Bonjour,
J'envisage de réinstaller proprement ma machine sous Debian et en profiter pour chiffrer mes données (système + utilisateur). J'ai lu la doc Debian[1] mais j'ai encore quelques questions.
Voici ce que j'imagine (sdb et sdc seront en RAID1 directement géré par btrfs) :
sda : mSSD 120GB (GPT)
+ sda1 : efi (512Mo FAT32)
+ sda2 : root (120Go LUKS + BTRFS)
sdb : SSD 250GB (GPT)
+ sdb1 : home (250Go LUKS + BTRFS avec RAID1)
sdc : SSD 250GB (GPT)
+ sdb2 : home (250Go LUKS + BTRFS avec RAID1)
sdd : HDD 320GB (GPT)
+ sdd1 : swap (32Go LUKS + SWAP)
+ sdd2 : backup (288Go LUKS + BTRFS)
1) Est-ce-que cette organisation est logique ?
2) Comment faire pour n'avoir qu'un seul mot de passe à saisir au boot (/etc/crypttab) ?
3) Est-ce-que l'installateur de Debian gère bien ce cas de figure ou faut que je fasse tout à la main ?
[1] https://www.debian.org/releases/stable/amd64/ch06s03.html.fr#di-partition
# Hello
Posté par ouafnico (site web personnel) . Évalué à 2.
Je ne suis pas sûr que l'installeur debian gère ça nativement.. je le fais de mon côté mais sur archlinux.
Au pire une fois l'installeur démarré tu vas dans une console, tu prépares tout, et je pense qu'une fois arrivé dans la partie partitionnement, Debian va voir tes partitions toutes prêtes (à tenter).
Via le fichier crypttab, tu peux tout à fait créer une clé par exemple que tu ajoutes sur un slot dispo de tes conteneurs luks, et utiliser uniquement cette clé pour ouvrir tous les conteneurs.
# Éléments de réponse
Posté par Cyril Brulebois (site web personnel) . Évalué à 1.
Alors :
Debian Consultant @ DEBAMAX
# Élément de réponse :
Posté par foobarbazz . Évalué à 1. Dernière modification le 15 décembre 2018 à 16:01.
Ce que j'ai fais sur ma machine, le premier disque dur est déchiffré grâce à un mot de passe, et le second disque dur est déchiffré grâce à une clé sur le premier disque dur chiffré.
Je sais pas s'il est possible d'utiliser "vraiment" le même mot de passe.
[^] # Il y a un script pour ça
Posté par Arthur Accroc . Évalué à 3.
Sous Debian et dérivées (je l’ai testé sous Ubuntu), il y a un script pour ça (il retient le mot de passe tapé pour le premier déchiffrement) :
/lib/cryptsetup/scripts/decrypt_keyctl
, voir notamment cette page.Comme l’indique une remarque dans la réponse, avec systemd le mot de passe est perdu entre l’exécution de l’initramfs et la suite. Donc à partir du moment où ta partition root est chiffrée, il faut déchiffrer les autres depuis l’initramfs aussi pour ne pas avoir à taper le mot de passe deux fois.
Donc, ton /etc/crypttab devra ressembler à ça (avec comme UUID ceux des partitions contenantes des partitions chiffrées) :
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
# Merci
Posté par JPEC . Évalué à 2.
Merci pour les réponses…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.