Chiffrer tout le(s) disque(s)

Kasi · Le 04/05/2015, à 11:44

Bonjour,

Profitant de la sortie d'Ubuntu (Kubuntu pour être plus précis) 15.04, je souhaiterais passer au chiffrement de tout mon disque et non plus seulement le home. Mon pc est composé de 2 disque dur, un mécanique sur lequel je souhaite avoir le /home et un SSD sur lequel je souhaite avoir tout le reste.

Je pars du principe que les 2 disques peuvent être formatés.

Je viens de regarder différents tuto et pour le moment je ne suis pas très confiant .

Selon ma compréhension, il faut utiliser des LVM chiffrés. Ça ne semble pas possible dans le "wizard" d'installation. Il faudrait alors passer en ligne de commande. De nombreux tuto parlent de la version alternate mais celle-ci ne semble plus exister.

J'imagine donc il faut lancer le système en version live et faire différentes modif avant de lancer l'installation comme dans ce tuto : http://korben.info/comment-chiffrer-une … buntu.html

Est-ce bien cela ?

Merci

SilentStorm · Le 04/05/2015, à 12:04

Si tu sépare le home de la racine (ce qui est une bonne idée en soi), c'est une mauvaise idée au niveau performance que le home soit sur le disque mécanique car les applications utilise des fichiers de configuration ou du cache dans le home ce qui les ralentis. Pour être concret, si tu navigues avec Firefox par exemple, ce sera pratiquement aussi lent que si tu n'avais pas de SSD puisque le profil Firefox est dans le home (donc sur le disque mécanique). Le mieux c'est d'avoir la racine et le home tous les 2 sur le SSD (mais en partition séparé) par contre tu peux très bien te servir du mécanique pour créer une autre partition pour stocker/archiver par exemple tes films, photos, musique etc...

Sinon crypter la racine n'a pas beaucoup d'intérêt si ton home est séparé car tes dossiers confidentiels doivent être dans le home, pas dans la racine.

malbo · Le 04/05/2015, à 12:07

C'est de la daube et il faut aimer les emmerdes qui font long feu mais ça correspond à la sélection "Chiffrer la nouvelle installation de Ubuntu pour la sécurité" à l'étape "Type d'installation" (vue). Si tu apprécies les solutions qui font souffrir, vas-y c'est ce qu'il te faut.

Dernière modification par malbo (Le 04/05/2015, à 12:08)

Kasi · Le 04/05/2015, à 12:17

Bonjour,

Merci pour vos réponse, je suis déjà au fait des avantages et inconvénients de ce que je souhaite. Je souhaite juste trouver la marche à suivre pour le réaliser.

Il me semble que "Chiffrer la nouvelle installation de Ubuntu pour la sécurité" ne permet qu'une installation automatique sans possibilité de personnaliser les partitions ?

Merci

Bougron · Le 04/05/2015, à 12:49

Bonjour.
Personnellement, je n'ai jamais compris pourquoi il est nécessaire de chiffrer le logiciel dont les sources sont publiques et gratuites....

De plus la logique utilisée pour le chiffrement de la partition /home m'a laissée pantois.
Il n'y a aucune sécurité car il m'a été impossible de choisir une phrase de chiffrement personnelle! (Ou du moins je n'ai pas réussi)
Je ne chiffre donc que les supports externes qui peuvent s'égarer. En priant le maxima de dieux que ce support ne soit pas découvert par une personne ayant lu un tuto très facilement trouvable sur internet qui explique comment on craque un mot de passe.
Car toute la logique du chiffrement est basée sur le mot de passe.
PS. Pour les LVM, C'est très simple à comprendre mais la version standard de ubuntu 14.04 n'embarque pas ce logiciel dans son installateur en option "autre chose"
Tu ne peux donc pas l'utiliser. Le seul palliatif trouvé est d'avoir une partition / classique contenant le /boot.
Dans ce forum, il y a Tiramiseb qui est expert dans tout problème LVM

Dernière modification par Bougron (Le 04/05/2015, à 13:04)

Liziara21 · Le 25/05/2015, à 01:07

oui sauf que la lui dire ceci ou cela n'est pas bien ou utile ne répond pas a sa question,
il demande la marche a suivre (si j'ai bien compris) pour chiffré son installation (sans pour autant devoir réinstaller),
de plus lors d'un chiffrement de tous le disque on peut bel et bien choisir sa clef (selon la longueur la clef est plus ou moins résistante),
ensuite un chiffrement totale du disque permet de se protégé "d'attaque physique" du disque dur,
cela peut être très utile un disque dur a notre époque suffi d'un usb bootable, et n'importe qui ayant accès a ton ordi environs 15 minutes peut copier en partie ou en totalité son contenu

pour répondre a sa question, je connais bien des moyen de chiffré un disque vide mais chiffré un os déja installer ça je ne sais pas malheureusement

Kasi · Le 26/05/2015, à 16:34

Liziara21 a écrit :

pour répondre a sa question, je connais bien des moyen de chiffré un disque vide mais chiffré un os déja installer ça je ne sais pas malheureusement

Disque vide ou disque non vide, peu importe pour moi, je pourrais m'arranger. Cependant on parle de 2 disques et non un.

Arbiel · Le 29/05/2015, à 01:28

Bonsoir

Personnellement, j'ai entrepris de chiffrer mon système et quelques autres partitions sans procéder à une nouvelle installation.

J'ai l'avantage de disposer d'un disque externe avec lequel je peux m'exercer et sur lequel j'ai créé un LVM non chiffré. Je considère en effet que tout n'a pas besoin d'être chiffré. /usr, par exemple, ne contient rien qu'il ne soit nécessaire de chiffrer, sauf à vouloir masquer quelles applications sont utilisées. De même, je ne vois pas l'utilité de chiffrer mes iso, ni les pdf ou les pages Web que je télécharge. Mais là aussi, tout dépend de l'existence ou non du besoin de masquer la présence sur mon disque de ces fichiers.

J'ai donc décidé de ne pas tout chiffrer, compte tenu d'une part de la durée de l'initialisation (mais est-elle vraiment nécessaire ?) avec des nombres aléatoires ou pseudo-aléatoires et d'autre part de la surcharge que le chiffrement occasionne (mais est-ce là une importante surcharge ?).

Le prix à payer est la multiplicité des phrases de chiffrement, mais j'ai supprimé cette difficulté en en enregistrant certaines, / et /home, en clair sur un support amovible) et les autres dans /home (chiffré). En démarrant avec le support amovible branché, je ne saisis rien au clavier. Les puristes pousseront peut-être les hauts cris, mais je considère le risque de me faire dérober le PC et la clé en même temps comme peu probable puisque en déplacement, la clé est dans ma sacoche et le PC dans ma valise. En démarrant sans la clé, c'est Windows qui est activée.

Après la création de mes volumes logiques et le chiffrement de certains d'entre eux (/, /home et les volumes volumes logiques sensibles), j'ai recopié mes partitions et mes répertoires (LVM se prête bien à multiplier les volumes logiques sur la base des caractéristiques propres des données et donc de ne pas tout mettre dans le même volume logique) depuis mon disque dur vers les volumes logiques appropriés (grsync), j'ai mis à jour crypttab et fstab dans le /etc du volume logique /, j'ai installé grub sur le MBR de mon disque externe, j'ai mis initrd à jour et j'ai créé un fichier grub.cfg en suivant les indications que tu as citées (korben).

Pour les besoins de mes tests et en attendant d'avoir fait l'opération inverse (disque externe vers disque interne correctement préparé) j'ai enregistré mes phrases de chiffrement (qui ne seront pas celle de mon système définitif) sur une partition séparée du disque externe, en clair.

Pour l'instant, je travaille avec le système de mon disque externe, depuis une bonne quinzaine de jours et je viens, ce soir même, de tout supprimer de mon disque interne, sauf Windows, sa partition de démarrage et une partition en FAT 32 pour l'échange éventuel de fichiers entre Ubuntu et Windows (on ne sait jamais).

Il me reste donc à parcourir le chemin inverse de mon disque externe vers le disque interne.

En espérant que ma propre expérience t'apporte quelques idées, et en restant à ta disposition pour une aide plus détaillée

Arbiel

Liziara21 · Le 29/05/2015, à 14:45

pour ce qui est chiffré un disque dur vide il y a bien luks (supporté par défaut, cependant il faut forcé une clefs SHA-512(pour ne pas se farcir du sha-1)) :

https://www.howtoforge.com/tutorial/how … rypt-luks/

Maintenant je ne sais pas vraiment ce que vaut niveau solidité ce type de chiffrement

Liziara21

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/05/2015, à 11:44

Chiffrer tout le(s) disque(s)

#2 Le 04/05/2015, à 12:04

Re : Chiffrer tout le(s) disque(s)

#3 Le 04/05/2015, à 12:07

Re : Chiffrer tout le(s) disque(s)

#4 Le 04/05/2015, à 12:17

Re : Chiffrer tout le(s) disque(s)

#5 Le 04/05/2015, à 12:49

Re : Chiffrer tout le(s) disque(s)

#6 Le 25/05/2015, à 01:07

Re : Chiffrer tout le(s) disque(s)

#7 Le 26/05/2015, à 16:34

Re : Chiffrer tout le(s) disque(s)

#8 Le 29/05/2015, à 01:28

Re : Chiffrer tout le(s) disque(s)

#9 Le 29/05/2015, à 14:45

Re : Chiffrer tout le(s) disque(s)

Pied de page des forums