On utilise sda plutot que hda en titre d'exemple.
hda c'est les disques IDE, ultra rares de nos jours… Ça montre que la doc a vécu ^^
This commit is contained in:
parent
4561a5b480
commit
7615ede968
38
HowtoLUKS.md
38
HowtoLUKS.md
|
|
@ -30,28 +30,28 @@ vermagic: 4.9.0-3-amd64 SMP mod_unload modversions
|
|||
On peut créer un volume chiffré LUKS en renseignant une passphrase ainsi :
|
||||
|
||||
~~~
|
||||
# cryptsetup --verbose --verify-passphrase luksFormat /dev/md7
|
||||
# cryptsetup --verbose --verify-passphrase luksFormat /dev/sda7
|
||||
|
||||
WARNING!
|
||||
========
|
||||
This will overwrite data on /dev/md7 irrevocably.
|
||||
This will overwrite data on /dev/sda7 irrevocably.
|
||||
|
||||
Are you sure? (Type uppercase yes): YES
|
||||
Enter LUKS passphrase:
|
||||
Verify passphrase:
|
||||
Command successful.
|
||||
# cryptsetup luksOpen /dev/md7 crypt_md7
|
||||
# cryptsetup luksOpen /dev/sda7 crypt_sda7
|
||||
Enter LUKS passphrase:
|
||||
key slot 0 unlocked.
|
||||
Command successful.
|
||||
# mkfs.ext3 /dev/mapper/crypt_md7
|
||||
# mkfs.ext3 /dev/mapper/crypt_sda7
|
||||
~~~
|
||||
|
||||
On peut aussi utiliser un fichier comme clé de chiffrement :
|
||||
|
||||
~~~
|
||||
# dd if=/dev/random of=/root/foo.key bs=1 count=256
|
||||
# cryptsetup --verbose --key-size=256 luksFormat /dev/md7 foo.key
|
||||
# cryptsetup --verbose --key-size=256 luksFormat /dev/sda7 foo.key
|
||||
~~~
|
||||
|
||||
## Utilisation
|
||||
|
|
@ -59,21 +59,21 @@ On peut aussi utiliser un fichier comme clé de chiffrement :
|
|||
Voir si une partition est de type LUKS :
|
||||
|
||||
~~~
|
||||
# cryptsetup isLuks /dev/hda7
|
||||
# cryptsetup luksDump /dev/hda7
|
||||
# cryptsetup isLuks /dev/sda7
|
||||
# cryptsetup luksDump /dev/sda7
|
||||
~~~
|
||||
|
||||
Déchiffrer une partition LUKS :
|
||||
|
||||
~~~
|
||||
# cryptsetup luksOpen /dev/mapper/vol1-crypto_test crypto_test
|
||||
# cryptsetup luksOpen /dev/hda7 hda7_crypt
|
||||
# cryptsetup luksOpen /dev/sda7 sda7_crypt
|
||||
~~~
|
||||
|
||||
Si la partition LUKS est protégée par un fichier :
|
||||
|
||||
~~~
|
||||
# cryptsetup luksOpen --key-file /root/.keyfile /dev/md7 supersecretdata
|
||||
# cryptsetup luksOpen --key-file /root/.keyfile /dev/sda7 supersecretdata
|
||||
~~~
|
||||
|
||||
Informations sur la partition chiffrée :
|
||||
|
|
@ -95,7 +95,7 @@ LUKS permet d'avoir plusieurs passphrases pour un même volume chiffré.
|
|||
Pour ajouter une passphrase :
|
||||
|
||||
~~~
|
||||
# cryptsetup luksAddKey /dev/hda7
|
||||
# cryptsetup luksAddKey /dev/sda7
|
||||
Enter any LUKS passphrase:
|
||||
key slot 1 unlocked.
|
||||
Enter new passphrase for key slot:
|
||||
|
|
@ -108,13 +108,13 @@ Command successful.
|
|||
Pour supprimer une passphrase, on note son numéro avec :
|
||||
|
||||
~~~
|
||||
# cryptsetup luksDump /dev/hda7
|
||||
# cryptsetup luksDump /dev/sda7
|
||||
~~~
|
||||
|
||||
Puis on la supprime avec la commande :
|
||||
|
||||
~~~
|
||||
# cryptsetup luksKillSlot /dev/hda7 <n°>
|
||||
# cryptsetup luksKillSlot /dev/sda7 <n°>
|
||||
~~~
|
||||
|
||||
## Sauvegarde
|
||||
|
|
@ -124,13 +124,13 @@ Si l'entête du conteneur LUKS est corrompu, ceci rend la partition inutilisable
|
|||
On peut sauvegarde l'entête d'un conteneur LUKS ainsi :
|
||||
|
||||
~~~
|
||||
# cryptsetup luksHeaderBackup --header-backup-file backup.txt /dev/hda7
|
||||
# cryptsetup luksHeaderBackup --header-backup-file backup.txt /dev/sda7
|
||||
~~~
|
||||
|
||||
Pour Restaurer l'entête :
|
||||
|
||||
~~~
|
||||
# cryptsetup luksHeaderRestore --header-backup-file backup.txt /dev/hda7
|
||||
# cryptsetup luksHeaderRestore --header-backup-file backup.txt /dev/sda7
|
||||
~~~
|
||||
|
||||
|
||||
|
|
@ -142,7 +142,7 @@ Si vous obtenez un message de ce type :
|
|||
|
||||
~~~
|
||||
Command failed: Failed to setup dm-crypt key mapping.
|
||||
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/md1 contains at least 133 sectors
|
||||
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/sda1 contains at least 133 sectors
|
||||
~~~
|
||||
|
||||
Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé :
|
||||
|
|
@ -156,7 +156,7 @@ Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé
|
|||
Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au moment de la création de la partition :
|
||||
|
||||
~~~
|
||||
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/hda7
|
||||
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/sda7
|
||||
~~~
|
||||
|
||||
Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)>
|
||||
|
|
@ -197,7 +197,7 @@ Cela permet aussi de choisir le chiffrement le plus performant, dans cet exemple
|
|||
Grâce au fichier `/etc/crypttab` on peut déchiffrer des partitions au démarrage. Attention, il faudra alors être présent physiquement devant la machine donc le cas d'usage est surtout un ordinateur portable :
|
||||
|
||||
~~~
|
||||
hda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
|
||||
hda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
|
||||
sda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
|
||||
sda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
|
||||
~~~
|
||||
~~~
|
||||
~~~
|
||||
Loading…
Reference in New Issue