Luks : Chiffrer ses partitions

From Deimos.fr / Bloc Notes Informatique
Jump to: navigation, search

1 Introduction

LUKS est un des meilleurs outils de compression des disques sous Linux. Nous allons voir ici comment l'utiliser.

2 Utilisation

2.1 Créer une partition chiffrée

Sachez que si vous utilisez une partition déjà existante, toutes ses données vont être effacées à l'initialisation de la partition cryptée. Pour l'initialiser (sdb1 par exemple) :

Command cryptsetup
$ cryptsetup luksFormat /dev/sdb1 
 
WARNING!
========
This will overwrite data on /dev/sdb1 irrevocably.
 
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase: 
Verify passphrase:

Entrez le mot de passe que vous souhaitez pour déchiffrer la partition.

2.2 Dévérouillage

On va ensuite déverrouiller la partition cryptée pour pouvoir l'utiliser :

Command
cryptsetup luksOpen /dev/sdb1 secret
Enter passphrase for /dev/sdb1:

'secret' correspond ici au nom du device mapper. On peut ensuite vérifier son existance :

Command ls
$ ls /dev/mapper/
control  secret

2.3 Prépapration de la partition

Il ne reste plus qu'a formater cette partition :

Command mkfs
mkfs.ext4 /dev/mapper/secret

Et la monter dans un dossier.

2.4 Démonter le disque crypté

Une fois que vous avez terminé, il va falloir fermer proprement le disque en le démontant et en le verrouillant :

Command
umount /dev/mapper/secret
cryptsetup luksClose secret

2.5 Monter la partition chiffrée en permanence

Si vous souhaitez monter la partition de manière permanente, il va falloir utiliser fstab et cryptab. Dans cryptab :

Configuration File /etc/cryptab
secret /dev/sdb1 /root/password luks

  • secret : nom du device mapper
  • /dev/sdb1 : mon device physique
  • /root/password : mon fichier contenant mon mot de passe (vous pouvez mettre le mot de passe en clair sinon directement dans le fichier cryptab)

Si vous avez opté pour le fichier qui contient la clé, il faut le créer comme ceci :

Command cryptsetup
cryptsetup luksAddKey /dev/sdb1 /root/password
chmod 600 /root/password

Ensuite il ne reste plus qu'a rajouter dans le fstab la ligne suivante :

Configuration File fstab
...
/dev/mapper/secret   /mnt   ext4   defaults   1 2
...

Votre partition cryptée se montera maintenant toute seule au démarrage (il y a moins d'intérêt, mais ça peut intéresser certaines personnes).

2.6 Ajouter une passphrase

Pour ajouter une passphrase (8 au total maximum), voici comment faire. D'abord localisez votre partition chiffrée :

Command cryptsetup
cryptsetup luksDump /dev/sdb1

Une fois que vous êtes sur que c'est le bon, ajoutez une passphrase supplémentaire :

Command cryptsetup
cryptsetup luksAddKey /dev/sdb1

Dans le cas ou c'est un changement de passphrase que vous vouliez faire, il faudra supprimer l'ancienne avec la méthode citée plus bas.

2.7 Supprimer une passphrase

Si vous voulez supprimer une de vos passphrase :

Command cryptsetup
cryptsetup luksRemoveKey /dev/sdb1