Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

LVM et cryptsetup

vocal94130

Bonjour,

Je viens d'installer un ubuntu serveur en utilisant LVM et en chiffrant le dossier personnel.

Cependant à chaque démarrage il me demande toujours ma clef de cryptage (normal 😃) alors que je souhaite que la partition soit montée en même temps que l'ouverture de session.
J'ai donc suivi le tuto dédié à cryptsetup : http://doc.ubuntu-fr.org/cryptsetup mais ça ne fonctionne pas.

Au démarrage j'ai un message

unlocking the disk /dev/disk/by-uuid/efb917c2-50e4-4a44-BB66-038C41249D8D (sda5_crypt)
Enter passphrase:

Voici mon /etc/fstab

/dev/mapper/sda5_crypt none           ext4    defaults,noauto        0       0

Voici mon /etc/cryptab

sda5_crypt UUID=6ce92e9e-53c6-42f2-9aca-e739a057557f none luks

Et mon /etc/security/pam_mount.conf.xml

<volume user="*" mountpoint="/dev/mapper/sda5_crypt" path="/dev/sda5" fstype="crypt" />

Merci de votre aide

Hoper

tu le dit toi même, il est totalement normal qu'il te demande le mot de passe au moment de monter la partition... Le seul cas ou on peut éviter cela, et qui est indiquer dans la doc de cryptsetup, c'est quand tu utilise un fichier contenant la clef (au lieu d'utiliser une passphrase). En plaçant ce fichier sur une clef usb par exemple, alors tu peux réaliser un montage automatiquement (a condition bien sur que la clef soit bien insérée).

Le fichier crypptab correspondant à cet exemple d'utilisation dans la page de doc est celui ci :

# <target name> <source device> <key file>          <options>
  home          /dev/hda7       /dev/sda:/keyfile:1 luks,keyscript=/lib/cryptsetup/scripts/passdev
  home          /dev/hda7       none                luks

Comme tu le vois, on indique bien un "keyfile". Rien à voir avec ta configuration "standard" qui va bien devoir attendre un mot de passe avant de pouvoir monter le volume.

La sécurité, c'est vraiment très bien. Mais ça à forcément des contraintes. Si tu tiens à ce que tes données ne puisse pas être lues par un voleur, un service de police ou que sais-je, alors oui, le mieux (et de loin) et de taper deux mots de passe au lieu d'un au lancement de ta machine.

vocal94130

Merci tout d'abord pour ta réponse rapide 😃

Ensuite j'ai réinstallé ubuntu serveur et il ne me demande plus de mot de passe.

J'ai essayé avant de formater, d'installer le keyfile sur le support USB mais en vain. Et il me semblait bien que l'opération était transparente par défaut pour l'utilisateur comme indiqué dans l'installation. Donc j'en ai conclus qu'il s'agissait d'un problème quelconque 😃

Merci de ton aide en tous les cas

Hoper

Et il me semblait bien que l'opération était transparente par défaut pour l'utilisateur comme indiqué dans l'installation.

Je pense que tu avais mal compris la page de doc... Ou alors tu confond les solutions de chiffrement. cryptsetup n'est pas du tout utilisé si tu coche "chiffrer mes données" au moment de l’installation. C'est un autre soft qui est utilisé... Globalement, à partir du moment ou tu n'a rien à faire pour déchiffrer un volume, c'est que la solution est pas tip top...

Dans tous les cas, assure toi bien de comprendre ce qui est fait précisément et ce qui se passe. Parce que si ça fonctionne sans que tu sache trop comment, c'est la meilleure solution pour perdre toutes tes données le jour ou tu ré-installera ton système pour une raison ou pour une autre. Le chiffrement n'est pas un jeu... (Ou si c'en est un, dis toi bien que ce sont tes données que tu risque fort de perdre).

vocal94130

Réponse un peu tardive 😐 mais effectivement j'avais mal compris la doc au sujet de l'outil qui crypte le dossier perso 😃 !!

Merci de votre aide