Forum Linux.debian/ubuntu Installation Debian Chiffré.

Posté par . Licence CC by-sa
Tags : aucun
1
28
avr.
2016

Bonjour,
Je désire installer Debian Jessie sur un PC portable.
J'ai booté sur la clé USB, et maintenant, je dois choisir le partitionnement :

J'ai choisi Assisté - utiliser tout un disque avec LVM chiffré.

L'installateur me propose une écriture complète du disque en ext2, qui prend des heures, puis une phrase secrète.

Bref, je ne suis pas sûr d'utiliser la bonne méthode ?

Pourquoi ext2 ?
La phrase secrète sera à rentrer en plus du mot de passe ?

Je suis un peu perdu, que dois-je faire ? Merci.

  • # Etrange

    Posté par . Évalué à 3.

    pourquoi ext2 ?

    bonne question, c'est en effet etrange que l'installeur automatique propose ext2 plutot que ext4 ou autre systeme plus recent.

    la phrase secrete vs le mot de passe

    ben c'est le "mot de passe" pour dechiffrer la partition au demarrage de l'ordinateur.
    ensuite tu devras te loguer avec un utilisateur et son mot de passe

    • [^] # Re: Etrange

      Posté par . Évalué à 1.

      Je suis reparti sur un partitionnement manuel.

      SCSI1 (0,0,0) - 250,1 GT ATA SAMSUNG HM250HI
      - n°1 primaire 254.8 MB F ext2 /boot
      - n°2 logique 249.8 GB K chiffré inactive

      C'est ce que cela m'affiche si je refuse de mettre la phrase secrète et que j'opte pour un partitionnement manuel afin de voir les partitions.

      Que suis-je censé faire ? Il n'y a pas de swap non plus.

      • [^] # Re: Etrange

        Posté par . Évalué à 5. Dernière modification le 28/04/16 à 11:40.

        la partition boot en ext2 c'est pour que ton boot loader (en général grub) puisse la lire sans configuration spécifique. Il n'y a aucun intérêt à avoir une partition de boot en ext4 vu son contenu.
        La partition chiffrée doit être considérée comme un disque virtuel que tu vas partitionner à ta sauce via LVM, par exemple /(racine) /home /var /usr en utilisant les fs qui te font plaisir, plus un swap.

        L'installateur me propose une écriture complète du disque en ext2, qui prend des heures

        non , il chiffre ta partition n°2 ce qui nécessite d'écrire des données aléatoires sur toute la partition avant de pouvoir l'utiliser: c'est cela qui prend énormément de temps.

        Au démarrage, ton boot loader va chercher le noyau à démarrer sur la partition boot, ainsi qu'un fichier initrd qu'il va utiliser pour charger le minimum nécessaire pour déchiffrer ta partition chiffrée en te demandant ta passphrase.
        La partition est déchiffrée et son contenu interprété comme un disque LVM à partir duquel le système va utiliser les différentes partitions /(racine) /home /var /usr ainsi que le swap. La partition boot en clair sera remontée sur /boot.

        De cette manière tout ton système est chiffré, swap inclus, et seuls ton noyau et le initrd sont accessibles en clair: cela implique de s'assurer régulièrement qu'ils ne sont pas modifiés par un tiers, par exemple en vérifiant à leur sha1 respectif, ou en utilisant un outil comme tripwire qui fait ce travail pour toi.

        • [^] # Re: Etrange

          Posté par . Évalué à 1.

          Merci pour toutes ces explications ! Je pense que je suis sur la bonne voie. :)

  • # Faut-il chiffrer la racine ?

    Posté par . Évalué à 1.

    Je pose une nouvelle question, je ne trouve pas de réponse "viable" sur le net, la plupart des discussions se partagent plutôt l'idée de chiffrer ou non selon le matériel.

    • [^] # Re: Faut-il chiffrer la racine ?

      Posté par (page perso) . Évalué à 2.

      Oui il faut chiffrer la racine. Car sinon tu ne chiffres que /home et ton chiffrement est moins pertinent car un certain nombre de fichiers seront visibles/non chiffrés.

      Ce qu'il te faut, c'est un /boot en partition séparée, non chiffrée. Ensuite, tu peux partionner avec un LVM chiffré totalement et dedans, tu peux mettre des partitions séparées pour /, /home, /var par exemple. Formate en ext4. Ext2 est dépassé.

      Ta phrase de passe c'est un long mot de passe. De sa taille dépend la fiabilité du chiffrement (entre autre). Ne le perds pas. Si tu la perds, tu n'auras plus accès à tes données.

      Enfin, si tu n'es pas à l'aise, trouve un GUL près de chez toi, va à une install partie ou dans un hackerspace/cryptoparty/chiffrofete/café vie privée pour trouver des personnes à même de t'aider pour installer de façon chiffrée ton disque.

      • [^] # Re: Faut-il chiffrer la racine ?

        Posté par . Évalué à 1.

        Je devrais m'en sortir quand même. Même le /boot en ext4 ?

        J'avais l'habitude, assez simple, de créer 3 partitions primaires :
        - /
        - /home
        - swap (1Go de RAM, donc bon, forcé)

        Là, je peux faire la même chose, mais je ne vois pas comment chiffrer les données. J'ai bien l'option : "utiliser comme volume physique pour chiffrement" (à la place par exemple d'ext4)…mais ça ne me permet pas de créer la "racine" ou quoi que ce soit.

        Il n'y a vraiment rien près de chez moi et le plus proche, c'est souvent à mes heures de travail…:/

        • [^] # Re: Faut-il chiffrer la racine ?

          Posté par (page perso) . Évalué à 2.

          Avec le choix à l'installation "partitionnement assisté + LVM chiffré", il te demande pas ensuite si tu veux un /home séparé? Si oui, il te fera un /boot, puis un LVM avec un /, un swap et un /home séparé. Ce sera le plus simple.

  • # Changer la phrase de passe.

    Posté par . Évalué à 2.

    Je me demandais comment je peux changer la phrase de passe, une fois l'installation faite. C'est possible ?

    • [^] # Re: Changer la phrase de passe.

      Posté par . Évalué à 1. Dernière modification le 30/04/16 à 18:06.

      Si tu parles de la phrase de chiffrement du disque, ça se fait avec cryptsetup. En supposant que /dev/sda2 est ton volume chiffré :

      cryptsetup luksChangeKey /dev/sda2 --key-slot 0
      

      change la phrase de passe du slot 0 (celle qui a été ajoutée quand tu as créé le volume chiffré).

      cryptsetup luksDump /dev/sda2
      

      affiche des infos sur ton chiffrement (et permet d'être sûr que tu manipules bien le volume chiffré).

      cryptsetup luksAddKey /dev/sda2
      

      permet d'ajouter une phrase de passe au disque (tu peux en mettre jusqu'à 8 ou 9 je crois).

      cryptsetup luksRemoveKey /dev/sda2
      

      supprime une phrase de passe (il te demandera d'entrer la phrase de passe avant de la supprimer). ATTENTION : si tu supprimes la dernière phrase de passe présente, tes données deviennent totalement inaccessibles.

      Enfin, si tu n'as plus besoin des données dans un conteneur,

      cryptsetup luksErase /dev/sda2
      

      efface tous les key slots, sans te demander de phrase de passe, mais en te faisant confirmer. Pour tes données, ça équivaut à passer le disque sous un rouleau compresseur.

      Fais très attention avec luksRemoveKey, luksChangeKey et luksErase, elles peuvent te faire perdre toutes tes données.

      Ah, et toutes ces commandes se lancent en root.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.