Cher journal,
Je me suis amusé en début d’été à réinstaller ma machine avec Debian Bookworm et j’ai pris quelques notes pour en faire un article sur mon blog. Nous voilà déjà à la fin de l’été et j’ai publié l’article que je vous ai retranscrit ici directement ci-dessous.
Finalement, cet article que j’avais imaginé petit a pris bien plus de mon temps que prévu :)
Le dernier noyau Linux publié est le 6.10 et il incorpore le travail d'Eric Biggers qui a cherché à optimiser les performances de l'algorithme de chiffrement AES.
Cet algorithme est notamment utilisé, dans son mode d'opération AES-XTS, pour chiffrer nos disques durs via le standard LUKS et l'outil cryptsetup.
Avec les disques SSD le débit de données est très important et tous les accès au disque dur doivent donc passer par ces phases de chiffrement ou de déchiffrement (…)
Bonjour,
Avec l'arrivée d'une nouvelle machine je souhaite me mettre un peu à jour sur l'organisation des fs et LUKS.
Jusqu'à présent j'installe sous cette forme:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59,6G 0 disk
├─sda1 8:1 0 190M 0 part /boot
└─sda2 8:2 0 59,4G 0 part
└─sda2_crypt 253:0 0 59,4G 0 crypt /
Oui pas de SWAP et vieux coucous en BIOS, ce n'est pas le débat.
/boot non chiffré m'a toujours embêté et (…)
Bonjour à tous,
Je cherche à savoir quelle est la démarche pour déchiffrer des partitions LUKS au démarrage.
Si quelqu'un a déjà mis en place cette démarche, je serais heureux de la suivre.
J'ai déjà mis en place une méthode pour s'authentifier sur un serveur avant et lancer un cryptroot-unlock.
Bon par contre, à priori j'ai triché un peu via 'touch /cryptroot/crypttab'.
En vous remerciant.
À mon taf actuel, on nous demande que les disques durs de données de nos serveurs soient chiffrés. L'objectif est avant tout de se protéger d'un vol d'un disque par un technicien de l'opérateur qui nous héberge, ou d'un mauvais effaçage après recyclage du disque en cas d'incident.
Mais du coup, comment conjuguer ça avec la volonté d'avoir un serveur capable de redémarrer "seul" en cas d'incident ?
Afin d'avoir une solution où la passphrase ne se retrouve pas (…)
Une installation standard de Debian permet de déchiffrer son disque / au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.
En partant d'une installation Debian standard avec chiffrement (le disque / est alors placé sous /dev/sda5, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab :
sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc
Il faut ensuite (…)
Bonjour à tous
Sur une Fedora 35 avec un GNOME 41 tout simple, je voulais créer un compte utilisateur avec systemd-homed.
Le but est d'avoir le répertoire $HOME de cet utilisateur chiffré et de n'avoir qu'un mot de passe à taper pour se logguer et déchiffrer ses données.
Au bout d'un moment (désactivation de selinux, ajout dans /etc/pam.d/password-auth et /etc/pam.d/system-auth de lignes avec "pam_systemd_home.so", lecture de wiki divers), j'ai réussi à créer un utilisateur avec lequel j'arrive à (…)
Bonjour,
J'avais posté en début d'année le sujet suivant: https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot, malheureusement par manque de temps j'ai dû laisser de côté le sujet pendant un bon moment.
J'en profite pour dire Merci pour les réponses obtenues et présenter mes excuses pour ne pas avoir donné de retour plus tôt.
Aujourd'hui un nouveau poste informatique m'est confié et je saute donc sur l'occasion pour essayer de mettre en place la solution.
Sur ma (nouvelle) machine (…)
Bonjour,
j'essaye de créer une image disque chiffrée sous Ubuntu 20.04.2 LTS.
Pour cela j'ai utilisé l'outil Disques, partition EXT4 chiffrée LUKS.
Lorsque je monte le volume via l'interface graphique en double-cliquant dessus, il apparaît bien comme volume amovible, mais il est malheureusement en lecture seule (je ne peux ajouter de fichiers dedans ou créer un répertoire). Le volume concerné porte le nom de levolume.
manu@manu-E7470:~$ ls -al /media/manu/
total 12
drwxr-x---+ 3 root root 4096 juil. 17 10:57Bonjour,
Je me trouve dans une impasse après avoir pas mal cherché.
L'idée est de sécurisé une machine avec chiffrement des disques via luks et de mettre une clé qui autorise le déchiffrement de la partition racine automatiquement avec une clé usb inséré dans la machine.
Après avoir exploré le sujet, il s'avère si j'ai bien compris que le paramètre "keyscript" dans crypttab n'est plus pris en compte dans debian.
Il resterait donc un paramètre à passer dans grub pour (…)
Bonjour,
J'ai un petit serveur qui tourne sur Proxmox.
Dedans, j'ai deux disques durs chiffrés via Luks qui sont ensuite utilisés par ZFS en mode miroir.
Ces deux disques ne sont pas requis pour faire fonctionner Proxmox et certains containers et/ou VM.
Quand le serveur redémarre, j'ai un prompt pour la saisie du mot de passe.
Cependant, si je ne suis pas chez moi, j'aimerais bien que le serveur se relance même sans ce pool zfs.
J'ai testé les paramètres (…)
Bonjour,
J'envisage de réinstaller proprement ma machine sous Debian et en profiter pour chiffrer mes données (système + utilisateur). J'ai lu la doc Debian[1] mais j'ai encore quelques questions.
Voici ce que j'imagine (sdb et sdc seront en RAID1 directement géré par btrfs) :
sda : mSSD 120GB (GPT)
+ sda1 : efi (512Mo FAT32)
+ sda2 : root (120Go LUKS + BTRFS)
sdb : SSD 250GB (GPT)
+ sdb1 : home (250Go LUKS + BTRFS avec RAID1)
sdc :