chiffrement de disque externe

tutoux · Le 15/05/2013, à 19:32

chiffrement de disque externe
Bonjour,
j'essaye de sécuriser un disque ssd externe, qui ne contiendra que des données.
selon le tutoriel
http://doc.ubuntu-fr.org/cryptsetup
j'ai passé la première étape :-)

~$ sudo cryptsetup luksFormat -c aes -h sha256 /dev/sdc1 

WARNING! 
======== 
Cela écrasera de façon définitive les données sur /dev/sdc1. 

Are you sure? (Type uppercase yes): YES 
Enter LUKS passphrase: 
Verify passphrase: 
mlbg@mlbg-UL30A:~$

ensuite j'ai préféré utiliser gparted pour formater tout le disque en ext4.

A la connexion du lecteur, en usb, le montage est bien automatique mais il n'y a pas de demande de mot de passe.

Donc je suppose qu'il faut passer à l'étape :

Montage automatique
Depuis Dapper, Ubuntu intègre la gestion des volumes chiffrée LUKS en standard, ce qui permet de gérer de manière automatique le montage et le démontage de vos volumes (partitions) sécurisées. La configuration des paramètres du volume chiffré est dans le fichier /etc/crypttab et le montage du volume est de manière classique dans /etc/fstab.
Un exemple de chiffrement du dossier /home:
Modifier le fichier /etc/crypttab :
# <target name> <source device> <key file> <options>
home /dev/hda7 none luks

là, dans mon cas, est-ce bien :

273c887d-45de-48cb-9164-0e52fd076899 /dev/sdc1 none luks
(ce "joli" nom a été attribué automatiquement !)

?

Modifier /etc/fstab pour le volume qui nous intéresse :
# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/home /home ext3 defaults 0 1

pour moi :

/dev/sdc1 /media/mlbg/273c887d-45de-48cb-9164-0e52fd076899 ext4 defaults 0 1

?

note : le nombre d'espaces est-il important et faut-il compter ceux qui existent dans la ligne commentée ?

La clé d'ouverture du volume chiffré vous sera demandée au démarrage de la machine si votre partition est montée automatiquement (voir fstab).

Merci d'avance.
Cordialement.
tutoux

Optiplaste · Le 15/05/2013, à 19:38

Bonjour,
tu as formaté après avoir chiffré ton disque?

tutoux · Le 15/05/2013, à 19:51

oui

ensuite j'ai préféré utiliser gparted pour formater tout le disque en ext4.

Optiplaste · Le 15/05/2013, à 19:54

Il faut chiffrer après avoir formaté. Formater supprime tout ce qui est sur le disque.

tutoux · Le 15/05/2013, à 20:00

damned, aurais-je mal compris le tuto :-)

Initialiser la partition
Exemple sur une partition libre /dev/hda7 :

...

Montage manuel et formatage
Ouverture et formatage en ext3 de la partition chiffrée.

donc n'est-ce pas d'abord chiffrer la partition, puis formater ?

Optiplaste · Le 15/05/2013, à 20:05

Tu as mal compris, ce qui est formaté ce n'est pas le disque entier mais le contenu de la partition chiffrée.

tutoux · Le 15/05/2013, à 22:35

merci
du coup je ne comprends plus ce que je dois faire
j'ai refait la première étape et gparted me dit :

partition : /dev/sdc1 (+ un triangle jaune et un point d'exclamation)
système de fichiers : crypt-luks
taille : 238 Gio
utilisé / inutilisé / drapeaux : rien

or donc que faut-il faire à présent pour que tout le disque soit en accès chiffré ?

tutoux · Le 15/05/2013, à 23:03

en essayant l'étape suivante :

:~$ sudo cryptsetup luksOpen /dev/sdc1 ssd256-1
Enter passphrase for /dev/sdc1: 
Cannot use device /dev/sdc1 which is in use (already mapped or mounted).

sauf erreur, le gestionnaire de fichiers ne voit pas le disque, gparted est fermé : je ne vois pas ce que cryptsetup entend par "mapped or mounted".

tutoux · Le 16/05/2013, à 16:54

donc j'ai repris le tuto :

# cryptsetup luksFormat -c aes -h sha256 /dev/sdb 
WARNING! 
======== 
Cela écrasera de façon définitive les données sur /dev/sdb. 
Are you sure? (Type uppercase yes): YES 
Enter LUKS passphrase: 
Verify passphrase: 
# blkid 
/dev/sda1: LABEL="RECOVERY" UUID="3C98-AC5D" TYPE="vfat" 
/dev/sda2: LABEL="OS" UUID="20F29077F29052C0" TYPE="ntfs" 
/dev/sda5: LABEL="DATA" UUID="7F0601CA590D48DB" TYPE="ntfs" 
/dev/sda6: UUID="dc813307-ffee-4cf6-8024-e20b72481fb6" TYPE="ext4" 
/dev/sda7: UUID="df37ca8c-f91e-4777-8769-d3937221eea0" TYPE="swap" 
/dev/sdc1: UUID="9016-4EF8" TYPE="vfat" 
/dev/sdb: UUID="2c808467-a5c4-421f-a10e-16c83c17f7a9" TYPE="crypto_LUKS" 
# cryptsetup luksOpen /dev/sdb ssd256-1 
Enter passphrase for /dev/sdb: 
root@mlbg-UL30A:/home/mlbg# mkfs.ext4 /dev/mapper/ssd256-1 
mke2fs 1.42.5 (29-Jul-2012) 
Étiquette de système de fichiers= 
Type de système d'exploitation : Linux 
Taille de bloc=4096 (log=2) 
Taille de fragment=4096 (log=2) 
« Stride » = 0 blocs, « Stripe width » = 0 blocs 
15630336 i-noeuds, 62514262 blocs 
3125713 blocs (5.00%) réservés pour le super utilisateur 
Premier bloc de données=0 
Nombre maximum de blocs du système de fichiers=4294967296 
1908 groupes de blocs 
32768 blocs par groupe, 32768 fragments par groupe 
8192 i-noeuds par groupe 
Superblocs de secours stockés sur les blocs : 
	32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
	4096000, 7962624, 11239424, 20480000, 23887872 

Allocation des tables de groupe : complété                        
Écriture des tables d'i-noeuds : complété                        
Création du journal (32768 blocs) : complété 
Écriture des superblocs et de l'information de comptabilité du système de 
fichiers : complété 
g# mount -t ext4 /dev/mapper/ssd256-1 /mnt/
# umount /mnt 
root@mlbg-UL30A:/home/mlbg# cryptsetup luksClose ssd256-1

puis pour le montage automatique :

~$ sudo su 
[sudo] password for mlbg: 
root@mlbg-UL30A:/home/mlbg# gedit /etc/crypttab

puis

root@mlbg-UL30A:/home/mlbg# gedit /etc/fstab

/etc/crypttab :

# <target name>	<source device>		<key file>	<options> 
ssd256-1 /dev/sdb none   luks

/etc/fstab :

# /etc/fstab: static file system information. 
# 
# Use 'blkid' to print the universally unique identifier for a 
# device; this may be used with UUID= as a more robust way to name devices 
# that works even if disks are added and removed. See fstab(5). 
# 
# <file system> <mount point>   <type>  <options>       <dump>  <pass> 
# / was on /dev/sda6 during installation 
UUID=dc813307-ffee-4cf6-8024-e20b72481fb6 /               ext4    errors=remount-ro 0       1 
# swap was on /dev/sda7 during installation 
UUID=df37ca8c-f91e-4777-8769-d3937221eea0 none            swap    sw              0       0 
# montage du volume ssd256-1 
/dev/mapper/ssd256-1  /ssd256-1   ext4   defaults   0   1

redémarrage : ssd connecté : « unlocking the disk /dev/sdb (ssd256-1) enter passphrase »
ouverture de pcmanfm : le ssd n'apparaît pas
déconnexion et reconnexion : passphrase : ok, le ssd apparaît.

sudo gedit pcmanfm pour aller modifier les permissions:modif par tout le monde.

redémarrage, passphrase : le ssd n'est pas monté.

Une idée de ce que j'ai oublié ? :-)

Merci d'avance.
Cordialement.
tutoux

Optiplaste · Le 16/05/2013, à 17:13

Je ne vais pas pouvoir t'aider, mais tu ne t'embêterais pas moins avec Truecrypt?

tutoux · Le 16/05/2013, à 17:58

merci quand même :-)
je ne connais pas et quand j'ai cherché sur le thème de chiffrement de disque, je suis tombé sur cryptsetup.

tutoux · Le 17/05/2013, à 14:45

merci beaucoup whoies, je vais essayer ça !

tutoux · Le 17/05/2013, à 15:24

~/samsung-ssd-840PRO-256/installation$ sudo cp ssd256-1.sh /usr/local/bin
mlbg@mlbg-UL30A:~/samsung-ssd-840PRO-256/installation$ sudo ssd256-1.sh
sudo: unable to execute /usr/local/bin/ssd256-1.sh: No such file or directory
mlbg@mlbg-UL30A:~/samsung-ssd-840PRO-256/installation$ cd /home/mlbg/Bureau
mlbg@mlbg-UL30A:~/Bureau$ sudo ssd256-1.sh
sudo: unable to execute /usr/local/bin/ssd256-1.sh: No such file or directory

whoies a écrit :

sur ton bureau tu crées un lanceur avec la commande: sudo ssd256-1.sh en cochant 'exécuter dans un terminal'

là je n'ai pas compris comment faire...
précision : je suis sous LXDE.
(ps : j'ai bien modifié le script en remplaçant sdc1 par sdb, qui s'applique dans mon cas)

tutoux · Le 17/05/2013, à 16:18

il est bien là :-)

ls -l /usr/local/bin

-rwxr-xr-x 1 root root       86 mai   17 15:00 ssd256-1.sh

mais je suis bloqué un peu plus haut :-)

tutoux · Le 17/05/2013, à 16:50

# cd /usr/local/bin
root@mlbg-UL30A:/usr/local/bin# ssd256-1.sh
bash: /usr/local/bin/ssd256-1.sh : /bin/sh^M : mauvais interpréteur: Aucun fichier ou dossier de ce type

tutoux · Le 17/05/2013, à 16:57

ssd256-1.sh :

#!/bin/sh
cryptsetup luksOpen /dev/sdb ssd256-1
mount /dev/mapper/ssd256-1 /ssd256-1

mais j'y pense, le script sert à utiliser un lanceur quand je connecte le ssd ?
auquel cas, ça marche déjà tout seul : si je connecte, j'ai bien la demande de passphrase.

là où il ne s'ouvre pas tout seul, c'est au démarrage d'Ubuntu, ssd connecté : il y a bien demande de passphrase mais pas de montage auto.

tutoux · Le 17/05/2013, à 17:27

c' est le contraire, c' est le lanceur qui sert à utiliser le script

sans doute, mais ce que je constate c'est que, actuellement, avant que "nous" (tu ) ayions fait marcher ce script, ça marche déjà.
ce qui laisserait à penser qu'il y a quelque chose de l'installation initiale qui a fonctionné
si je connecte le ssd après le démarrage d'ubuntu, le montage du ssd se fait bien, après la saisie de la passphrase et il apparaît dans le gestionnaire de fichiers.

il doit y avoir quelque subtilité qui m'échappe ou bien que je ne suis pas clair :-)

la question ne serait pas de lancer manuellement le montage mais que celui-ci se lance automatiquement au démarrage d'ubuntu, après saisie de la passphrase, si le ssd est connecté.

titoubuntu · Le 17/05/2013, à 18:03

Bonjour,

Je ne connais pas cryptsetup, mais j'utilise Truecrypt régulièrement sur des fichiers et partitions.
Comme Optiplast (post #10) je pense que tu t'embèterais moins avec Truecrypt.

tutoux · Le 17/05/2013, à 20:18

merci, je vais essayer

mais je ne veux pas particulièrement passer par fstab car je n'ai pas la compétence pour choisir ce qu'il faut faire :-)
est-ce que ça présente un inconvénient ?

tout à fait d'accord pour essayer truecrypt si "nous" n'y arrivons pas avec cryptsetup
et comme j'ai l'impression que whoies n'est pas loin cela vaut sans doute le coup de continuer un peu, si cela peut servir à d'autres, non ? :-)

tutoux · Le 22/05/2013, à 14:49

Bonjour,
et un grand merci whoies !
comme conseillé plus haut, je vais m'orienter vers truecrypt.
cordialement.
tutoux

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 15/05/2013, à 19:32

chiffrement de disque externe

#2 Le 15/05/2013, à 19:38

Re : chiffrement de disque externe

#3 Le 15/05/2013, à 19:51

Re : chiffrement de disque externe

#4 Le 15/05/2013, à 19:54

Re : chiffrement de disque externe

#5 Le 15/05/2013, à 20:00

Re : chiffrement de disque externe

#6 Le 15/05/2013, à 20:05

Re : chiffrement de disque externe

#7 Le 15/05/2013, à 22:35

Re : chiffrement de disque externe

#8 Le 15/05/2013, à 23:03

Re : chiffrement de disque externe

#9 Le 16/05/2013, à 16:54

Re : chiffrement de disque externe

#10 Le 16/05/2013, à 17:13

Re : chiffrement de disque externe

#11 Le 16/05/2013, à 17:58

Re : chiffrement de disque externe

#12 Le 17/05/2013, à 14:45

Re : chiffrement de disque externe

#13 Le 17/05/2013, à 15:24

Re : chiffrement de disque externe

#14 Le 17/05/2013, à 16:18

Re : chiffrement de disque externe

#15 Le 17/05/2013, à 16:50

Re : chiffrement de disque externe

#16 Le 17/05/2013, à 16:57

Re : chiffrement de disque externe

#17 Le 17/05/2013, à 17:27

Re : chiffrement de disque externe

#18 Le 17/05/2013, à 18:03

Re : chiffrement de disque externe

#19 Le 17/05/2013, à 20:18

Re : chiffrement de disque externe

#20 Le 22/05/2013, à 14:49

Re : chiffrement de disque externe

Pied de page des forums