PROJET AUTOBLOG


Le blog de Mitsu

Site original : Le blog de Mitsu

⇐ retour index

Chiffrement LUKS-dmcrypt et automontage

samedi 21 mars 2015 à 23:44

Aujourd’hui, j’ai chiffré mon disque dur :)

Contexte: j’utilise 2 volumes de stockage internes, à savoir un SSD (pour le système, le /home etc) et un disque dur bien gros (pour l’archive du Mitsu’Media, les fichiers de jeux Steam, …). Le SSD se compose ainsi:

Ça, c’est une combinaison de flemmardise et de bidouilles: l’assistant installation d’Antergos permet de chiffrer le périphérique avec LUKS-dmcrypt, mais pour cette opération il crée un « plan standard » de partitionnement: un /home, un /, et un espace swap. C’est pourquoi j’ai choisi LVM, car alors avec un peu de bidouille on peut supprimer le swap et fusionner le /home au sein du /. Pratique, car GParted n’est d’aucune aide, car ne traitant pas les conteneurs LUKS-dmcrypt.

Bref ! Le disque dur de stockage était bêtement sous partitionnement MBR et type ext4 avec montage automatique défini dans /etc/fstab.


 

Dans un premier temps, j’ai transféré toutes les données de ce disque dur interne vers des disques durs externes. Puis une fois le disque dur vidé, je l’ai formaté ainsi:

Jusque là, c’est cool: gnome-disk-utility (ou palimpsest) dispose d’une fonction de formatage LUKS-dmcrypt, c’est enfantin.

À présent, au démarrage de l’ordinateur, après m’avoir demandé le mot de passe pour déchiffrer le SSD, le système me demande le mot de passe pour déchiffrer le DD. Rébarbatif ! On va automatiser ça.

LUKS est super pratique, car il dispose de « slots » où l’on peut définir un mot de passe, ou un keyfile (dont les X premiers octets sont utilisés comme clé). On peut à tout moment ajouter ou supprimer des clés dans ces slots (en veillant à toujours garder au moins 1 slot utilisé, car sinon après on peut plus déchiffrer, normal). Et si l’on définit un keyfile, il est possible de faire un montage automatique au démarrage. L’intérêt étant bien sûr de placer ce keyfile dans le SSD déjà chiffré par mot de passe.

Ainsi donc, au démarrage, le PC demande le mot de passe pour booter sur le SSD, SSD sur lequel se trouve le keyfile utilisé par crypptab pour déverrouiller le DD, DD qui est ensuite monté automatiquement par fstab.

Mon dernier problème: si le /home est intégralement sauvegardé 2 fois sur disques durs externes, ce n’est pas le cas du DD, beaucoup trop gros. Donc je me cherche une solution:

Financièrement la dernière solution semble meilleure, mais avec quelle solution de chiffrement ? Je pensais par exemple à du 7-zip à mot de passe: chiffrement AES donc assez solide, les noms de fichiers dans l’archive sont aussi chiffrés, et il y a un contrôle d’intégrité… bref, déjà finir le retransfert des données ^^