Journal Installation personnalisée de Debian avec LUKS v2, volumes Btrfs, systemd-boot et Secure Boot

33
18
sept.
2024

Cher journal,

Je me suis amusé en début d’été à réinstaller ma machine avec Debian Bookworm et j’ai pris quelques notes pour en faire un article sur mon blog. Nous voilà déjà à la fin de l’été et j’ai publié l’article que je vous ai retranscrit ici directement ci-dessous.

Finalement, cet article que j’avais imaginé petit a pris bien plus de mon temps que prévu :)

Installation personnalisée de Debian avec disque chiffré par LUKS v2, volumes Btrfs, systemd-boot et

(…)

Journal AES-XTS dans le noyau Linux 6.10

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
70
23
juil.
2024

Le dernier noyau Linux publié est le 6.10 et il incorpore le travail d'Eric Biggers qui a cherché à optimiser les performances de l'algorithme de chiffrement AES.

Cet algorithme est notamment utilisé, dans son mode d'opération AES-XTS, pour chiffrer nos disques durs via le standard LUKS et l'outil cryptsetup.

Avec les disques SSD le débit de données est très important et tous les accès au disque dur doivent donc passer par ces phases de chiffrement ou de déchiffrement (…)

Forum général.général LUKS & /boot

Posté par  . Licence CC By‑SA.
Étiquettes :
6
6
mar.
2024

Bonjour,

Avec l'arrivée d'une nouvelle machine je souhaite me mettre un peu à jour sur l'organisation des fs et LUKS.
Jusqu'à présent j'installe sous cette forme:

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59,6G 0 disk

├─sda1 8:1 0 190M 0 part /boot
└─sda2 8:2 0 59,4G 0 part

└─sda2_crypt 253:0 0 59,4G 0 crypt /

Oui pas de SWAP et vieux coucous en BIOS, ce n'est pas le débat.

/boot non chiffré m'a toujours embêté et (…)

Forum Linux.debian/ubuntu Autodecrypt LUKS au démarrage

Posté par  . Licence CC By‑SA.
Étiquettes :
1
26
jan.
2024

Bonjour à tous,

Je cherche à savoir quelle est la démarche pour déchiffrer des partitions LUKS au démarrage.

Si quelqu'un a déjà mis en place cette démarche, je serais heureux de la suivre.

J'ai déjà mis en place une méthode pour s'authentifier sur un serveur avant et lancer un cryptroot-unlock.

Bon par contre, à priori j'ai triché un peu via 'touch /cryptroot/crypttab'.

En vous remerciant.

Journal LUKS, TPM et boulette

Posté par  . Licence CC By‑SA.
Étiquettes :
71
17
avr.
2023

Contexte

À mon taf actuel, on nous demande que les disques durs de données de nos serveurs soient chiffrés. L'objectif est avant tout de se protéger d'un vol d'un disque par un technicien de l'opérateur qui nous héberge, ou d'un mauvais effaçage après recyclage du disque en cas d'incident.
Mais du coup, comment conjuguer ça avec la volonté d'avoir un serveur capable de redémarrer "seul" en cas d'incident ?
Afin d'avoir une solution où la passphrase ne se retrouve pas (…)

Journal Déchiffrement de disque racine avec carte à puce GPG sous Debian

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
31
9
fév.
2022

Une installation standard de Debian permet de déchiffrer son disque / au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.

Configuration

En partant d'une installation Debian standard avec chiffrement (le disque / est alors placé sous /dev/sda5, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab :

sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc

Il faut ensuite (…)

Forum Linux.gui Fedora 35 et systemd-homed : pas simple

Posté par  . Licence CC By‑SA.
2
28
déc.
2021

Bonjour à tous

Sur une Fedora 35 avec un GNOME 41 tout simple, je voulais créer un compte utilisateur avec systemd-homed.
Le but est d'avoir le répertoire $HOME de cet utilisateur chiffré et de n'avoir qu'un mot de passe à taper pour se logguer et déchiffrer ses données.

Au bout d'un moment (désactivation de selinux, ajout dans /etc/pam.d/password-auth et /etc/pam.d/system-auth de lignes avec "pam_systemd_home.so", lecture de wiki divers), j'ai réussi à créer un utilisateur avec lequel j'arrive à (…)

Forum Linux.général Deux systèmes de chiffrement cote à cote pour un système dual boot (suite)

Posté par  . Licence CC By‑SA.
4
2
sept.
2021

Bonjour,

Préambule

J'avais posté en début d'année le sujet suivant: https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot, malheureusement par manque de temps j'ai dû laisser de côté le sujet pendant un bon moment.

J'en profite pour dire Merci pour les réponses obtenues et présenter mes excuses pour ne pas avoir donné de retour plus tôt.

Aujourd'hui un nouveau poste informatique m'est confié et je saute donc sur l'occasion pour essayer de mettre en place la solution.

Le sujet mis à jour

Sur ma (nouvelle) machine (…)

Forum Linux.debian/ubuntu Image disque chiffrée Ubuntu

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
1
17
juil.
2021

Bonjour,
j'essaye de créer une image disque chiffrée sous Ubuntu 20.04.2 LTS.
Pour cela j'ai utilisé l'outil Disques, partition EXT4 chiffrée LUKS.
Lorsque je monte le volume via l'interface graphique en double-cliquant dessus, il apparaît bien comme volume amovible, mais il est malheureusement en lecture seule (je ne peux ajouter de fichiers dedans ou créer un répertoire). Le volume concerné porte le nom de levolume.

manu@manu-E7470:~$ ls -al /media/manu/
total 12
drwxr-x---+ 3 root root 4096 juil. 17 10:57
(…)

Forum Linux.debian/ubuntu luks debian testing, boot avec clé sur clé usb

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
1
20
fév.
2020

Bonjour,

Je me trouve dans une impasse après avoir pas mal cherché.
L'idée est de sécurisé une machine avec chiffrement des disques via luks et de mettre une clé qui autorise le déchiffrement de la partition racine automatiquement avec une clé usb inséré dans la machine.

Après avoir exploré le sujet, il s'avère si j'ai bien compris que le paramètre "keyscript" dans crypttab n'est plus pris en compte dans debian.

Il resterait donc un paramètre à passer dans grub pour (…)

Forum Linux.général Timeout sur la saisie du mot de passe Luks

Posté par  . Licence CC By‑SA.
Étiquettes :
0
7
jan.
2020

Bonjour,

J'ai un petit serveur qui tourne sur Proxmox.
Dedans, j'ai deux disques durs chiffrés via Luks qui sont ensuite utilisés par ZFS en mode miroir.
Ces deux disques ne sont pas requis pour faire fonctionner Proxmox et certains containers et/ou VM.

Quand le serveur redémarre, j'ai un prompt pour la saisie du mot de passe.
Cependant, si je ne suis pas chez moi, j'aimerais bien que le serveur se relance même sans ce pool zfs.
J'ai testé les paramètres (…)

Forum Linux.debian/ubuntu Chiffrer plusieurs disques avec LUKS

Posté par  . Licence CC By‑SA.
Étiquettes :
0
14
déc.
2018

Bonjour,

J'envisage de réinstaller proprement ma machine sous Debian et en profiter pour chiffrer mes données (système + utilisateur). J'ai lu la doc Debian[1] mais j'ai encore quelques questions.

Voici ce que j'imagine (sdb et sdc seront en RAID1 directement géré par btrfs) :

    sda : mSSD 120GB (GPT)
    + sda1 : efi (512Mo FAT32) 
    + sda2 : root (120Go LUKS + BTRFS)

    sdb : SSD 250GB (GPT)
    + sdb1 : home (250Go LUKS + BTRFS avec RAID1)

    sdc :
(…)