Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment démarrer sans entrer le mot de passe du disque dur

Vuni

Bonjour,

J'ai acheté un ordinateur Dell Latitude E5420 reconditionné avec Ubuntu.
Au démarrage on me demande un mot de passe pour le disque dur puis un mot de passe utilisateur. J'ai lu sur le forum que cela était du à une case cochée lors de l'installation. Le sujet portait sur un disque dur HDD, hors je suis sous SSD.

J'aimerais donc savoir s'il est possible de démarrer sans avoir à entrer le mot de passe du disque dur (ou bien supprimer le mot de passe si c'est une solution possible). A noter que je connais ce mot de passe, j'aimerais simplement gagner du temps et ne pas devoir le rentrer à chaque démarrage.

Merci par avance, aux utilisateurs qui prendront un peu de leurs temps pour me venir en aide.

FrancisFDZ

Bonjour,
Le mot de passe demandé pour l'OS est le mot de passe utilisateur et celui-là seulement. Si un mot de passe est demandé pour le disque dur, ce n'est pas du fait de ubuntu ou d'un autre OS (y compris Window$). Je pense qu'il faudrait voir s'il n'y a pas une option dans le BIOS pour désactiver ce mot de passe.
Voir quelques précisions là

abelthorne

Est-ce que tu as choisi de chiffrer le contenu du disque dur (ou SSD, c'est pareil pour ça) lors de l'installation ? Si c'est le cas, c'est la clé de déchiffrage qu'il te demande au démarrage, ça permet de rendre le disque lisible, tu ne peux pas y couper. A priori, la seule façon fiable de supprimer le chiffrage et le mot de passe en question, c'est de réinstaller Ubuntu en reformatant le disque (donc perte des données) et en choisissant de ne pas chiffrer le disque.

EDIT : j'avais lu trop vite : tu parles de PC reconditionné avec Ubuntu, ça veut dire qu'il était déjà installé ? Si c'est le cas, mes remarques restent valable, simplement j'imagine que tu ne sais pas du tout si le disque a été chiffré à l'installation pour confirmer que tu es dans ce cas de figure ?

geole

Bonjour
Peux-tu donner le retour de la commande

lsblk | grep -v loop  && blkid | grep crypto

Cela permettra de savoir si c'est le bios qui interdit l'accès au disque ou si le logiciel a chiffré les données

Dans les deux cas, c'est une bonne idée. Si quelqu'un "emprunte" ton ordinateur, il ne pourra pas lire tes données personnelles

Vuni

En effet cela voulait dire qu'ubuntu était déjà installé.

Voilà le résultat de la commande.

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 238,5G 0 disk
├─sda1 8:1 0 498M 0 part /boot
├─sda2 8:2 0 234G 0 part
│ └─cryptdata 253:0 0 234G 0 crypt
│ └─data-root 253:1 0 234G 0 lvm /
└─sda3 8:3 0 4G 0 part
└─cryptswap 253:2 0 4G 0 crypt [SWAP]
sr0 11:0 1 1024M 0 rom

Merci beaucoup pour vos réponses
PS, comment faire pour afficher les résultats d'une commande dans une bande noire, cela me semble plus lisible

abelthorne

Vuni a écritPS, comment faire pour afficher les résultats d'une commande dans une bande noire, cela me semble plus lisible

Il faut les afficher entre balises code. C'est l'icône avec des chevrons (<>) bleus dans la barre d'outils des messages.

Étant donné qu'il y a du "crypt" un peu partout dans ton retour, je pense que ça confirme qu'il s'agit d'un chiffrage lors de l'installation d'Ubuntu.

Vuni

D'accord, merci pour cette réponse.

Je vais me faire à l'idée de rentrer ce mdp à chaque allumage.
Est-il possible de le modifier?

kamaris

Commençons par y voir un peu plus clair :

NAME            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda               8:0    0 238,5G  0 disk 
├─sda1            8:1    0   498M  0 part  /boot
├─sda2            8:2    0   234G  0 part 
│ └─cryptdata   253:0    0   234G  0 crypt
│   └─data-root 253:1    0   234G  0 lvm   /
└─sda3            8:3    0     4G  0 part 
  └─cryptswap   253:2    0     4G  0 crypt [SWAP]
sr0              11:0    1  1024M  0 rom

Une chose que tu peux faire pour ne pas avoir à rentrer le mot de passe de déchiffrement au démarrage, c'est le mettre dans un fichier, et dire au système d'aller le chercher là plutôt que de le demander en interactif.
Bien entendu, l'endroit où tu placeras ce fichier ne devra pas être chiffré, il devra donc s'agir de ta partition de boot (sda1), ou bien d'un support externe (clef usb).
Et bien entendu, si tu le mets typiquement sur la partition de boot, ça reviendra à avoir un système non chiffré, mais si j'ai bien compris c'est ce que tu voudrais en fait.

Pour ce faire, il faut donc d'abord que tu crées un fichier avec ce mot de passe et seulement lui :

echo -n 'mot-de-passe' | sudo tee /boot/.luks.pwd

Ensuite tu édites le fichier /etc/crypttab, et comme options à la fin de la première ligne, au lieu de « none luks,discard » qui doit s'y trouver, tu mets

/boot/.luks.pwd luks

Si tu as des doutes pour remplir ce fichier, poste d'abord son contenu ici en donnant le retour de

cat /etc/crypttab

Une fois que ce fichier est correctement renseigné, il te reste à mettre à jour les initramfs par

sudo update-initramfs -u -k all

Je n'ai pas testé tout ça et je ne peux pas le faire dans l'immédiat.
J'ai en particulier un doute sur le chemin à mettre pour le fichier contenant le mot de passe : « /boot/.luks.pwd » ou bien simplement « .luks.pwd ».
Car au moment où ce chemin sera consulté, il se peut « /boot » n'ait pas encore de sens.
C'est donc à tester, en ayant pris soin de faire des copies de sauvegarde de /etc/crypttab et des initramfs présents dans /boot, pour pouvoir remettre tout ça en place dans une console de récupération le cas échéant.

Sinon, pour répondre à ta dernière question, tu peux changer le mot de passe de déchiffrement en commençant par ajouter un nouveau mot de passe :

sudo cryptsetup luksAddKey /dev/sda2

puis en supprimant l'ancien

sudo cryptsetup luksRemoveKey /dev/sda2

Tu peux aussi faire une sauvegarde du header du conteneur luks :

sudo cryptsetup luksHeaderBackup --header-backup-file /chemin/vers/header /dev/sda2

pour pouvoir le restaurer en cas de problème :

sudo cryptsetup luksHeaderRestore /dev/sda2 --header-backup-file /chemin/vers/header

Vuni

Merci pour cette réponse, même si je ne sais pas encore si je vais essayer ces manipulations qui sont un peu complexe pour moi.

abelthorne

Si tu ne veux pas spécialement avoir de disque chiffré (l'intérêt étant somme toute limité à moins d'avoir des données sensibles) et que tu peux te permettre de réinstaller Ubuntu, ce serait la chose la plus simple à faire.

geole

Si tu veux que le second mot de passe ne soit pas demandé, il suffit que tu positionnes le mode "connexion automatique". Ce qui est faisable si on est le seul utilisateur de l'ordinateur.

Vuni

Oui, merci pour ces conseils, je verrai avec toutes ces informations ce que je décide de faire.

kamaris

Bon, j'ai testé ce que je racontais en #8, et évidemment, ça ne fonctionne pas 😃
En fait, ça devrait fonctionner, mais la configuration de cryptsetup dans debian et ses systèmes dérivés (donc ubuntu) l'en empêche.
En pratique, si on essaie de regénérer les initramfs avec l'option de déchiffrement par fichier dans /etc/crypttab, on obtient le warning suivant :

cryptsetup: WARNING: Skipping root target sda5_crypt: uses a key file

qui signifie que la partition chiffrée est simplement zappée, et donc ça ne bootera jamais.

Il semble que cet interdit sur le déchiffrement par fichier soit imposé pour des raisons de sécurité, sauf qu'il existe un contournement tout aussi peu sécurisé qui fonctionne parfaitement.
Il s'agit d'utiliser, à la place d'un fichier contenant le mot de passe de déchiffrement, un script qui affiche ce mot de passe.
Ce script sera stocké dans le initramfs, et sera exécuté de manière transparente au moment du boot.

Voici la procédure détaillée.
Tout d'abord ma config (il s'agit d'une install chiffrée d'ubuntu avec les choix par défaut dans une machine virtuelle) :

user@mubuntu:~$ lsblk -o name,size,type,fstype,mountpoint,uuid
NAME                    SIZE TYPE  FSTYPE      MOUNTPOINT UUID
sda                      10G disk                         
├─sda1                  731M part  ext4        /boot      4f65cda2-6d1c-4517-959d-98ed12c6fae4
├─sda2                    1K part                         
└─sda5                  9,3G part  crypto_LUKS            72ba2b68-f6d2-467c-bc65-a603862022c9
  └─sda5_crypt          9,3G crypt LVM2_member            YeSeP5-pdHc-6nQr-QAPM-jtQG-h6xy-pA6Pmu
    ├─vgmubuntu-root    8,3G lvm   ext4        /          d9839cc0-c88e-4fd1-9723-8c5e0d8a3f00
    └─vgmubuntu-swap_1  976M lvm   swap        [SWAP]     95b464d4-7372-427c-9bad-99b0d679900f
sr0                    56,8M rom   iso9660                2019-12-10-15-09-23-93
user@mubuntu:~$ 

user@mubuntu:~$ cat /etc/crypttab 
sda5_crypt UUID=72ba2b68-f6d2-467c-bc65-a603862022c9 none luks,discard
user@mubuntu:~$

On commence par faire une sauvegarde des fichiers que l'on va modifier :

user@mubuntu:~$ sudo cp /etc/crypttab /etc/crypttab.bak
user@mubuntu:~$ 

user@mubuntu:~$ sudo cp /boot/initrd.img-5.3.0-24-generic /boot/initrd.img-5.3.0-24-generic.bak
user@mubuntu:~$

Ensuite on modifie le fichier /etc/crypttab, pour indiquer qu'on va déchiffrer via un script :

user@mubuntu:~$ sudo sed -i 's%discard%keyscript=/home/user/echo_pwd.sh%' /etc/crypttab
user@mubuntu:~$ 

user@mubuntu:~$ cat /etc/crypttab
sda5_crypt UUID=72ba2b68-f6d2-467c-bc65-a603862022c9 none luks,keyscript=/home/user/echo_pwd.sh
user@mubuntu:~$

Le nom du script, ainsi que son emplacement, sont arbitraires : il faut simplement qu'il puisse être trouvé au moment de regénérer les initramfs, ensuite il leur sera intégré.
Voici le contenu de ce script :

user@mubuntu:~$ cat /home/user/echo_pwd.sh
#!/bin/sh

echo -n 'chiffrement'
user@mubuntu:~$

Attention à bien mettre « #!/bin/sh » et pas « #!/bin/bash », car bash n'existera pas dans le initramfs depuis lequel le script sera exécuté au moment du boot (je me suis fait avoir 😃)
Et évidemment, il faut remplacer « chiffrement » par le mot de passe de déchiffrement.
Ne pas oublier aussi de rendre le script exécutable :

user@mubuntu:~$ chmod a+x /home/user/echo_pwd.sh
user@mubuntu:~$

Et enfin, on regénère les initramfs :

user@mubuntu:~$ sudo update-initramfs -u -k all
update-initramfs: Generating /boot/initrd.img-5.3.0-24-generic
user@mubuntu:~$

Voilà, cette procédure-là fonctionne sur une machine virtuelle ubuntu 19.10 en ayant suivi la procédure d'installation chiffrée par défaut.
Quelques détails et commentaires supplémentaires dans ce lien dont je me suis servi : https://unix.stackexchange.com/questions/164403/unlock-luks-encrypted-debian-root-with-key-file-on-boot-partition