Forum Linux.debian/ubuntu Chiffrer plusieurs disques avec LUKS

Posté par  . Licence CC By‑SA.
Étiquettes :
0
14
déc.
2018

Bonjour,

J'envisage de réinstaller proprement ma machine sous Debian et en profiter pour chiffrer mes données (système + utilisateur). J'ai lu la doc Debian[1] mais j'ai encore quelques questions.

Voici ce que j'imagine (sdb et sdc seront en RAID1 directement géré par btrfs) :

    sda : mSSD 120GB (GPT)
    + sda1 : efi (512Mo FAT32) 
    + sda2 : root (120Go LUKS + BTRFS)

    sdb : SSD 250GB (GPT)
    + sdb1 : home (250Go LUKS + BTRFS avec RAID1)

    sdc : SSD 250GB (GPT)
    + sdb2 : home (250Go LUKS + BTRFS avec RAID1)

    sdd : HDD 320GB (GPT)
    + sdd1 : swap (32Go LUKS + SWAP)
    + sdd2 : backup (288Go LUKS + BTRFS)

1) Est-ce-que cette organisation est logique ?
2) Comment faire pour n'avoir qu'un seul mot de passe à saisir au boot (/etc/crypttab) ?
3) Est-ce-que l'installateur de Debian gère bien ce cas de figure ou faut que je fasse tout à la main ?

[1] https://www.debian.org/releases/stable/amd64/ch06s03.html.fr#di-partition

  • # Hello

    Posté par  (site web personnel) . Évalué à 2.

    Je ne suis pas sûr que l'installeur debian gère ça nativement.. je le fais de mon côté mais sur archlinux.

    Au pire une fois l'installeur démarré tu vas dans une console, tu prépares tout, et je pense qu'une fois arrivé dans la partie partitionnement, Debian va voir tes partitions toutes prêtes (à tenter).

    Via le fichier crypttab, tu peux tout à fait créer une clé par exemple que tu ajoutes sur un slot dispo de tes conteneurs luks, et utiliser uniquement cette clé pour ouvrir tous les conteneurs.

  • # Éléments de réponse

    Posté par  (site web personnel) . Évalué à 1.

    Alors :

    1. Côté logique, je ne sais pas trop quoi penser de LUKS + BTRFS avec RAID1. J'ai tendance à fuir BTRFS parce qu'il semble y avoir encore ± régulièrement des corruptions en fonction de comment il est utilisé. Indépendamment du choix de BTRFS, il est possible d'empiler LUKS et RAID dans un sens ou dans l'autre sans problème, puis de choisir le système de fichiers à mettre par dessus.
    2. J'ai très peu joué avec du chiffrement sur plusieurs disques (les cas d'utilisation habituels étant laptop d'une part, et serveurs avec RAID pour obtenir un seul ensemble RAID sur lequels LUKS puis LVM sont empilés), donc je n'ai pas de réponse.
    3. Debian Installer devrait te permettre de faire tout cela en mode Manuel, pas besoin de basculer sur une console.

    Debian Consultant @ DEBAMAX

  • # Élément de réponse :

    Posté par  . Évalué à 1. Dernière modification le 15 décembre 2018 à 16:01.

    2) Comment faire pour n'avoir qu'un seul mot de passe à saisir au boot (/etc/crypttab) ?

    Ce que j'ai fais sur ma machine, le premier disque dur est déchiffré grâce à un mot de passe, et le second disque dur est déchiffré grâce à une clé sur le premier disque dur chiffré.

    Je sais pas s'il est possible d'utiliser "vraiment" le même mot de passe.

    • [^] # Il y a un script pour ça

      Posté par  . Évalué à 3.

      Je sais pas s'il est possible d'utiliser "vraiment" le même mot de passe.

      Sous Debian et dérivées (je l’ai testé sous Ubuntu), il y a un script pour ça (il retient le mot de passe tapé pour le premier déchiffrement) : /lib/cryptsetup/scripts/decrypt_keyctl, voir notamment cette page.

      Comme l’indique une remarque dans la réponse, avec systemd le mot de passe est perdu entre l’exécution de l’initramfs et la suite. Donc à partir du moment où ta partition root est chiffrée, il faut déchiffrer les autres depuis l’initramfs aussi pour ne pas avoir à taper le mot de passe deux fois.

      Donc, ton /etc/crypttab devra ressembler à ça (avec comme UUID ceux des partitions contenantes des partitions chiffrées) :

      root UUID=... none luks,discard,keyscript=decrypt_keyctl,initramfs
      home UUID=... none luks,discard,keyscript=decrypt_keyctl,initramfs
      

      « Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone

  • # Merci

    Posté par  . Évalué à 2.

    Merci pour les réponses…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.