On utilise sda plutot que hda en titre d'exemple.
hda c'est les disques IDE, ultra rares de nos jours… Ça montre que la doc a vécu ^^
This commit is contained in:
parent
4561a5b480
commit
7615ede968
36
HowtoLUKS.md
36
HowtoLUKS.md
|
@ -30,28 +30,28 @@ vermagic: 4.9.0-3-amd64 SMP mod_unload modversions
|
||||||
On peut créer un volume chiffré LUKS en renseignant une passphrase ainsi :
|
On peut créer un volume chiffré LUKS en renseignant une passphrase ainsi :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup --verbose --verify-passphrase luksFormat /dev/md7
|
# cryptsetup --verbose --verify-passphrase luksFormat /dev/sda7
|
||||||
|
|
||||||
WARNING!
|
WARNING!
|
||||||
========
|
========
|
||||||
This will overwrite data on /dev/md7 irrevocably.
|
This will overwrite data on /dev/sda7 irrevocably.
|
||||||
|
|
||||||
Are you sure? (Type uppercase yes): YES
|
Are you sure? (Type uppercase yes): YES
|
||||||
Enter LUKS passphrase:
|
Enter LUKS passphrase:
|
||||||
Verify passphrase:
|
Verify passphrase:
|
||||||
Command successful.
|
Command successful.
|
||||||
# cryptsetup luksOpen /dev/md7 crypt_md7
|
# cryptsetup luksOpen /dev/sda7 crypt_sda7
|
||||||
Enter LUKS passphrase:
|
Enter LUKS passphrase:
|
||||||
key slot 0 unlocked.
|
key slot 0 unlocked.
|
||||||
Command successful.
|
Command successful.
|
||||||
# mkfs.ext3 /dev/mapper/crypt_md7
|
# mkfs.ext3 /dev/mapper/crypt_sda7
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
On peut aussi utiliser un fichier comme clé de chiffrement :
|
On peut aussi utiliser un fichier comme clé de chiffrement :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# dd if=/dev/random of=/root/foo.key bs=1 count=256
|
# dd if=/dev/random of=/root/foo.key bs=1 count=256
|
||||||
# cryptsetup --verbose --key-size=256 luksFormat /dev/md7 foo.key
|
# cryptsetup --verbose --key-size=256 luksFormat /dev/sda7 foo.key
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
## Utilisation
|
## Utilisation
|
||||||
|
@ -59,21 +59,21 @@ On peut aussi utiliser un fichier comme clé de chiffrement :
|
||||||
Voir si une partition est de type LUKS :
|
Voir si une partition est de type LUKS :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup isLuks /dev/hda7
|
# cryptsetup isLuks /dev/sda7
|
||||||
# cryptsetup luksDump /dev/hda7
|
# cryptsetup luksDump /dev/sda7
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Déchiffrer une partition LUKS :
|
Déchiffrer une partition LUKS :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup luksOpen /dev/mapper/vol1-crypto_test crypto_test
|
# cryptsetup luksOpen /dev/mapper/vol1-crypto_test crypto_test
|
||||||
# cryptsetup luksOpen /dev/hda7 hda7_crypt
|
# cryptsetup luksOpen /dev/sda7 sda7_crypt
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Si la partition LUKS est protégée par un fichier :
|
Si la partition LUKS est protégée par un fichier :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup luksOpen --key-file /root/.keyfile /dev/md7 supersecretdata
|
# cryptsetup luksOpen --key-file /root/.keyfile /dev/sda7 supersecretdata
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Informations sur la partition chiffrée :
|
Informations sur la partition chiffrée :
|
||||||
|
@ -95,7 +95,7 @@ LUKS permet d'avoir plusieurs passphrases pour un même volume chiffré.
|
||||||
Pour ajouter une passphrase :
|
Pour ajouter une passphrase :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup luksAddKey /dev/hda7
|
# cryptsetup luksAddKey /dev/sda7
|
||||||
Enter any LUKS passphrase:
|
Enter any LUKS passphrase:
|
||||||
key slot 1 unlocked.
|
key slot 1 unlocked.
|
||||||
Enter new passphrase for key slot:
|
Enter new passphrase for key slot:
|
||||||
|
@ -108,13 +108,13 @@ Command successful.
|
||||||
Pour supprimer une passphrase, on note son numéro avec :
|
Pour supprimer une passphrase, on note son numéro avec :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup luksDump /dev/hda7
|
# cryptsetup luksDump /dev/sda7
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Puis on la supprime avec la commande :
|
Puis on la supprime avec la commande :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup luksKillSlot /dev/hda7 <n°>
|
# cryptsetup luksKillSlot /dev/sda7 <n°>
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
## Sauvegarde
|
## Sauvegarde
|
||||||
|
@ -124,13 +124,13 @@ Si l'entête du conteneur LUKS est corrompu, ceci rend la partition inutilisable
|
||||||
On peut sauvegarde l'entête d'un conteneur LUKS ainsi :
|
On peut sauvegarde l'entête d'un conteneur LUKS ainsi :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup luksHeaderBackup --header-backup-file backup.txt /dev/hda7
|
# cryptsetup luksHeaderBackup --header-backup-file backup.txt /dev/sda7
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Pour Restaurer l'entête :
|
Pour Restaurer l'entête :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup luksHeaderRestore --header-backup-file backup.txt /dev/hda7
|
# cryptsetup luksHeaderRestore --header-backup-file backup.txt /dev/sda7
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
|
|
||||||
|
@ -142,7 +142,7 @@ Si vous obtenez un message de ce type :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
Command failed: Failed to setup dm-crypt key mapping.
|
Command failed: Failed to setup dm-crypt key mapping.
|
||||||
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/md1 contains at least 133 sectors
|
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/sda1 contains at least 133 sectors
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé :
|
Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé :
|
||||||
|
@ -156,7 +156,7 @@ Cela signifie probablement que le module noyau *Device Mapper* n'est pas chargé
|
||||||
Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au moment de la création de la partition :
|
Pour utiliser un algorithme de chiffrement spécifique, il faut le préciser au moment de la création de la partition :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/hda7
|
# cryptsetup --verbose --cipher=aes-cbc-essiv:sha256 --verify-passphrase luksFormat /dev/sda7
|
||||||
~~~
|
~~~
|
||||||
|
|
||||||
Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)>
|
Le chiffrement **aes-cbc-essiv** est le chiffrement par défaut de _cryptsetup_ pour les noyaux supérieurs au 2.6.10 car il corrige une vulnérabilité potentielle du chiffrement _aes-cbc-plain_. Une autre méthode de chiffrement utilisée avec l'algorithme AES (Rijndael) est le mode XTS, qui est réputé plus résistant aux attaques par watermarking, mais nécessite un module spécifique (judicieusement nommé _xts_) et une clef d'initialisation du double de la taille de la clef finale (voir <http://en.wikipedia.org/wiki/Disk_encryption_theory#XEX-based_tweaked-codebook_mode_with_ciphertext_stealing_.28XTS.29)>
|
||||||
|
@ -197,7 +197,7 @@ Cela permet aussi de choisir le chiffrement le plus performant, dans cet exemple
|
||||||
Grâce au fichier `/etc/crypttab` on peut déchiffrer des partitions au démarrage. Attention, il faudra alors être présent physiquement devant la machine donc le cas d'usage est surtout un ordinateur portable :
|
Grâce au fichier `/etc/crypttab` on peut déchiffrer des partitions au démarrage. Attention, il faudra alors être présent physiquement devant la machine donc le cas d'usage est surtout un ordinateur portable :
|
||||||
|
|
||||||
~~~
|
~~~
|
||||||
hda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
|
sda5_crypt UUID=b1fef975-514f-4f33-839c-8b0d4dfeaabe none luks,swap
|
||||||
hda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
|
sda7_crypt UUID=cd81744f-5254-5ff0-b649-3d0143827924 none luks
|
||||||
~~~
|
~~~
|
||||||
~~~
|
~~~
|
Loading…
Reference in a new issue