors=remount-ro)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev,inode64)
cgroup2 on /sys/fs/cgroup type cgroup2 (rw,nosuid,nodev,noexec,relatime,nsdelegate,memory_recursiveprot)
pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
bpf on /sys/fs/bpf type bpf (rw,nosuid,nodev,noexec,relatime,mode=700)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=40,pgrp=1,timeout=0,minproto=5,maxproto=5,direct,pipe_ino=527)
mqueue on /dev/mqueue type mqueue (rw,nosuid,nodev,noexec,relatime)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k,inode64)
tracefs on /sys/kernel/tracing type tracefs (rw,nosuid,nodev,noexec,relatime)
debugfs on /sys/kernel/debug type debugfs (rw,nosuid,nodev,noexec,relatime)
hugetlbfs on /dev/hugepages type hugetlbfs (rw,nosuid,nodev,relatime,pagesize=2M)
tmpfs on /run/credentials/systemd-journald.service type tmpfs (ro,nosuid,nodev,noexec,relatime,nosymfollow,size=1024k,nr_inodes=1024,mode=700,inode64,noswap)
fusectl on /sys/fs/fuse/connections type fusectl (rw,nosuid,nodev,noexec,relatime)
configfs on /sys/kernel/config type configfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /run/credentials/systemd-cryptsetup@sdb5_crypt.service type tmpfs (ro,nosuid,nodev,noexec,relatime,nosymfollow,size=1024k,nr_inodes=1024,mode=700,inode64,noswap)
tmpfs on /run/credentials/systemd-cryptsetup@luks\x2d9e67e412\x2db4e8\x2d4818\x2d826e\x2d3e6a14ccfef2.service type tmpfs (ro,nosuid,nodev,noexec,relatime,nosymfollow,size=1024k,nr_inodes=1024,mode=700,inode64,noswap)
tmpfs on /tmp type tmpfs (rw,nosuid,nodev,nr_inodes=1048576,inode64)
/dev/sdb1 on /boot type ext4 (rw,relatime)
/dev/mapper/luks-9e67e412-b4e8-4818-826e-3e6a14ccfef2 on /media/shnoulle/data type ext4 (rw,relatime)
binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,nosuid,nodev,noexec,relatime)
tmpfs on /run/user/106 type tmpfs (rw,nosuid,nodev,relatime,size=3273356k,nr_inodes=818339,mode=700,uid=106,gid=110,inode64)
tmpfs on /run/credentials/getty@tty3.service type tmpfs (ro,nosuid,nodev,noexec,relatime,nosymfollow,size=1024k,nr_inodes=1024,mode=700,inode64,noswap)
tmpfs on /run/user/1000 type tmpfs (rw,nosuid,nodev,relatime,size=3273356k,nr_inodes=818339,mode=700,uid=1000,gid=1000,inode64)

La clé est enregistrée dans Seahorse

non, ton fstab monte la partition que ta session soit ouverte ou pas vu que par defaut, l’option auto est utilisée…
fstab ne sait pas ouvrir une session au login.
Le seul moyen actuellement, c’est d’utiliser libpam-mount.

[quote=« Zargos, post:9, topic:91922 »]
non, ton fstab monte la partition que ta session soit ouverte ou pas vu que par defaut, l’option auto est utilisée…
[/quote]Non !

/media/shnoulle/STOCKAGE n’est pas monté tant que la session n’est pas ouverte.
Elle n’est pas dans le fstab.

Dis moi à quelle ligne elle est ?

Elle n’est pas non plus dans le résultat de mount avant ouverture de session gnome.

J’ai 3 disques chiffrés au total

# cat /etc/crypttab 
sdb5_crypt UUID=2d8108da-********** none luks,discard,x-initrd.attach
luks-9e67e412-********** UUID=9e67e412-********** /etc/luks-keys/luks-9e67e412-********** nofail

2d8108da- c’est là ou est situé la partition LVM du systèe
9e67e412- : c’est /media/shnoulle/data

pas de /media/shnoulle/STOCK

d’un autre coté tu n’avais pas précisé, et j’ai pensé qu’il s’agissait de la partition data qui est en luks aussi snas voir la stockage.

En tout cas la façon dont c’est fait n’est pas claire. C’est via nautilus ? comment as-tu configuré?
Peux-tu regarder si libpam-mount est installé?

En tout cas, l’utilisation d’un fichier dans /etc n’est pas secure pour l’ouverture de ta partition. Il suffit d’avoir accès à la machine (via un autre compte par exemple).
Par ailleurs ta partition /boot n’est pas chiffrée, ce qui permet certains types d’attaque sur ton système.

[quote=« Zargos, post:12, topic:91922 »]
d’un autre coté tu n’avais pas précisé, et j’ai pensé qu’il s’agissait de la partition data qui est en luks aussi snas voir la stockage.[/quote]On va dire ça …

De souvenir, c’est l’activation par défaut sur l’installation de Debian 13.

[quote=« Zargos, post:12, topic:91922 »]
En tout cas la façon dont c’est fait n’est pas claire. C’est via nautilus ? comment as-tu configuré?[/quote]
Sur la 12 : j’avais dû cocher une case à la première ouverture. Ici : cela s’est fait direct au passage de KDE à Gnome.
Comme KDE a déplacé les menus n’importe comment sans pouvoir les laisser dans l’application (en plus de ce désagrément) : je suis revenu à Gnome.

root@isis-debian:~# apt list --installed | grep libpam-mount
libpam-mount-bin/stable,now 2.20-3+b2 amd64 [installé]
libpam-mount/stable,now 2.20-3+b2 amd64 [installé]

Maintenant : rien ne dit que ça l’utilise.

oui l’installeur Debian n’est pas brillant.

si il n’y a pas le choix

Désolé de ne pas te croire sur parole

Je ne parlais pas ici de l’ouverture automatique à l’ouverture de session. Mais pour qu’une partiution soit automatiquement montée au démarrage.

Tu n’as qu’à lire la doc un peu.
Si libpam-mount est installé c’est qu’il est utilisé car ce n’est pas un package installé par défaut par Debian.

à minima:

 apt info libpam-mount
Package: libpam-mount
Version: 2.20-3+b2
Priority: optional
Section: admin
Source: libpam-mount (2.20-3)
Maintainer: Jochen Sprickerhof <jspricke@debian.org>
Installed-Size: 189 kB
Depends: libpam-runtime, libc6 (>= 2.34), libcryptsetup12 (>= 2:2.4), libhx32t64 (>= 4.10), libmount1 (>= 2.19.1), libpam0g (>= 0.99.7.1), libpcre2-8-0 (>= 10.22), libssl3t64 (>= >
Recommends: libpam-mount-bin
Suggests: cifs-utils, davfs2, fuse, lsof, openssl, psmisc, sshfs, xfsprogs, hxtools
Homepage: https://inai.de/projects/pam_mount/
Tag: admin::filesystem, implemented-in::c, protocol::nfs, protocol::smb,
 role::program, role::shared-lib, security::authentication
Download-Size: 60,3 kB
APT-Manual-Installed: yes
APT-Sources: https://deb.debian.org/debian trixie/main amd64 Packages
Description: PAM module that can mount volumes for a user session
 This module is aimed at environments with central file servers that a
 user wishes to mount on login and unmount on logout, such as
 (semi-)diskless stations where many users can login.
 .
 The module also supports mounting local filesystems of any kind the
 normal mount utility supports, with extra code to make sure certain
 volumes are set up properly because often they need more than just a
 mount call, such as encrypted volumes. This includes SMB/CIFS, FUSE,
 dm-crypt and LUKS.

et regarde dans les logs ça doit apparaître.

Tu dois aussi avoir pam_mount.so dans tes fichiers /etc/pam.d et quelque chose de configuré dans /etc/security/pam_mount.conf.xml

D’ailleurs je suis curieux de voir la configuration du fichier /etc/security/pam_mount.conf.xml (anonymisé bien sur), car j’ai un soucis avec le mien, le propriétaire du répertoire est toujours root.

# cat /etc/security/pam_mount.conf.xml 
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
	See pam_mount.conf(5) for a description.
-->

<pam_mount>

		<!-- debug should come before everything else,
		since this file is still processed in a single pass
		from top-to-bottom -->

<debug enable="0" />

		<!-- Volume definitions -->


		<!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<!-- requires ofl from hxtools to be present -->
<logout wait="0" hup="no" term="no" kill="no" />


		<!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />


</pam_mount>

Et sur
shnoulle@isis-debian:~$ find -L /home/shnoulle -name « pam_mount »
shnoulle@isis-debian:~$

De mon côté, je suis persuadé que c’est lié à Gnome uniquement ! (mais pas trouvé dans les gsettings)

Comme j’étais sur KDE et que ce n’était pas intégré, j’ai dû tester pas mal de truc
Je tenterais une install de 0 pour tester un autre jour.

Pas lié à pam_mount, je viens de le supprimer et reboot …

C’est direct en fait, ce que j’ai fait : création d’un utilisateur test avec mot de passe.
Connexion avec cet utilisateur : rien dans Nautilus (les 2 disques sont montés)
Reboot, connexion avec cet utilisateur : un disque apparait dans Nautilus, indiqué chiffré. Je clique : on me propose de garder le mot de passe

Le disque est monté, je n’ai aucun droit dessus (ext4 avec l’utilisateur shnoulle)
Je reboot, me reconnecte avec test : le disque est monté automatiquement (toujours sans droit d’accès)

C’est direct avec Gnome, sans rien ajouter.
Mais aucune idée où c’est enregistré/configurable (a part que c’est dans le trousseau/Seahorse)

Tu as df’abord ouvert ta sessions et ensuite nautilus te demande le password de la partition chiffrée.

Ce n’est pas pareil.

pam_mount c’est le moyen de monter ta partition (chiffrée ou non d’ailleurs) au moment ou tu saisis ton login. En fait ton mot de passe sert à chiffrer la partition.
Donc non ce n’est pas un montage automatique à l’ouverture de session.