Forum Linux.debian/ubuntu luks debian testing, boot avec clé sur clé usb

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
1
20
fév.
2020

Bonjour,

Je me trouve dans une impasse après avoir pas mal cherché.
L'idée est de sécurisé une machine avec chiffrement des disques via luks et de mettre une clé qui autorise le déchiffrement de la partition racine automatiquement avec une clé usb inséré dans la machine.

Après avoir exploré le sujet, il s'avère si j'ai bien compris que le paramètre "keyscript" dans crypttab n'est plus pris en compte dans debian.

Il resterait donc un paramètre à passer dans grub pour lui dire d'aller chercher la clé dans la clé usb.
(l'un de vous à une configuration fonctionnelle?)

Je voudrais être sûr de la démarche. Et savoir si il existe d'autre solution.

Pour l'instant j'ai un déchiffrement automatique du second disque que j'ai configuré ainsi:

/etc/crypttab
sdd1_crypt UUID=5b83152a-1bf9-403e-b53f-57cf13ae0967 /mnt/key/secret.key luks
/etc/fstab (la clé usb qui contient la clé associé avec luks)
UUID=05fefc08-cac4-4643-b9d8-178281d3dbd3 /mnt/key ext4 defaults,nofail,x-systemd.device-timeout=1
/etc/default/cryptdisks
CRYPTDISKS_MOUNT="/mnt/key"`

Mais cette configuration ne fonctionne pas pour la partition racine, bien entendu..

Merci pour vos retours

  • # comprendre le boot permet de savoir ou chercher.

    Posté par  . Évalué à 5.

    Machine (bios/efi) -> /boot (kernel+initramfs)
    puis ca chercher la partition root ca l'active, ca la monte en "/"
    et ca va chercher l'inittab ou systemctl et ca execute le démarrage

    si ton / est chiffré, c'est dans l'initramfs que se pose la question de la clef de chiffrement, c'est là qu'il faut intercepter la demande pour la rediriger vers la clef USB, qui sera montée ailleurs que dans /mnt puisque / n'existe pas encore.

    du coup, c'est le root temporaire et le pivot-root qu'il faut chercher.
    le root temporaire contient le noyau et quelques outils, puis il execute des scripts (lvm, raid, crypt…) puis il fait un pivot-root pour aller sur le vrai root.

    je penses que la dedans tu trouveras des mots clefs qui devrait t'aider dans tes recherches.

  • # done

    Posté par  (site Web personnel) . Évalué à 5. Dernière modification le 20/02/20 à 20:54.

    Merci des mots clé évoqué.
    Je me suis donc inspiré de ce lien, la partie "Avoiding the extra password prompt":
    https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html

    Maintenant la machine démarre sans que je rentre de mot de passe et si je retire la clé usb le décryptage de la partition échoue

    Et j'ai modifié les fichiers comme ceci, avec /etc/fstab configuré avec ma clé dans /mnt/key:

    /etc/crypttab
    sda1_crypt UUID=c5e187f9-4654-4dfe-869d-76ffd42547f3 /mnt/key/secret.key luks,discard,key-slot=1
    

    Ensuite:

    echo "KEYFILE_PATTERN=\"/chemin/vers/laclef/secret.key\"" >>/etc/cryptsetup-initramfs/conf-hook

    Et enfin on regénére l'initrd:

    update-initramfs -u

    Plutôt simple au final non?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.