On Wed, Oct 27, 2010 at 4:59 PM, Patrick Dupre <pd520@???> wrote:
> Bonjour,
>
> En ces temps de vol de portable, est-ce que je peux chiffrer ma
> partition /home ?
>
j'ai retrouver les notes prises par mon collègue lorsqu'on a chiffré
mon portable (sous debian, mais ca marche avec ubuntu aussi :) )
Ex : Crypter /dev/sdb6
installation des paquets utiles :
$ sudo aptitude install cryptsetup libpam-mount
$ sudo dmsetup targets | grep crypt # Visu Version
~~~~~~~~~~~~~
crypt v1.6.0
~~~~~~~~~~~~~
cryptage de la partition
$ sudo cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sdb6
~~~~~~~~~~~~~
Are you sure? : YES
Enter LUKS passphrase: ***** # Idem que login frederic
$ sudo cryptsetup luksOpen /dev/sdb6 g-crypt # Creer un
device-mapping nommer g-crypt
Enter LUKS passphrase: ***** (Linux Unified Key Setup)
$ ll /dev/mapper/g-crypt # visu fichier
brw-rw---- 1 root disk 252, 0 2009-07-02 19:04 g-crypt
$ sudo dmsetup ls # liste mapped devices
g-crypt (252, 0)
$ sudo cryptsetup status g-crypt # status
$ sudo mkfs.ext4 -m 1 -O filetype,sparse_super /dev/mapper/g-crypt #
Formatage ext4
~~~~~~~~ note :
# Pour une taille importante, ajouter : -O dir_index
# sudo mkfs.ext4 -m 1 -O filetype,sparse_super /dev/mapper/g-crypt
-m 1 - reserve 1% (au lieu de 5) pour superuser
-O filetyp - Store file type information in directory entries.
dir_index - Use hashed b-trees to speed up lookups in
large directories.
sparse_super - Create a filesystem with fewer superblock
backup
copies (saves space on large filesystems)
~~~~~~~~
$ sudo cryptsetup luksClose g-crypt # Close
$ sudo cryptsetup luksOpen /dev/sdb6 g-crypt # Open
Enter LUKS passphrase: *****
$ sudo cryptsetup status g-crypt # Status
$ for REP in /data/g-crypt; do sudo mkdir $REP; sudo chmod 2770 $REP;
sudo chown root.frederic $REP; done
$ sudo mount /dev/mapper/g-crypt /data/g-crypt # Montage + acl
$ for REP in g-crypt/; do sudo chmod 2770 $REP; sudo chown root.frederic
$REP; done
$ cd /data/g-crypt && umask 007
$ sudo umount /data/g-crypt # Refermer
$ sudo cryptsetup luksClose g-crypt
~~~~~~~~~~~~ # Montage auto au moment du login
$ sudo vi /etc/fstab
============
/dev/mapper/g-crypt /data/g-crypt ext4
relatime,errors=remount-ro 0 2
============
$ sudo vi /etc/crypttab
============
g-crypt /dev/sdb6 noauto luks
============
$ sudo vi /etc/security/pam_mount.conf.xml # Config module pam_mount
============
<volume user="gju" fstype="crypt" path="/dev/sdb6"
mountpoint="/data/g-crypt" />
</pam_mount>
============
$ sudo vi /etc/pam.d/common-session && sudo vi /etc/pam.d/common-auth
============
@include common-pammount
============
~~~~~~~~~~~~
Reboot / Login -> OK
Part ----------------------------------------------
Sys. de fich. Tail. Occ. Disp. %Occ.
/dev/sdb6 19G 172M 18G 1% /data/g-crypt
~~~~~~~~~~~~
Retrait du message (pam_mount(pam_mount.c:100): unknown pam_mount option
"use_first_pass")
$ sudo vi /etc/pam.d/common-pammount && sudo vi /etc/pam.d/common-auth
===========
#auth optional pam_mount.so use_first_pass
auth optional pam_mount.so
--
Frédéric Ollivier
Lycée Marie Curie § Région Rhône-Alpes § Echirolles