Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

cryptsetup : déverrouiller plusieurs volumes en une seule fois

Aold

Bonjour,

J'aimerais déverrouiller deux conteneurs, chiffrés avec la même passphrase, en une seule fois : lors du boot, cryptsetup ne me demanderait ainsi qu'une fois la passphrase. Une idée ?

Merci d'avance pour votre aide

Dr Le Rouge

Salut,

Pourquoi as-tu des conteneurs différents avec la même passphrase ? Si les mêmes personnes peuvent y accéder, autant les fusionner. Si ils ont des rôles bien différents qui demandent que la sécurité de l'un soit indépendante de celle de l'autre, il faudrait mettre des mots de passes différents…

Voilà pour mon avis.

Pour ce qui est de ta question, il est possible pour cryptsetup de prendre une clef sur l'entrée standard (stdin), donc tu peux peut-être t'en sortir avec un script qui :
- demande le mot de passe et le stocke
- le file à cryptsetup pour ouvrir le premier conteneur
- le re-file à cryptsetup pour ouvrir le deuxième
- écrase la variable (à voir comment faire ça de façon efficace).

Fais attention cependant, il faut que ta passphrase se termine par EOF si tu utilise cette méthode, donc il va peut-être falloir l'ajouter à la main !

À mon avis, le plus simple serait quand même de fusionner les conteneurs 😉

Aold

Merci pour ta réponse détaillée.

Le Rouge a écritPourquoi as-tu des conteneurs différents avec la même passphrase ? Si les mêmes personnes peuvent y accéder, autant les fusionner.

Ces deux conteneurs sont sur deux disques durs (physiques) différents. Peut-on les fusionner dans ce cas ? Et quelles sont les implications de ce processus pour ces deux conteneurs ?

Je ne connais pas dans le détail le déroulement du boot sous Nux, mais l'un des deux conteneurs contient mon /home.
Je dispose d'un volume (non chiffré) pour stocker le script, à moins que l'on puisse le mettre dans le volume monté sur /boot (?), donc il n'y a pas de problème de ce côté. Par contre, peut-on lancer à ce stade du boot un script de cette sorte (le noyau est-il complètement chargé, et les modules qui vont bien aussi, ...) ?

Aold

Petit up !

Aold

Étant donné que cela semble être un sujet qui intéresse (470 vues en 1 mois), voici la solution que j'ai trouvée :

Ajouter un fichier de clé sur un slot libre : évite d'avoir à recréer le volume et donc à enlever puis remettre les données stockées dessus.

sudo cryptsetup luksAddKey /dev/sdxx keyfile

Ajouter ceci dans /etc/fstab pour le montage automatique au démarrage :

/dev/mapper/container /media/container ext4 defaults 0 0

et dans /etc/crypttab :

container UUID=... keyfile luks

Voilà !
Plusieurs heures de recherche, mais une solution en moins de 5 mins chrono 🙂

Rappel : Dans mon cas, seul le /boot n'est pas chiffré (obligatoire) et mon fichier de clé est sur un volume système chiffré (le premier a être déverrouillé). Donc c'est relativement sûr.