Re: chiffrage de partition

Top Page

Reply to this message
Author: frederic ollivier
Date:  
To: guilde
CC: Guilde
Subject: Re: chiffrage de partition
On Wed, Oct 27, 2010 at 4:59 PM, Patrick Dupre <pd520@???> wrote:
> Bonjour,
>
> En ces temps de vol de portable, est-ce que je peux chiffrer ma
> partition /home ?
>

j'ai retrouver les notes prises par mon collègue lorsqu'on a chiffré
mon portable (sous debian, mais ca marche avec ubuntu aussi :) )

Ex : Crypter /dev/sdb6


installation des paquets utiles :
$ sudo aptitude install cryptsetup libpam-mount


$ sudo  dmsetup targets | grep crypt            # Visu Version
 ~~~~~~~~~~~~~
 crypt            v1.6.0
 ~~~~~~~~~~~~~


cryptage de la partition
$ sudo cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sdb6
 ~~~~~~~~~~~~~
 Are you sure? : YES
 Enter LUKS passphrase: *****                # Idem que login frederic




$ sudo cryptsetup luksOpen /dev/sdb6 g-crypt        # Creer un
device-mapping nommer g-crypt
 Enter LUKS passphrase:  *****                 (Linux Unified Key Setup)



$ ll /dev/mapper/g-crypt            # visu fichier
    brw-rw---- 1 root disk 252,  0 2009-07-02 19:04 g-crypt
  $ sudo  dmsetup ls                 # liste mapped devices
    g-crypt    (252, 0)


$ sudo cryptsetup status g-crypt         # status


$ sudo mkfs.ext4 -m 1 -O filetype,sparse_super /dev/mapper/g-crypt    #
Formatage ext4


  ~~~~~~~~ note :
  # Pour une taille importante, ajouter : -O dir_index
  # sudo mkfs.ext4 -m 1 -O filetype,sparse_super /dev/mapper/g-crypt
      -m 1        - reserve 1% (au lieu de 5) pour superuser
      -O filetyp    - Store file type information in directory entries.
         dir_index    - Use  hashed  b-trees  to  speed  up lookups in
large directories.
         sparse_super - Create  a  filesystem  with  fewer superblock
backup
                            copies (saves space on large filesystems)
  ~~~~~~~~


$ sudo cryptsetup luksClose g-crypt            # Close
$ sudo cryptsetup luksOpen /dev/sdb6 g-crypt   # Open
 Enter LUKS passphrase: *****
$ sudo cryptsetup status g-crypt               # Status


$ for REP in /data/g-crypt; do sudo mkdir $REP; sudo chmod 2770 $REP;
sudo chown root.frederic $REP; done

$ sudo mount /dev/mapper/g-crypt /data/g-crypt        # Montage + acl
$ for REP in g-crypt/; do sudo chmod 2770 $REP; sudo chown root.frederic
$REP; done
$ cd /data/g-crypt && umask 007


$ sudo umount /data/g-crypt                # Refermer
$ sudo cryptsetup luksClose g-crypt


~~~~~~~~~~~~                        # Montage auto au moment du login
$ sudo vi /etc/fstab
 ============
 /dev/mapper/g-crypt    /data/g-crypt    ext4
 relatime,errors=remount-ro    0    2
 ============


$ sudo vi /etc/crypttab
============
g-crypt /dev/sdb6 noauto luks
============

$ sudo vi /etc/security/pam_mount.conf.xml         # Config module pam_mount
 ============
 <volume user="gju" fstype="crypt" path="/dev/sdb6"
mountpoint="/data/g-crypt" />
 </pam_mount>
 ============


$ sudo vi /etc/pam.d/common-session && sudo vi /etc/pam.d/common-auth
============
@include common-pammount
============

~~~~~~~~~~~~
Reboot  / Login -> OK
Part ----------------------------------------------
Sys. de fich.         Tail. Occ. Disp. %Occ.
/dev/sdb6              19G  172M   18G   1% /data/g-crypt


~~~~~~~~~~~~
Retrait du message (pam_mount(pam_mount.c:100): unknown pam_mount option
"use_first_pass")
$ sudo vi /etc/pam.d/common-pammount && sudo vi /etc/pam.d/common-auth
===========
#auth optional pam_mount.so use_first_pass
auth optional pam_mount.so

--
Frédéric Ollivier
Lycée Marie Curie § Région Rhône-Alpes § Echirolles