Live USB persistant et encryption totale du disque

neokod · Le 09/09/2015, à 14:51

Bonjour,

J'ai un nouveau besoin particulier, je travaille désormais depuis différents endroits physiques, et j'aimerais donc avoir tout mon environnement sur une clef USB ou un disque externe USB sur lequel j'aimerais m'appuyer pour faire démarrer les différentes machines.

Pour cela, j'ai donc besoin de faire une installation du type live persistant, mais j'ai absolument besoin aussi que le disque entier soit chiffré.

Auriez-vous des suggestions à me proposer ou des articles que vous auriez déjà aperçu sur le sujet à me transmettre svp ?
Je m'inquiète notamment sur les mises à jour de GRUB et de la compatibilité des BIOS (UEFI, limites au niveau de l'amorçage en FAT32 )

Je suppose qu'il faudrait une 1ère toute petite partition en FAT32 pour maximiser la compatibilité au boot, puis que GRUB file le relais à dm-crypt pour décrypter le reste et continuer son démarrage.

Merci d'avance pour votre aide

Arbiel · Le 09/09/2015, à 15:24

Bonjour

Je pense pouvoir t'aider.

Qu'entends-tu par "tout mon environnement" sur un support externe ? Tout le système ?

Je prépare actuellement un disque externe contenant un système complet, certes non chiffré, pour l'utiliser sur un certain nombre de machines qui sont toutes motorisées par un seul système, Windows. Il faut bien sûr que toutes puissent démarrer en priorité à partir du support externe lorsqu'il est connecté.

Pour obtenir la compatibilité la plus générale, ton support externe ne doit pas être GPT (UEFI). La plupart des UEFI, mais pas tous, savent en effet démarrer depuis une organisation msdos. Choisis également un système 32 bits.

Personnellement, je suis un chaud partisan de LVM dans lequel je ne chiffre que les volumes logiques que j'estime confidentiels. Je chiffre mes partitions racines, mais ce n'est pas nécessaires si l'on prend soin d'en sortir les répertoires plus sensibles (/var, /tmp, …).

Indique-moi si tu penses que je puisses t'aider. Tu peux me joindre en mp si tu veux échanger des informations sensibles. que tu peux chiffrer elles-mêmes avec ma clé publique.

Arbiel

neokod · Le 09/09/2015, à 15:50

Bonjour Arbiel,

En effet tes suggestions vont dans le bon sens et je t'en remercie!
J'ai en effet besoin de booter sur cette clef USB de 128 Go depuis n'importe quelle machine (en choisissant dans le BIOS de booter en priorité sur l'USB bien entendu), contenant mon environnement de travail complet pour travailler de n'importe où.

Plusieurs outils permettent de faire des clefs LiveUSB, cependant, niveau confidentialité, seul le répertoire /home est proposé en chiffrement (via dm-crypt), or, cette clef détenant tout mon travail (développeur), il y a énormément de données qui sont hors du dossier /home comme les bases de données, fichiers serveurs, logs, qui sont extrêmement sensibles.

Si je perds la clef, je veux être sûr que personne ne puisse démarrer dessus, d'où mon besoin d'un chiffrement entier du disque (ce que propose depuis quelque mois Ubuntu à l'installation, et non plus un simple chiffrage du /home ).

Je prend bonne note du GPT (donc rester en MBR), d'autant plus qu'il est/était assez mal supporté j'ai l'impression ( j'ai eu pas mal de galères sous fdisk et gparted il y a quelques années )
J'ai lu que pour maximiser le plus de machines, il faut un boot en FAT32 mais celui-ci étant limité à 4 Go de stockage, alors que je vise 128 Go de stockage.
La solution je suppose serait de faire une mini partition en FAT32 qui ne fait que relayer ensuite à GRUB le soin de déchiffrer le disque et donc le boot avec une passphrase.

Je me demande s'il existe un outil pour gérer tout ça, et comment il faudrait exactement partitionner/installer ça.
Je suppose qu'il me faut plusieurs partitions :
sdX1 => FAT32 ( 128 Mo ) qui assurerait une compatibilité maximale et donnera la main à GRUB
sdX2 => EXT2 /boot ( 256 Mo ) en clair, bien qu'il y ait à priori des solutions désormais pour la chiffrer aussi (mais un soucis se pose concernant le fait de saisir sa passphrase en qwerty)
sdX3 => partition étendue contenant :
sdX5 => crypt-luks ( 127 Go ) le reste du système

Je m'interroge aussi sur le swap, s'il faut le faire, et si c'est dans la partition étendue en crypt-luks ou non.. sinon j'imagine qu'il serait possible d'analyser cette swap pour récupérer des infos (mais bon là c'est en mode parano)

Je sais qu'il faut aussi que j'adapte mon /etc/fstab avec l'UUID de ma clef au lieu d'une référence /sdX pour éviter des soucis au boot avec GRUB.
D'un point de vue installation, j'imaginais enlever tous les disques de ma machine, brancher un liveCD d'installation classique + ma clef vierge, et de lancer l'installation chiffrée vers cette clef vierge.
Est-ce que ça pourrait fonctionner ?

J'imagine aussi les galères à venir lors des mises à jour de kernel-image qui mettent à jour GRUB ... mais bon, chaque chose en son temps ^^

Merci.

PS: Dans le futur, j'imagine bien les gens avoir uniquement leur clef USB dans leur poche et des machines sans disque dur, où il suffit de booter sur sa clef pour bosser de n'importe où

Arbiel · Le 09/09/2015, à 17:00

C'est donc bien un système complet que tu veux embarquer sur ta clé. Le terme "live USB", qui désigne à mes yeux un outil d'installation, me paraît donc impropre, et source d'éventuelles confusions.

Tu vas peut-être être confronté au problème des pilotes pour ce qui concerne la carte graphique, la carte réseau et le Wifi. Je ne sais pas comment résoudre ce problème pour un système opérationnel, alors qu'une "live USB" est vraisemblablement compatible avec une plus large population de machines.

Pour ma part, je limite le chiffrement à ce que je considère confidentiel, / (je n'ai pas séparé /var de /), /home, et certaines partitions de données. Par exemple, je ne chiffre pas la partition dans laquelle j'ai mémorisé les iso téléchargées, ni mon /usr que j'ai séparée de / pour cette raison.

Je ne chiffre pas non plus ni /boot, ni /boot/grub (que je sépare souvent de /boot pour des raisons plutôt historiques) d'une part parce que je ne suis pas favorable à devoir saisir une phrase sur un clavier américain (cependant j'utilise bépo sur un clavier azerty, donc sans correspondance entre la gravure des touches et les caractères saisis), ensuite parce que je ne sais pas où en est grub avec le chiffrement, et enfin parce que je ne considère pas ces fichiers comme confidentiels.

Pour la création de ta clé, tu peux très bien répliquer ton système actuel vers ta clé, ce que je fais avec grsync. Je monte des répertoires vides sur ceux que, sur la cible, je veux enregistrer séparément du répertoire qui les contient sur la source, et je les recopie ensuite vers leur nouvel emplacement.

Je ne connais pas mes clés de chiffrement qui sont des chaînes de 512 octets aléatoires, J'ai une clé différente pour chaque chiffrement. Je les réplique dans mes diverses clés USB, dans une partition dont le nom est identique sur toutes mes clés, de sorte que leur chemin d'accès est indépendant de la clé utilisée lors du déchiffrement. J'utilise le paramètre --key-file pour déchiffrer. L'utilisation de cette méthode t'imposerais d'utiliser des clés différentes pour le stockage des clés de chiffrement et pour ton système.

/boot et /boot/grub peuvent être sur une partition FAT. L'intérêt est que tu peux, le cas échéant, intervenir dessus à partir de Windows (je me suis ouvert cette possibilité sans jamais y avoir encore recours - fin de lignes ?).

Arbiel

neokod · Le 10/09/2015, à 10:52

Merci Arbiel pour toutes ses précisions.

Concernant les pilotes, les liveUSB contiennent pas mal de pilotes pour supporter le max de pilotes, donc j'envisage la même chose.
Je compte re-faire une réinstalle au propre, donc pas besoin de répliquer le système.

Pour la passphrase, en effet, j'avais dans l'idée d'avoir une SD-Card (ou clef usb) supplémentaire qui permet d'outrepasser la demande de la passphrase si elle est insérée, j'avais vu de la doc sur le sujet, mais ça reste un détail pour plus tard.

/boot sur une partition FAT, ça ne m'aiderait pas trop, j'ai arrêté Windows à l'époque de Windows 98... genre depuis 1999... mais bon, merci pour l'info

Merci et bonne journée

Arbiel · Le 10/09/2015, à 12:14

Bonjour

Le fait de conserver sur mes clés un système de fichiers Windows me permet aussi de les utiliser pour échanger des fichiers avec le monde extérieur, et je dois admettre que je n'ai jamais modifié mon fichier grub.cfg depuis Windows.

L'utilisation d'une carte SD est intéressante. Pour ce qui me concerne, je ne l'ai pas retenue car le risque de la laisser en permanence sur mon PC m'a paru trop important ce qui était en contradiction flagrante avec le besoin de confidentialité. Mais tu n'es pas dans la même situation.

Le mieux, me semble-t-il, serait de pouvoir utiliser un téléphone, mais je n'ai pas trouvé l'application qui le ferait se comporter comme une simple clé USB.

J'ai aussi essayé d'utiliser une carte SD pour y enregistrer grub (pour diverses raisons, j'ai laissé mon MBR dans son état initial), mais mon BIOS n'a pas réussi à démarrer depuis un tel support.

Je pense t'avoir indiqué les grandes lignes de ma manière de fonctionner dans le cadre de ce que tu cherches à réaliser.

Je reste à ta disposition pour t'aider le cas échéant et dans la mesure de mes capacités à concrétiser ton projet.

Arbiel

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/09/2015, à 14:51

Live USB persistant et encryption totale du disque

#2 Le 09/09/2015, à 15:24

Re : Live USB persistant et encryption totale du disque

#3 Le 09/09/2015, à 15:50

Re : Live USB persistant et encryption totale du disque

#4 Le 09/09/2015, à 17:00

Re : Live USB persistant et encryption totale du disque

#5 Le 10/09/2015, à 10:52

Re : Live USB persistant et encryption totale du disque

#6 Le 10/09/2015, à 12:14

Re : Live USB persistant et encryption totale du disque

Pied de page des forums