Forum Linux.général partitions chiifrés

Posté par  .
Étiquettes : aucune
0
24
août
2010
Bonjour,

je cherche à désactiver le chiffrement de ma partition système (sans perdre les données...). Car j'y ai mis forcément une passphrase.. et du coup quand je reboote la machine à distance... je suis obligé de me déplacer!!

ou bien est-ce que je peux supprimer la passphrase sur une partition? c'est possible?

j'ai utilisé :
cryptsetup addKey /dev/hda2
cryptsetup luksDelKey /dev/hda2 0

pour mettre une passphrase vide... mais lors du montage de cette partition au démarrage... je suis obligé de valider par "entrée" à la saisie de la passphrase

merci de l'info! bonne soirée
  • # Pas vraiment

    Posté par  (site web personnel) . Évalué à 1.

    Les données sont écrites chiffrées sur le disque, pas moyen de désactiver le chiffrement sans perdre toutes les données

    Il y a peut être moyen par contre de modifier ce qui fait la demande au démarrage pour qu'il ne te demande plus, mais ca ca dépend de la distribution et tu ne l'as pas indiquée.
    • [^] # Re: Pas vraiment

      Posté par  . Évalué à 2.

      Méthode bête : démarrer sur un livecd, sauvegarder la partition en question ailleurs (disque externe...), avec cpio ou cp -a, puis recrér la partition sans mot de passe, et récupérer les données.
    • [^] # Re: Pas vraiment

      Posté par  . Évalué à 1.

      merci..
      la distribution c'est une debian lenny!
  • # Patch mécanique

    Posté par  . Évalué à 5.

    Il existe des sortes de petits objet pendulaires qui te permettront d'appuyer a intervalle régulier sur la touche entrée. (Cf. Simpsons)
  • # clé usb (ou pas)

    Posté par  (site web personnel) . Évalué à 3.

    Il existe aussi la méthode d'authentification par clé USB. La passphrase est un fichier stocké dessus. Cela dit, c'est pas hyper secure de partir en laissant la clé sur le serveur ...

    En fait, je suppute que ce que tu veux crypter sont des données utilisateur, pas le système en lui-même. Tu peux donc très bien crypter uniquement la partition home, et mettre dessus tout ce qui est sensible (y compris une partie de /var qui contient les fichiers de bases de données, les sites web, etc). Comme ça tu peux rebooter. Il faudra juste monter le home à la main, mais c'est faisable à distance.

    Enfin, cette dernière méthode a quand même un point faible si tu utilises une zone de swap sur disque. Le swap doit être aussi crypté, car il peut contenir une partie de tes données sensibles. C'est faisable en plaçant le swap et le home dans un LVM, protégé donc par un unique mot de passe. Dans ce cas, pour simplifier les choses, mieux vaut se faire un script pour tout monter d'un coup. Ou alors, une autre solution est de ne pas utiliser de swap du tout. Pour un serveur, le swap n'a de toutes façons pas vraiment d'intérêt.
    • [^] # Re: clé usb (ou pas)

      Posté par  . Évalué à 2.

      Tu peux donc très bien crypter uniquement la partition home, et mettre dessus tout ce qui est sensible (y compris une partie de /var qui contient les fichiers de bases de données, les sites web, etc).

      Pour ma part lorsque j'installe une machine, je me garde bien de mettre ce genre de truc direct sur /var : je crée un FS pour l'occasion, que je monte sur /var/quelque_chose.
    • [^] # Re: clé usb (ou pas)

      Posté par  . Évalué à 3.

      Pour un serveur, le swap n'a de toutes façons pas vraiment d'intérêt.

      Qu'est-ce qu'il ne faut pas entendre (ou lire).
      • [^] # Re: clé usb (ou pas)

        Posté par  (site web personnel) . Évalué à 2.

        Un serveur a généralement pour objectif de faire tourner toujours plus ou moins les mêmes applis, services, et est dimensionné en fonction. Ok, le swap peut faire gagner quelques Mo de RAM pour des services rarement utilisés, mais si tu as réellement besoin de swap pour que ton serveur fonctionne correctement, c'est que tu as mal dimensionné ta machine.
        • [^] # Re: clé usb (ou pas)

          Posté par  . Évalué à 2.

          Il y a beaucoup d'applis (certes écrites avec les pieds) qui réservent de la swap sans forcément l'utiliser. Et si ta machine n'a pas le swap en question, ton appli ne démarre pas. C'est comme ça que je me retouve avec des serveurs ayant besoin de 64 Giga de swap sans que celui-ci ne soit utilisé.
          • [^] # Re: clé usb (ou pas)

            Posté par  . Évalué à 2.

            Y a des applis qui réservent 64 Go de swap ? Moi je ne voudrais même pas les installer sur mes serveurs. :-) Quitte à faire le BOFH, j'imposerais autre chose.

            Quelles sont ces applis et qu'est-ce qui justifie de garantir autant d'espace anonyme au point de se mettre en grève si ce n'est pas possible ?
            • [^] # Re: clé usb (ou pas)

              Posté par  . Évalué à 2.

              ben par exemple des instances de base de données ... Oracle par exemple. Sinon il suffit qu'une appli fasse appel à mmap et on risque d'avoir besoin de swap :

              Une explication : man mmap

              MAP_NORESERVE
              Do not reserve swap space for this mapping. When swap space is reserved, one has the guarantee that it is possible to modify the
              mapping. When swap space is not reserved one might get SIGSEGV upon a write if no physical memory is available. See also the
              discussion of the file /proc/sys/vm/overcommit_memory in proc(5). In kernels before 2.6, this flag only had effect for private
              writable mappings.

              Je n'ai pas été confronté à ce problème sous Linux, mais j'ai déjà vu ça sur d'autres Unix proprios (serveur BDD Oracle + applicatif avec plus de 10 instances Oracle et grosse volumétrie derriere). L'espace swap est réservé mais pas utilisé.
              • [^] # Re: clé usb (ou pas)

                Posté par  (site web personnel) . Évalué à 2.

                tout le monde ne fait pas tourner 10 instances d'Oracle sur son serveur perso non plus ...

                pour ce qui est deu mmap, le swap n'est nécessaire que si la RAM est saturée, car le principe de mmap, c'est exactement le même que le swap : un partie de la mémoire virtuelle est mappée dans un fichier. Si peu de ram est disponible, le noyau risque de faire plus souvent des accès disques pour synchroniser les pages en mémoire par rapport au fichier mappé, et c'est tout. après, si des systèmes font n'importe quoi avec le mmap, pour du serveur Linux perso on n'a pas à se soucier de cela.
  • # Key file

    Posté par  (site web personnel) . Évalué à 4.

    Salut,

    Sous slackware j'ai créé une key file que j'ai mis dans /boot (seule partition non chiffrée), puis j'ai ajouté cette clé à ma partition luks, ensuite pour créer mon initrd (genre de initramfs), j'ai précisé qu'il fallait déchiffré la partition avec cette key file et voilà :

    1.
    dd if=/dev/urandom of=/boot/keyfile bs=512 count=8

    2.
    cryptsetup luksAddkey /dev/sdxx /boot/keyfile

    et pour déchiffrer :
    cryptsetup -d /boot/keyfile luksOpen /dev/sdxx lukssdxx


    En espérant que ça puisse t'aider.
    • [^] # Re: Key file

      Posté par  . Évalué à 1.

      je vais essayer ça! (adpaté à la debian)
  • # sys ?

    Posté par  (Mastodon) . Évalué à 1.

    >je cherche à désactiver le chiffrement de ma partition système (sans perdre les données...). Car j'y ai mis forcément une passphrase.. et du coup quand je reboote la machine à distance... je suis obligé de me déplacer!!

    pourquoi avoir chiffrer le système si la machine est fixe ? l'intérêt de chiffrer le système est surtout lorsque celui ci est mobile, sinon c'est remplacé par le contrôle d'accès. (contrôle d'accès à la salle, à la machine, voir ports usb, cd, etc...).

    à distance :
    création nouvelle partition
    copie du système, modifs
    création d'un initrd

    have fun :)
  • # expect

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Peut-être un job pour un petit script expect?

    La gelée de coings est une chose à ne pas avaler de travers.

    • [^] # Re: expect

      Posté par  (site web personnel) . Évalué à 2.

      Foireux....
      Il est ou expect ?
      Sur la partition système qui est justement chiffrée et demande un mot de passe non ?

      Fuse : j'en Use et Abuse !

  • # HOWTO: Unlock A LUKS Encrypted Root Partition Via SSH On Ubuntu

    Posté par  . Évalué à 2.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.