Journal LUKS, TPM et boulette
Contexte
À mon taf actuel, on nous demande que les disques durs de données de nos serveurs soient chiffrés. L'objectif est avant tout de se protéger d'un vol d'un disque par un technicien de l'opérateur qui nous héberge, ou d'un mauvais effaçage après recyclage du disque en cas d'incident.
Mais du coup, comment conjuguer ça avec la volonté d'avoir un serveur capable de redémarrer "seul" en cas d'incident ?
Afin d'avoir une solution où la passphrase ne se retrouve pas (…)
Lien Chiffrement de clé USB sous Linux : On ne peut pas faire plus simple - sebsauvage

Lien Guide d'installation d'Ubuntu dans une partition Btrfs chiffrée

Journal Déchiffrement de disque racine avec carte à puce GPG sous Debian

Une installation standard de Debian permet de déchiffrer son disque /
au démarrage à l'aide d'une carte à puce GPG (type yubikey, nitrokey, librem key ou autre). Ce journal vise à mettre en avant cette option méconnue.
Configuration
En partant d'une installation Debian standard avec chiffrement (le disque /
est alors placé sous /dev/sda5
, le déverrouillage se fait initialement par mot de passe), il faut modifier le fichier /etc/crypttab
:
sda5_crypt UUID=... /etc/cryptsetup-initramfs/root_key.asc luks,discard,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg-sc
Il faut ensuite (…)
Forum Linux.gui Fedora 35 et systemd-homed : pas simple
Bonjour à tous
Sur une Fedora 35 avec un GNOME 41 tout simple, je voulais créer un compte utilisateur avec systemd-homed.
Le but est d'avoir le répertoire $HOME de cet utilisateur chiffré et de n'avoir qu'un mot de passe à taper pour se logguer et déchiffrer ses données.
Au bout d'un moment (désactivation de selinux, ajout dans /etc/pam.d/password-auth et /etc/pam.d/system-auth de lignes avec "pam_systemd_home.so", lecture de wiki divers), j'ai réussi à créer un utilisateur avec lequel j'arrive à (…)
Forum Linux.général Deux systèmes de chiffrement cote à cote pour un système dual boot (suite)
Bonjour,
Préambule
J'avais posté en début d'année le sujet suivant: https://linuxfr.org/forums/linux-general/posts/deux-systemes-de-chiffrement-cote-a-cote-pour-un-systeme-dual-boot, malheureusement par manque de temps j'ai dû laisser de côté le sujet pendant un bon moment.
J'en profite pour dire Merci pour les réponses obtenues et présenter mes excuses pour ne pas avoir donné de retour plus tôt.
Aujourd'hui un nouveau poste informatique m'est confié et je saute donc sur l'occasion pour essayer de mettre en place la solution.
Le sujet mis à jour
Sur ma (nouvelle) machine (…)
Forum Linux.debian/ubuntu Image disque chiffrée Ubuntu
Bonjour,
j'essaye de créer une image disque chiffrée sous Ubuntu 20.04.2 LTS.
Pour cela j'ai utilisé l'outil Disques, partition EXT4 chiffrée LUKS.
Lorsque je monte le volume via l'interface graphique en double-cliquant dessus, il apparaît bien comme volume amovible, mais il est malheureusement en lecture seule (je ne peux ajouter de fichiers dedans ou créer un répertoire). Le volume concerné porte le nom de levolume
.
manu@manu-E7470:~$ ls -al /media/manu/
total 12
drwxr-x---+ 3 root root 4096 juil. 17 10:57
(…)
Forum Linux.debian/ubuntu luks debian testing, boot avec clé sur clé usb
Bonjour,
Je me trouve dans une impasse après avoir pas mal cherché.
L'idée est de sécurisé une machine avec chiffrement des disques via luks et de mettre une clé qui autorise le déchiffrement de la partition racine automatiquement avec une clé usb inséré dans la machine.
Après avoir exploré le sujet, il s'avère si j'ai bien compris que le paramètre "keyscript" dans crypttab n'est plus pris en compte dans debian.
Il resterait donc un paramètre à passer dans grub pour (…)
Forum Linux.général Timeout sur la saisie du mot de passe Luks
Bonjour,
J'ai un petit serveur qui tourne sur Proxmox.
Dedans, j'ai deux disques durs chiffrés via Luks qui sont ensuite utilisés par ZFS en mode miroir.
Ces deux disques ne sont pas requis pour faire fonctionner Proxmox et certains containers et/ou VM.
Quand le serveur redémarre, j'ai un prompt pour la saisie du mot de passe.
Cependant, si je ne suis pas chez moi, j'aimerais bien que le serveur se relance même sans ce pool zfs.
J'ai testé les paramètres (…)
Forum Linux.debian/ubuntu Chiffrer plusieurs disques avec LUKS
Bonjour,
J'envisage de réinstaller proprement ma machine sous Debian et en profiter pour chiffrer mes données (système + utilisateur). J'ai lu la doc Debian[1] mais j'ai encore quelques questions.
Voici ce que j'imagine (sdb et sdc seront en RAID1 directement géré par btrfs) :
sda : mSSD 120GB (GPT)
+ sda1 : efi (512Mo FAT32)
+ sda2 : root (120Go LUKS + BTRFS)
sdb : SSD 250GB (GPT)
+ sdb1 : home (250Go LUKS + BTRFS avec RAID1)
sdc :
(…)
Forum Linux.débutant Mots de passe démarrage et root.
Journal Le LUKS, version 2

Bon alors, les crypto-nerds, vous êtes plus flemmard que moi ?
Cryptsetup 2 est sorti
Euh, bon, je met vite fait ce que j'ai vu :
- Nouveau format LUKS2, que l'on peut (la plupart du temps) mettre à jour depuis LUKS1
- LUKS1 sera supporté pour toujours
- LUKS2 sait faire de l'intégrité. Attention, c'est encore expérimental
- Support de chiffrement de mot passe plus résistant à la force brute (genre coûteux en mémoire) avec PBKDF et Argon2
- Options de montage persistantes dans les en-têtes (…)
Atelier CLI : CryptoParty mardi 23 juin 2015 ⌚ 20h ⌘ Bègles (~Bordeaux)
Les Crypto-Party (ou chiffro-fêtes) consistent en l'organisation d'ateliers gratuits à destination de tous, pour découvrir, comprendre et utiliser les principes de base de la cryptographie et de la protection de sa vie privée sur les réseaux (web, chat, email).
Programme
Mardi 23 juin 2015, c'est cryptoparty toute la soirée / nuit au L@Bx. Entrée libre et gratuite. Amenez à manger, à boire et sac de couchage pour les plus courageux.
Tous les détails en seconde partie.
Journal Howto LUKS, LVM et Debian ont fucké my head.
Note : ce journal est pour tout le monde, car si vous savez configurer ce genre d'installation, j'ai eu droit à une bizarrerie et votre avis sur la question sera vraiment la bienvenue.
Aujourd'hui j'ai voulu installer, en plus d'Arch, une Debian pour une certaine raison et tester des combinaisons kernel/userland et aussi prendre une revanche sur l'installation de Debian sur un LUKS existant.
Mon disque dur est partitionné de cette façon :
- GPT boot
- Linux Boot ext2 -> sda1
- (…)