Outils pour utilisateurs

Outils du site


linux:chiffrement

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
linux:chiffrement [27/01/2010 14:11]
daniel
linux:chiffrement [15/05/2020 13:57]
daniel [Chiffrement]
Ligne 1: Ligne 1:
 ====== Chiffrement ====== ====== Chiffrement ======
 +
 +Quand on peut, c'est plus simple de chiffrer une partition complète (voire tout le disque) et d'​utiliser le volume chiffré comme PV lvm, puis d'​utiliser lvm comme d'​habitude (dans l'​installeur debian créer le volume chiffré sur l'​espace dispo puis passer à la conf lvm). Attention, ça reste plus prudent de garder /boot hors chiffrement (mais swap est plutôt mieux chiffré, dans son lv).
 +
 +Avantage :
 +  * ça permettra de redimensionner ses lv
 +  * ne demande la passphrase qu'une seule fois pour le volume
 +
 +Si y'a un autre disque avec un autre volume chiffré mais que l'on ne veut pas taper deux passphrases,​ on peut la passphrase dans un fichier sur le premier volume chiffré (par ex dans /root/ en 600) et l'​indiquer dans /​etc/​crypttab avec par ex
 +  sdb1_crypt UUID=xxx /​root/​sda1_keyfile luks
 +où xxx est l'uuid de /dev/sda1 qui est le volume luks (''​blkid /​dev/​sda1''​ pour l'​avoir). ​
 +
 +===== Créer un volume luks pour un pv lvm =====
 +
 +Un exemple où on utilise une grosse partition (ou un disque entier) pour en faire un volume luks qui sera utilisé comme pv pour lvm. Ici il ne s'agit pas d'y mettre le système (ça c'est plus simple de le faire dans l'​installeur debian, utiliser une partition comme volume chiffré puis le volume chiffré comme PV lvm).
 +
 +<code bash>
 +# ici on va utiliser /dev/sda4
 +cryptsetup luksFormat /dev/sda4 --type luks2 
 +# on lui crée une clé
 +dd if=/​dev/​urandom of=/​root/​sda4_keyfile bs=1024 count=4
 +# que l'on protège
 +chmod 0400 /​root/​sda4_keyfile
 +# et ajoute au volume (en plus de la passphrase décidée à la création)
 +cryptsetup luksAddKey /dev/sda4 /​root/​sda4_keyfile
 +
 +# on l'​ouvre
 +cryptsetup luksOpen /dev/sda4 sda4_crypt
 +# et on peut l'​utiliser pour lvm
 +pvcreate /​dev/​mapper/​sda4_crypt
 +vgcreate hd /​dev/​mapper/​sda4_crypt
 +# avec par ex ce lv
 +lvcreate -L 800G backup
 +</​code>​
 +
 +Dans /​etc/​crypttab on ajoute (on trouve xxx avec ''​blkid /​dev/​sda4''​
 +  sda4_crypt UUID=xxx /​root/​sda4_keyfile luks
 +  ​
 +Et dans /etc/fstab
 +  /​dev/​hd/​backup /backup ext4 defaults 0 2
 +
 +===== Archives =====
 +Ci dessous l'​ancien contenu de cette page, qui commence à dater… (avant 2010)
 +
 +
 Sous linux, luks et truecrypt permettent tous les deux de chiffrer des partitions. luks a l'air plus simple à mettre en place sur une debian de base, truecrypt permet le deni plausible (cf [[http://​fr.wikipedia.org/​wiki/​TrueCrypt]]),​ luks permet d'​avoir différentes clés d'​accès (plusieurs utilisateurs qui montent la même partition, chacun avec son pass ou sa clé). Sous linux, luks et truecrypt permettent tous les deux de chiffrer des partitions. luks a l'air plus simple à mettre en place sur une debian de base, truecrypt permet le deni plausible (cf [[http://​fr.wikipedia.org/​wiki/​TrueCrypt]]),​ luks permet d'​avoir différentes clés d'​accès (plusieurs utilisateurs qui montent la même partition, chacun avec son pass ou sa clé).
  
linux/chiffrement.txt · Dernière modification: 15/05/2020 13:57 par daniel