tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
disk_crypto

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
disk_crypto [2008/02/18 21:01] – créée thierrydisk_crypto [2011/11/13 21:50] (Version actuelle) thierry
Ligne 1: Ligne 1:
 +====== Crypter partition pour bacula ======
 +
 +Pré-requis: **''/dev/xvdb1''** est une partition quelconque.
 +
 +  # aptitude install cryptsetup
 +
 +Formater (la 1er fois):
 +  # cryptsetup luksFormat /dev/xvdb1 
 +
 +Voir les "slots" utilisés (jusqu'a 8 mots de passe possible):
 +  # cryptsetup luksDump /dev/xvdb1
 +  
 +Ajouter un mot de passe:
 +  # cryptsetup luksAddKey /dev/xvdb1
 +
 +Dechiffrer la partition: (un mot de passe est demandé)
 +  # cryptsetup luksOpen /dev/xvdb1 disk
 +
 +Preparer le systeme de fichier:
 +  # mkfs.ext3 /dev/mapper
 +
 +Mounter la partition:
 +  # mount /dev/mapper/disk /mnt/disk
 +
 +Et voila.
 +
 +Demonter:
 +  # umount /mnt/disk
 +
 +Fermer le dechiffrage:
 +  # cryptsetup luksClose disk
 +
 +
 +===== Autres méthodes =====
 +
 +==== simple ====
 +
 +Ouvrir et monter:
 +  # echo -n <MOT_DE_PASSE_SECRET> | cryptsetup luksOpen /dev/xvdb1 DISK -d - && mount /dev/mapper/DISK /mnt/DISK
 +
 +Demonter:
 +  # umount /mnt/DISK && cryptsetup luksClose DISK
 +
 +
 +Vérifier le mountage:
 +  # cat /proc/mounts | egrep -q "^/dev/mapper/DISK" ; echo $?
 +Retourne "0" si monté.
 +
 +==== ssh ====
 +
 +FIXME
 +
 ====== Crypter une partition ====== ====== Crypter une partition ======
 Il existe plusieurs méthode, mais la plus souple semble celle avec ''LUKS'' : la gestion des clés est plus pratique. Il existe plusieurs méthode, mais la plus souple semble celle avec ''LUKS'' : la gestion des clés est plus pratique.
Ligne 10: Ligne 62:
 Si nécessaire: Si nécessaire:
   # aptitude install dmsetup cryptsetup   # aptitude install dmsetup cryptsetup
 +
 +  # cryptsetup luksFormat /dev/xvdb1
 +  
  
 ===== partition loop ===== ===== partition loop =====
Ligne 235: Ligne 290:
   Key Slot 6: DISABLED   Key Slot 6: DISABLED
   Key Slot 7: DISABLED   Key Slot 7: DISABLED
 +
 +
  
  
Ligne 257: Ligne 314:
   Command successful.   Command successful.
  
 +===== Automount =====
 +En jouant avec **''/etc/crypttab''** , on peut monter, dés le boot, des partitions cryptés (sans oublier de modifier **''/etc/fstab''** en conséquence).
 +
 +==== Clé dans fichier ====
 +
 +Lorsqu'on veut que **''cryptsetup''** trouve tout seul les clés. On créé un fichier comme cela:\\
 +(par exemple)
 +  # cd /root
 +  # mkdir crypt
 +  # cd crypt
 +Et puis:
 +  # echo -n "mot_de_passe" >> fichier.key
 +  # chmod 400 fichier.key
 +Le **''echo -n''** permet de creer le fichier __sans__ retour chariot a la fin.\\
 +J'en ai bavé avec ''vi'' avant de comprendre qu'il fouttait toujours un "''\n''" a la fin !
 +
 +Et puis:
 +  # cryptsetup luksOpen -d /root/cryptkey/fichier.key /dev/sdb1 sdhc
 +  key slot 0 unlocked.
 +  Command successful.
 +
 +Si vous avez "**Command failed: No key available with this passphrase.**" , alors c'est ce **#*!@** de "''\n''" qui est sans doute là !
 +
 +Et enfin:\\
 +Dans **''/etc/crypttab''** :
 +  # <target name> <source device>         <key file>      <options>
 +  sdhc            /dev/sdb1      /root/crypt/fichier.key  luks
 +Et dans **''/etc/fstab''** :
 +  .. <snip> ..
 +  /dev/mapper/sdhc        /mnt/sdhc     vfat    defaults,noatime,uid=1000,gid=1000      0       2
 +
 +====== Crypter Root ======
 +Pour un eeePC, on montre comment crypter "''/''" (sauf "''/boot''").
 +
 +Cela fonctionne pour les dérivés de Debian testé.
 +
 +Le cryptage doit être fait au moment de l'installation de Linux.\\
 +Il n'y a pas de manière simple aprés l'installation.
disk_crypto.1203368460.txt.gz · Dernière modification : 2008/02/18 21:01 de thierry