Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment indiquer le chemin vers key-file dans crypttab

Arbiel

Passer directement au point #7.

Bonsoir

Pour éviter de saisir autant de phrases de chiffrement que de partitions énumérées dans crypttab, je désire créer des fichiers "key-file" dans la première partition déchiffrée.

Comment désigner ces fichiers puisque la partition qui les contient n'est pas encore montée lorsque crypttab est exploité ?
et dans quel ordre crypttab est-il exploité ?

D'avance merci à quiconque pourra me mettre sur la voie.

Arbiel

[supprimé]

Arbiel a écritBonsoir

Pour éviter de saisir autant de phrases de chiffrement que de partitions énumérées dans crypttab, je désire créer des fichiers "key-file" dans la première partition déchiffrée.

Comment désigner ces fichiers puisque la partition qui les contient n'est pas encore montée lorsque crypttab est exploité ?
et dans quel ordre crypttab est-il exploité ?

D'avance merci à quiconque pourra me mettre sur la voie.

Arbiel

salut, comme tu l'a écrit toi même crypttab exploité trop tôt, la solution serait alors de faire un script qui s'exécute après le montage de la première partition déchiffrée indiquant les chemins des key-files.

toutefois je m'interroge sur l'utilité, si les clés de déchiffrement se trouvent déjà dans une partition chiffrée, autant ne faire qu'une seule partition chiffrée qui englobe tout le reste. .?

Arbiel

Bonjour sirius007

Je comprends parfaitement ton argument. Désireux de chiffrer mon système, je me suis intéressé à LVM avec comme idée de construire un LVM sur une partition chiffrée pour n'avoir à saisir qu'une seule phrase de chiffrement tout en conservant des partitions distinctes en fonction de l'usage que j'en fais.

J'ai fait un certain nombre de tests sur des disques externes, qui n'ont pas abouti à des résultats positifs. En attendant, j'ai entrepris de chiffrer mes partitions existantes, d'où la question posée dans le titre de ma demande d'assistance.

Arbiel

Hoper

En résumé j'ai répondu (par mail) la même chose que sirius007 (utiliser un script). Par contre, contrairement à lui, je vois parfaitement l'utilité de répartir les données sur N volumes (C'est même absolument indispensable lorsqu'on dépasse quelques To de volumétrie).

robindesbois

Arbiel a écritBonsoir

Pour éviter de saisir autant de phrases de chiffrement que de partitions énumérées dans crypttab, je désire créer des fichiers "key-file" dans la première partition déchiffrée.

Comment désigner ces fichiers puisque la partition qui les contient n'est pas encore montée lorsque crypttab est exploité ?
et dans quel ordre crypttab est-il exploité ?

D'avance merci à quiconque pourra me mettre sur la voie.

Arbiel

Tcho l'ami !

Sur la page de Doc de cryptsetup, partie "Montage automatique".

Les key-file sont abordés ici : http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup

Arbiel

Bonsoir

J'ai finalement écrit un script.

Je n'ai laissé comme déchiffrement automatique dans crypttab que la ligne de ma partition principale, /home, dans laquelle j'ai défini des fichiers qui contiennent les phrases de chiffrement des autres partitions. J'ai introduit l'option noauto dans les autres lignes dans lesquelles j'ai indiqué le chemin d'accès à ces fichiers dans le système opérationnel, cad après traitement de fstab.

hm UUID=9c21b407-620d-4511-8e5f-41b621d57505 none luks,retry=3
archives UUID=6800b9e6-5907-4589-b658-4d5796536daf /home/.archives luks,noauto
comptes UUID=8357f4d4-7d39-4c35-8497-117bc0e007a7 /home/.comptes luks,noauto

Dans fstab j'ai bien entendu utilisé l'option noauto sur les lignes correspondantes

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda12 during installation
UUID=f9efb22d-3fdb-4abb-9348-76bca44ed710 /               ext4    errors=remount-ro 0       1
/dev/mapper/hm /home ext4 defaults 0 2
# /boot/grub was on /dev/sda1 during installation
UUID=367C9BBD7C9B75F9 /boot/grub      ntfs    defaults,umask=007,gid=46 0       0
# /usr was on /dev/sda13 during installation
UUID=cbe8a864-9c76-4afe-96b3-a8a109e45a71 /usr            ext4    defaults        0       2
LABEL=multimedia    /media/multimedia ext4     defaults,noauto,owner    0      0
#UUID=102d6406-6d50-4aa4-9735-4e8ceef5d918 none            swap    sw              0       0
#/dev/mapper/cryptswap1 none swap sw 0 0
/dev/mapper/archives /home/archives ext4 defaults,noauto,user 0 2
/dev/mapper/comptes /media/DonnÃ©es ext4 defaults,noauto,owner 0 0

Mon script enchaîne les deux commandes
sudo cryptdisks_start et sudo mount pour déchiffrer et monter les partitions.

Comme j'ai eu des difficultés pour lancer ce script au démarrage du système, et que je ne veux pas saisir une seconde fois mon mot de passe (saisi une première fois pour le déchiffrement de ma partition /home) j'ai créé un fichier contenant mon mot de passe dans mon /home et j'ai eu recours à
cat <chemin accès motpasse> | sudo -Sv cryptdisks_start
Le script est lancé par un lanceur dans .config/autostart

Arbiel

Bonjour

Merci à robindesbois qui m'a mis sur la voie.

La réponse à ma question se trouve en bas de la page dont robindesbois m'a donné la référence et plus particulièrement dans

/usr/share/doc/cryptsetup/README.initramfs.gz a écrit 10. The "passdev" keyscript
----------------------------
If you have a keyfile on a removable device (e.g. a USB-key), you can use the
passdev keyscript. It will wait for the device to appear, mount it read-only,
read the key and then unmount the device.

The "key" part of /etc/crypttab will be interpreted as <device>:<path>[:<timeout>],
it is strongly recommended that you use one of the persistent device names from
/dev/disk/*, e.g. /dev/disk/by-label/myusbkey.

This is an example of a suitable line in cryptsetup:
cryptroot /dev/hda2 /dev/disk/by-label/myusbkey:/keys/root.key cipher=aes-cbc-essiv:sha256,size=256,hash=plain,keyscript=/lib/cryptsetup/scripts/passdev

The above line would cause the boot to pause until /dev/disk/by-label/myusbkey
appears in the fs, then mount that device and use the file /keys/root.key
on the device as the key (without any hashing) as the key for the fs.

The timeout option has to be in seconds.

If any modules are required in order to mount the filesystem on the removable
device, then initramfs-tools needs to be configured to add these modules to
the initramfs. This can be done by listing the required modules in
/etc/initramfs-tools/modules.

ou, en "traduction" automatique

google translate a écrit Si vous avez un keyfile sur un périphérique amovible (par exemple une clé USB), vous pouvez utiliser la
passdev keyscript. Il va attendre que le dispositif de comparaître, le monter en lecture seule,
lire la clé, puis démonter le périphérique.

La partie «clé» de /etc /crypttab sera interprété comme <périphérique>: <chemin> [: <timeout>],
il est fortement recommandé que vous utilisez l'un des noms de périphériques persistants de
/dev/disk/*, par exemple /dev/disk/by-label/myusbkey.

Ceci est un exemple d'une ligne appropriée dans cryptsetup:
cryptroot /dev/hda2 /dev/disk/by-label/myusbkey:/keys/root.key cipher=aes-cbc-essiv:sha256,size=256,hash=plain,keyscript=/lib/cryptsetup/scripts/passdev

La ligne ci-dessus entraînerait la chaussure pour faire une pause jusqu'à ce que /dev/disk/by-label/myusbkey
apparaît dans le fs, puis monter ce périphérique et utiliser le fichier /keys/root.key
sur l'appareil comme la clé (sans hachage) comme clé pour les fs.

L'option de délai d'attente doit être en seconde.

Si tous les modules sont nécessaires pour monter le système de fichiers sur le amovible
appareil, puis initramfs-tools doit être configuré pour ajouter ces modules
les initramfs. Cela peut être fait en énumérant les modules nécessaires dans
/ etc / initramfs-tools / modules.

Ou encore

La phrase de chiffrement peut être enregistrée dans un fichier, de préférence sur support amovible pour préserver la confidentialité du système de fichiers chiffré. Le fichier contenant la phrase de chiffrement est désigné par la notation
<périphérique>:<chemin_accès>[:<temporisation>]
où
<périphérique> prend une des formes /dev/… parmi lesquelles on préférera la forme /dev/disk/by-label/<étiquette_système_fichier> permettant de dupliquer sur des supports différents sous la même <étiquette_système_fichier> la ou les phrases de chiffrement des divers systèmes de fichiers chiffrés que l'on veut déchiffrer automatiquement par cette méthode au démarrage du système.
<chemin_accès> est le chemin d'accès au fichier contenant la phrase de chiffrement, à partir de la racine du système de fichiers, sous la forme /rep/_/fichier
<temporisation>, facultatif, est une temporisation d'attente de la phrase de chiffrement.

Restant disponible pour de plus amples informations,

Arbiel

P.S : j'espère que vous appréciez la "chaussure pour faire une pause".