Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
cryptsetup [Le 13/08/2020, 02:39] – cheat sheet étendu 162.222.146.146cryptsetup [Le 14/04/2026, 07:17] (Version actuelle) – màj liens internes | +tag vétuste krodelabestiole
Ligne 1: Ligne 1:
-{{tag>Trusty Xenial chiffrement sécurité}}+{{tag>Trusty Xenial Noble chiffrement sécurité vétuste}}
  
-----+<note warning>Cette page contient des références à Ubuntu 6.04 Dapper Drake. Son contenu est par conséquent probablement très obsolète et les bonnes pratiques en matière de cryptographie ont certainement changé depuis.  
 +<note tip>Le gestionnaire de disque [[:gnome-disk-utility|GNOME Disques]] installé par défaut dans Ubuntu gère maintenant le chiffrement des partitions</note> 
 +</note>
  
 +<note>Ce paquet est  automatiquement installé lors d’une installation **expérimentale**   du logiciel ZFS chiffré en version 24.04 (noble)</note>
  
 ====== Partition chiffrée avec Cryptsetup ====== ====== Partition chiffrée avec Cryptsetup ======
  
 Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système. Le chiffrement de partition permet d’éviter ça. Afin de protéger au mieux vos données personnelles, il peut être nécessaire de chiffrer vos partitions utilisateur. En effet, si via le système il est impossible d’accéder aux fichiers qui ne vous appartiennent pas, un simple passage sur un livecd permet d’accéder à n’importe quel fichier de votre système. Le chiffrement de partition permet d’éviter ça.
-Ubuntu intègre en standard les outils nécessaires à une gestion simple de votre sécurité. +Ubuntu intègre en standard les outils nécessaires à une gestion simple de votre sécurité.
  
 =====Installation===== =====Installation=====
Ligne 72: Ligne 75:
  
 === Montage automatique === === Montage automatique ===
-Depuis **Dapper**, Ubuntu intègre la gestion des volumes chiffrée LUKS en standard, ce qui permet de gérer de manière automatique le montage et le démontage de vos volumes (partitions) sécurisées. La configuration des paramètres du volume chiffré est dans le fichier **/etc/crypttab** et le montage du volume est de manière classique dans **/etc/fstab**.+ 
 +Depuis **Dapper**, Ubuntu intègre la gestion des volumes chiffrée LUKS en standard, ce qui permet de gérer de manière automatique le montage et le démontage de vos volumes (partitions) sécurisées. La configuration des paramètres du volume chiffré est dans le fichier ''/etc/crypttab'' et le montage du volume est de manière classique dans ''[[:fstab|/etc/fstab]]''.
  
 Un exemple de chiffrement du dossier **/home**: Un exemple de chiffrement du dossier **/home**:
Ligne 84: Ligne 88:
 Si vous désirez que tout vous array raid soient décryptés: <code> truncate -s 0 /etc/crypttab ; for i in $(cat /proc/mdstat | grep -E "^md" | cut -d ' ' -f 1) ; do echo "${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"' -f 2) none luks" >> /etc/crypttab ; done </code> Si vous désirez que tout vous array raid soient décryptés: <code> truncate -s 0 /etc/crypttab ; for i in $(cat /proc/mdstat | grep -E "^md" | cut -d ' ' -f 1) ; do echo "${i}_crypt UUID=$(blkid -o full /dev/$i | cut -d '"' -f 2) none luks" >> /etc/crypttab ; done </code>
  
-Modifier **/etc/fstab** pour le volume qui nous intéresse :+Modifier ''[[:fstab|/etc/fstab]]'' pour le volume qui nous intéresse :
 <code># /etc/fstab: static file system information. <code># /etc/fstab: static file system information.
 # #
Ligne 90: Ligne 94:
 /dev/mapper/home        /home   ext3    defaults        0       1 </code> /dev/mapper/home        /home   ext3    defaults        0       1 </code>
  
-La clé d'ouverture du volume chiffré vous sera demandée au démarrage de la machine si votre partition est montée automatiquement (voir [[mount_fstab|fstab]]).+La clé d'ouverture du volume chiffré vous sera demandée au démarrage de la machine si votre partition est montée automatiquement.
  
 Attention, si une ligne est déjà présente pour le montage de la partition qui héberge le système de fichier chiffré (/dev/hda7 dans l'exemple ci-dessus), il faut la commenter (en ajoutant un # comme premier caractère) pour éviter un message d'erreur au démarrage. Attention, si une ligne est déjà présente pour le montage de la partition qui héberge le système de fichier chiffré (/dev/hda7 dans l'exemple ci-dessus), il faut la commenter (en ajoutant un # comme premier caractère) pour éviter un message d'erreur au démarrage.
  
-Attention: Si le boot a lieu avec les options **quiet splash** supprimées, la demande de la phrase de décodification  va passer inaperçue... Le boot se mettra à attendre la saisie de la clé. Le plus simple est d'appuyer sur la touche **entrée** afin qu'il repose la question. +Attention : si le boot a lieu avec les options **quiet splash** supprimées, la demande de la phrase de décodification  va passer inaperçue... Le boot se mettra à attendre la saisie de la clé. Le plus simple est d'appuyer sur la touche **entrée** afin qu'il repose la question.
  
 === Ouverture automatique du conteneur chiffré au démarrage à l'aide d'un support amovible === === Ouverture automatique du conteneur chiffré au démarrage à l'aide d'un support amovible ===
Ligne 124: Ligne 128:
  
 Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs. Nous allons utiliser PAM, utilitaire habituellement utilisé pour le montage automatique de partitions sur des postes multi-utilisateurs.
 +<note warning>pam_mount ne prend pas en charge les partitions LUKS2, ([[https://wiki.archlinux.org/index.php/pam_mount|voir ici]])</note>
  
 La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /mnt/cryptodisk. La situation est la suivante : la partition /dev/sda2 est notre partition chiffrée. Elle doit être montée automatiquement au point /mnt/cryptodisk.
Ligne 183: Ligne 188:
 exit 0 exit 0
 </code> </code>
 +=== Cas concret en version 22.04 ===
 +  * Créer la partition chiffrée en utilisant l'application [[:gnome-disk-utility#creer_une_partition_chiffree|gnome-disk-utility]].
 +  * Récupérer le UUID généré. Exemple: 1a831923-20f8-4219-aaa9-c13e6da8b6e2.
 +  * Définir cette partition dans le fichier /etc/crypttab. Exemple:<code bash> echo PartitionChiffree UUID=1a831923-20f8-4219-aaa9-c13e6da8b6e2 none luks | sudo tee -a /etc/crypttab </code>Le mot** PartitionChiffree** peut être remplacé par tout mot qui vous convient. Les espaces sont interdits. Eviter les  caractères spéciaux et les accents.
 +  * Mettre à jour le fichier /etc/fstab. Exemple: <code bash> echo /dev/mapper/PartitionChiffree /media/PartitionChiffree ext4 defaults 0 1 | sudo tee -a /etc/fstab</code> 
 +  * Créer le point de montage<code bash>sudo mkdir -v /media/PartitionChiffree</code>
 +
 +
 +
 +==== Modifier le mot de passe de la partition chiffrée ===
 +LUKS autorise jusqu'à 8 mots de passe pour une même partition, ce qui permet d'attribuer des mots de passe différents à différents utilisateurs.    Cette limitation    est de **[[https://forum.ubuntu-fr.org/viewtopic.php?pid=22618883#p22618883|32 ]]** si utilisation de la version 22.04 ou  [[https://forum.ubuntu-fr.org/viewtopic.php?pid=22846729#p22846729|24.04]].
 +
 +Pour supprimer un mot de passe existant, il convient préalablement d'ajouter un mot de passe supplémentaire avant de supprimer l'ancien mot de passe __lorsque la partition n'en contient qu'un!__
 +=== Ajouter un mot de passe supplémentaire ===
 +On suppose que l'utilisateur a parfaitement identifié la partition physique chiffrée, par exemple avec lsblk :
 +<code>
 +usr@pc:~$ sudo lsblk
 +sda                        8:0    0 211,8G  0 disk  
 +├─sda1                     8:   0   512M  0 part  /boot/efi
 +├─sda2                     8:   0   700M  0 part  /boot
 +└─sda3                     8:   0 210,6G  0 part  
 +  └─partition_chiffree
 +                         253:   0 210,6G  0 crypt 
 +    ├─PartitionLUKS--vg-root 253:1    0    30G  0 lvm   /
 +    └─PartitionLUKS--vg-home 253:2    0    180G  0 lvm   /home
 +sdb                        8:48   0 800,4G  0 disk  
 +└─sdb1                     8:49   0 800,4G  0 part   /media/disque
 +</code>
 +Dans l'exemple ci-dessus, la partition dont le mot de passe doit être modifié est la partition /dev/sda3. L'ajout d'un mot de passe se fait en utilisant la commande **cryptsetup luksAddKey**. L'affichage interactif invite ensuite l'utilisateur, dans le terminal, à saisir d'abord une clé valide (la seule s'il n'y en a qu'une), puis, à deux reprises, le nouveau mot de passe (nouvelle clé ou nouvelle phrase secrète : ces termes sont ici synonymes).
 +<code>
 +usr@pc:~$ sudo cryptsetup luksAddKey /dev/sda3
 +Entrez une phrase secrète existante : 
 +Entrez une nouvelle phrase secrète pour l'emplacement de clé : 
 +Vérifiez la phrase secrète : 
 +</code>
 +Une fois ce nouveau mot de passe créé, il est désormais possible de supprimer l'ancien mot de passe.
 +=== Supprimer un mot de passe ===
 +<note important>Attention à bien avoir préalablement créé au moins un autre mot de passe pour le conteneur chiffré qui permettra de le déverrouiller ultérieurement</note>
 +La suppression d'un mot de passe utilise la commande **cryptsetup luksRemoveKey**. Celle-ci nécessite, tout comme lors de la création d'un mot de passe, de connaître la partition physique sur laquelle opérer. Dans l'exemple ci-dessous, c'est toujours /dev/sda3. Après avoir saisi la commande suivie de la partition, il suffit donc, à l'invite du terminal, de saisir la phrase secrète (le mot de passe) à supprimer pour que celle-ci le soit immédiatement :
 +<code>
 +usr@pc:~$ sudo cryptsetup luksRemoveKey /dev/sda3
 +Entrez la phrase secrète à effacer : 
 +</code>
 +C'est tout.
 +<note tip>Il semblerait que la commande **luksChangeKey** permettre d'effectuer l'opération de changement de clé en une seule opération. À vérifier.
 +<code>
 +usr@pc:~$ cryptsetup luksChangeKey <target device> -S <target key slot number>
 +</code>
 +</note>
 +
 +===== Monter automatiquement le volume chiffré (LUKS) au démarrage =====
 +
 +Grâce à la librairie libpam-mount, il est possible de monter automatiquement un volume chiffré, occasionnant le fait que ce dernier soit configuré avec le même mot de passe que celui de l'utilisateur. 
 +
 +<code>sudo apt install libpam-mount libpam-mount-bin</code>
 +
 +- Dans : /etc/pam.d/gdm-password :
 +
 +Ajouter :
 +
 +<code>auth    optional        pam_mount.so try_first_pass</code>
 +<code>session optional        pam_mount.so</code>
 +
 +
 +- Dans /etc/security/pam_mount.conf.xml :
 +
 +<code><volume user="awk" fstype="crypt" path="/dev/sdb1" mountpoint="/media/awk/Data" /></code>
 +
 +(changer "awk" par votre nom d'utilisateur et "sdb1" par votre disque)
 +
 +Le disque se déchiffre et se monte au démarrage du PC.
 +
 +===== Monter automatiquement le volume chiffré (LUKS) à la connexion de l'utilisateur. =====
 +Dans un contexte multi-utilisateur, il y a probablement une partition chiffrée par utilisateur. Le montage automatique impose alors le montage de toutes les partitions au démarrage de l'ordinateur et une seule va réussir.\\  Lors d'un changement d'utilisateur sans reboot, le second utilisateur ne disposera pas de sa propre partition. Il devra la monter. \\ Il peut donc être très intéressant que chaque utilisateur monte  automatiquement sa partition au moment de sa connexion  s'il ne souhaite pas utiliser [[gnome-disk-utility|gnome-disk]] pour la monter. \\ Peut aussi régler un problème lorsque le montage automatique au démarrage de l'ordinateur ne permet pas une saisie facile de la phrase de déchiffrement. \\ Ce montage se fera en utilisant les services systemd. En voici la procédure.
 +==== Création du script de montage ====
 +<code bash>cat<<'EOF'>$HOME/LUKS.sh
 +#!/bin/bash
 +Dsk=0f4eeaee-e95e-4f72-82d9-9756e6c67c6f ###   UUID de la partition contenant le chiffrement obtenu par la commande sudo blkid | grep crypto
 +Pdm=Data-$USER                           ###   Nom de déchiffrement qui sera mis derrière /dev/mapper
 +for (( i=1; i < 20; i++ ));  do 
 +    sleep 1
 +    echo  itération-$i dans le service USER de LUKS  
 +    if ! grep -q /dev/mapper/$Pdm /proc/mounts ; then
 +         DISPLAY=:1 zenity --password | sudo -S -v
 +         DISPLAY=:1 zenity --entry --title="Montage de la partition $Data ($i/20)." --text "Veuillez fournir la phrase de déchiffrement LUKS de $Pdm." | sudo  cryptsetup  luksOpen /dev/disk/by-uuid/$Dsk $Pdm
 +         udisksctl mount -b /dev/mapper/$Pdm
 +    else i=22    
 +    fi   
 +done
 +if  [[ $i =  20  ]] ; then
 +    DISPLAY=:1 zenity --error --text "La partition LUKS $Data n'est pas disponible; veuillez investiguer!"
 +fi
 +EOF
 +sleep 1
 +chmod +x $HOME/LUKS.sh
 +cat $HOME/LUKS.sh
 +$HOME/LUKS.sh</code>
 +La première variable est à remplacer par la valeur de l'UUID de la partition.  Si la seconde variable est changée, ne pas prendre la même  pour chaque partition à monter afin d'éviter des doublons. 
 +==== Création du service utilisateur systemd ====
 +Voir aussi [[https://doc.ubuntu-fr.org/creer_un_service_avec_systemd|systemd]]
 +<code bash>mkdir -pv $HOME/.config/systemd/user
 +cat <<'EOF'>$HOME/.config/systemd/user/LUKS.service
 +[Unit] 
 +Description=Montage de la partition de données personnelles LUKS.
 +DefaultDependencies=no
 +[Service]
 +Type=simple
 +ExecStartPre=echo  Montage de la partition de données personnelles LUKS.
 +ExecStart=/home/%u/LUKS.sh
 +ExecStopPost=echo Le montage de la partition de données personnelles LUKS  est terminé. 
 +StandardOutput=journal+console
 +[Install]
 +WantedBy=default.target
 +EOF
 +sleep 1
 +wc -l  $HOME/.config/systemd/user/LUKS.service
 +ls -ls $HOME/.config/systemd/user/LUKS.service</code>
 +==== Activation du service ====
 +<code bash>systemctl --user stop LUKS.service ; systemctl --user  disable LUKS.service ; systemctl --user daemon-reload; 
 +systemctl --user enable LUKS.service ; systemctl --user start LUKS.service 
 +systemctl --user --no-pager -l status LUKS.service </code>
 +
 +
 ===== Chiffrer votre système avec le swap aléatoirement ===== ===== Chiffrer votre système avec le swap aléatoirement =====
 Allez voir ce tutoriel pour plus d'information sur le sujet : [[:chiffrement_manuel]] Allez voir ce tutoriel pour plus d'information sur le sujet : [[:chiffrement_manuel]]
 +
 +
 +
 ===== Conclusion ===== ===== Conclusion =====
  
Ligne 193: Ligne 324:
 ===== Sous Windows ===== ===== Sous Windows =====
  
-Grâce au logiciel [[http://sourceforge.net/projects/freeotfe.mirror/|FreeOTFE]], il est possible de monter de façon non permanente une partition LUKS chiffrée par Cryptsetup sous Linux à partir de votre système Windows.+Grâce au logiciel [[https://sourceforge.net/projects/freeotfe.mirror/|FreeOTFE]], il est possible de monter de façon non permanente une partition LUKS chiffrée par Cryptsetup sous Linux à partir de votre système Windows.
  
 Pour monter et utiliser le même type de partition que celle décrite dans ce wiki, voici les étapes : Pour monter et utiliser le même type de partition que celle décrite dans ce wiki, voici les étapes :
Ligne 219: Ligne 350:
 Ce volume ne survivra pas à un redémarrage, il faudra tout reprendre de zéro à chaque fois. Ce volume ne survivra pas à un redémarrage, il faudra tout reprendre de zéro à chaque fois.
  
-Si vous fermez FreeOTFE alors qu'il est en mode portable, vous devez lui spécifier de ne pas désactiver les pilotes d'encryptage afin de ne pas perdre l'usage de votre partition. +Si vous fermez FreeOTFE alors qu'il est en mode portable, vous devez lui spécifier de ne pas désactiver les pilotes d'encryptage afin de ne pas perdre l'usage de votre partition.
  
 Avant de fermer votre ordinateur, il est recommandé de démonter la partition à l'aide de FreeOTFE et de lui permettre de désactiver tous les pilotes à sa fermeture. Avant de fermer votre ordinateur, il est recommandé de démonter la partition à l'aide de FreeOTFE et de lui permettre de désactiver tous les pilotes à sa fermeture.
cryptsetup.1597279176.txt.gz · Dernière modification : de 162.222.146.146
CC Attribution-Noncommercial-Share Alike 4.0 International Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International