Différences

Ci-dessous, les différences entre deux révisions de la page.

--- disk_crypto [2008/03/05 22:27] – thierry
+++ disk_crypto [2011/11/13 21:50] (Version actuelle) – thierry
@@ Ligne 1: / Ligne 1: @@
+====== Crypter partition pour bacula ======
+Pré-requis: **''/dev/xvdb1''** est une partition quelconque.
+  # aptitude install cryptsetup
+Formater (la 1er fois):
+  # cryptsetup luksFormat /dev/xvdb1
+Voir les "slots" utilisés (jusqu'a 8 mots de passe possible):
+  # cryptsetup luksDump /dev/xvdb1
+Ajouter un mot de passe:
+  # cryptsetup luksAddKey /dev/xvdb1
+Dechiffrer la partition: (un mot de passe est demandé)
+  # cryptsetup luksOpen /dev/xvdb1 disk
+Preparer le systeme de fichier:
+  # mkfs.ext3 /dev/mapper
+Mounter la partition:
+  # mount /dev/mapper/disk /mnt/disk
+Et voila.
+Demonter:
+  # umount /mnt/disk
+Fermer le dechiffrage:
+  # cryptsetup luksClose disk
+===== Autres méthodes =====
+==== simple ====
+Ouvrir et monter:
+  # echo -n <MOT_DE_PASSE_SECRET> | cryptsetup luksOpen /dev/xvdb1 DISK -d - && mount /dev/mapper/DISK /mnt/DISK
+Demonter:
+  # umount /mnt/DISK && cryptsetup luksClose DISK
+Vérifier le mountage:
+  # cat /proc/mounts | egrep -q "^/dev/mapper/DISK" ; echo $?
+Retourne "0" si monté.
+==== ssh ====
+FIXME
 ====== Crypter une partition ======
 Il existe plusieurs méthode, mais la plus souple semble celle avec ''LUKS'' : la gestion des clés est plus pratique.
@@ Ligne 10: / Ligne 62: @@
 Si nécessaire:
   # aptitude install dmsetup cryptsetup
+  # cryptsetup luksFormat /dev/xvdb1
 ===== partition loop =====
@@ Ligne 235: / Ligne 290: @@
   Key Slot 6: DISABLED
   Key Slot 7: DISABLED
@@ Ligne 257: / Ligne 313: @@
   key slot 0 unlocked.
   Command successful.
+===== Automount =====
+En jouant avec **''/etc/crypttab''** , on peut monter, dés le boot, des partitions cryptés (sans oublier de modifier **''/etc/fstab''** en conséquence).
+==== Clé dans fichier ====
+Lorsqu'on veut que **''cryptsetup''** trouve tout seul les clés. On créé un fichier comme cela:\\
+(par exemple)
+  # cd /root
+  # mkdir crypt
+  # cd crypt
+Et puis:
+  # echo -n "mot_de_passe" >> fichier.key
+  # chmod 400 fichier.key
+Le **''echo -n''** permet de creer le fichier __sans__ retour chariot a la fin.\\
+J'en ai bavé avec ''vi'' avant de comprendre qu'il fouttait toujours un "''\n''" a la fin !
+Et puis:
+  # cryptsetup luksOpen -d /root/cryptkey/fichier.key /dev/sdb1 sdhc
+  key slot 0 unlocked.
+  Command successful.
+Si vous avez "**Command failed: No key available with this passphrase.**" , alors c'est ce **#*!@** de "''\n''" qui est sans doute là !
+Et enfin:\\
+Dans **''/etc/crypttab''** :
+  # <target name> <source device>         <key file>      <options>
+  sdhc            /dev/sdb1      /root/crypt/fichier.key  luks
+Et dans **''/etc/fstab''** :
+  .. <snip> ..
+  /dev/mapper/sdhc        /mnt/sdhc     vfat    defaults,noatime,uid=1000,gid=1000      0       2
 ====== Crypter Root ======
 Pour un eeePC, on montre comment crypter "''/''" (sauf "''/boot''").
-Cela fonctionne pour les dérivés de Debian que j'ai testé.\\
+Cela fonctionne pour les dérivés de Debian testé.
 Le cryptage doit être fait au moment de l'installation de Linux.\\
-Il n'y a pas de manière simple (et possible?) aprés l'installation.
+Il n'y a pas de manière simple aprés l'installation.