Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 09/12/2005, à 10:08

cep

Tuto Crypter une partition

/ Ce tuto  se compose de quatre parties :
crypter une partition, sur ce poste #1.

crypter une partition en utilisant les LUKS :
  http://forum.ubuntu-fr.org/viewtopic.php?pid=187901#p187901

crypter une partition déjà utilisée tout en conservant les données présentes :
  http://forum.ubuntu-fr.org/viewtopic.php?pid=266355#p266355

crypter un fichier créé pour la circonstance. Ce fichier crypté sera ensuite utilisé comme une partition, y compris sur une clé usb ou un autre pc disposant de cryptsetup :
http://forum.ubuntu-fr.org/viewtopic.php?pid=268552#p268552 /

Voir aussi le poste de traaf : http://forum.ubuntu-fr.org/viewtopic.ph … 9#p1296929
qui a ajouté une règle udev pour régler un problème de changement de position du disque crypté.
----------

J'ai réduit au maximum les commentaires.
Pour plus de détails, voir : https://wiki.ubuntu.com//EncryptedFilesystemHowto /

On va utiliser dm-crypt et donc cryptsetup pour crypter une partition avec AES.

On s'assure que l'on a les moyens de contrôler le device-mapper, où tout sera "fait à la volée" :

cep@casa:~$ ls -l /dev/mapper/control
crw-rw----  1 root root 10, 63 2005-12-08 14:23 /dev/mapper/control

On regarde quelles sont les possibilités d'encryption inclues dans le kernel d'ubuntu :

cep@casa:~$ /sbin/modinfo /lib/modules/`uname -r`/kernel/crypto/* |grep description
description:    Anubis Cryptographic Algorithm
description:    ARC4 Cipher Algorithm
description:    Blowfish Cipher Algorithm
description:    Cast5 Cipher Algorithm
description:    Cast6 Cipher Algorithm
description:    CRC32c (Castagnoli) calculations wrapper for lib/crc32c
description:    Null Cryptographic Algorithms
description:    Deflate Compression Algorithm for IPCOMP
description:    DES & Triple DES EDE Cipher Algorithms
description:    Khazad Cryptographic Algorithm
description:    MD4 Message Digest Algorithm
description:    Michael MIC
description:    Serpent and tnepres (kerneli compatible serpent reversed) Cipher Algorithm
description:    SHA1 Secure Hash Algorithm
description:    SHA256 Secure Hash Algorithm
description:    SHA-512 and SHA-384 Secure Hash Algorithms
description:    Quick & dirty crypto testing module
description:    TEA & XTEA Cryptographic Algorithms
description:    Tiger Message Digest Algorithm
description:    Twofish Cipher Algorithm
description:    Whirlpool Message Digest Algorithm

cep@casa:~$ /sbin/modinfo /lib/modules/`uname -r`/kernel/arch/i386/crypto/* |grep description
description:    Rijndael (AES) Cipher Algorithm, i586 asm optimized

On se donne les droits root pour ne pas avoir à entrer sudo à chaque ligne :
cep@casa:~$ sudo -s
Password:

On installe cryptsetup, qui est l'interface de chiffrement :

root@casa:~# apt-get install cryptsetup
Lecture des listes de paquets... Fait
...
...etc.etc.
puis le processus d'installation se termine par:
Paramétrage de cryptsetup (1.0.1-0ubuntu4) ...
Adding system startup for /etc/init.d/cryptdisks ...
   /etc/rc0.d/S48cryptdisks -> ../init.d/cryptdisks
   /etc/rc6.d/S48cryptdisks -> ../init.d/cryptdisks
   /etc/rcS.d/S28cryptdisks -> ../init.d/cryptdisks

On ajoute aes, dm_mod et dm_crypt dans /etc/modules (vérifiez s'ils n'y sont pas déjà) :

root@casa:~# echo aes >> /etc/modules
root@casa:~# echo dm_mod   >> /etc/modules
root@casa:~# echo dm_crypt >> /etc/modules

On vérifie :
root@casa:~#  cat /etc/modules
lp
mousedev
psmouse
aes
dm_crypt
dm_mod

On vérifie que la partition sur laquelle on va travailler n'est pas montée :

root@casa:~# mount
...

J'ai choisi de crypter la partition hdb7 et de nommer le volume "crypt".
On crée donc le volume "crypt"

root@casa:~# cryptsetup -y create crypt /dev/hdb7
Enter passphrase:
Verify passphrase:

On a entré le mot de passe ou la phrase secrète.

On ajoute "crypt /dev/hdb7" dans /etc/crypttab

root@casa:~# echo "crypt /dev/hdb7" >> /etc/crypttab

On modifie /etc/fstab afin d'y ajouter /dev/mapper/crypt pour qu'il soit monté au boot dans /crypt :

root@casa:~# echo "/dev/mapper/crypt /crypt ext2 defaults 0 1" >> /etc/fstab

On vérifie :

root@casa:~# cat /etc/fstab
# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
/dev/hda1       /               ext3    defaults,errors=remount-ro 0       1
...
/dev/mapper/crypt /mnt/crypt ext2 defaults 0 1

On crée le système de fichiers sur /dev/mapper/crypt. En ce qui me concerne, j'ai choisi ext2 :

root@casa:~# mkfs.ext2 /dev/mapper/crypt
mke2fs 1.38 (30-Jun-2005)
Étiquette de système de fichiers=
Type de système d'exploitation: Linux
Taille de bloc=1024 (log=0)
Taille de fragment=1024 (log=0)
26104 inodes, 104388 blocs
5219 blocs (5.00%) réservé pour le super usager
Premier bloc de données=1
13 bloc de groupes
8192 blocs par groupe, 8192 fragments par groupe
2008 inodes par groupe
Archive du superbloc stockée sur les blocs:
        8193, 24577, 40961, 57345, 73729

Écriture des tables d'inodes: complété
Écriture des superblocs et de l'information de comptabilité du système de fichiers: complété

Le système de fichiers sera automatiquement vérifié tous les 32 montages ou après
180 jours, selon la première éventualité.  Utiliser tune2fs -c ou -i pour écraser la valeur.

On crée le point de mount /crypt :

root@casa:~# mkdir /crypt

Pensez à attribuer le répertoire à votre user et à lui donner les droits 700 par exemple.

On monte tout :

root@casa:~# mount -a

On vérifie :

root@casa:~# mount
/dev/hda1 on / type ext3 (rw,errors=remount-ro)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs (rw)
usbfs on /proc/bus/usb type usbfs (rw)
tmpfs on /lib/modules/2.6.12-10-386/volatile type tmpfs (rw,mode=0755)
tmpfs on /dev type tmpfs (rw,size=10M,mode=0755)
/dev/mapper/crypt on /crypt type ext2 (rw)

/dev/mapper/crypt est bien monté sur /crypt.

root@casa:~# exit
exit
cep@casa:~$

Maintenant on redémarre la machine pour voir comment tout se déroule.

Àu moment de lancer le processus de cryptographie et de mount de la partition, le usplash s'interrompt et il est demandé d'entrer le mot de passe. D'ou la nécessité d'être devant sa machine.
Si vous entrez le mot de passe, tout se déroule normalement, la partition est montée et décryptée / encryptée à la volée.
Par contre, si vous n'entrez pas le mot de passe, le lancement de la machine s'interrompt avec un message de mauvais filesystème et fsck failed. Normal.
On vous propose de lancer un fsck manuel. Inutil d'accepter, il ne servira à rien. Taper simplement : exit et le processus reprend et votre système démarre.
Par contre, lorsque vous essayerez de monter la partition cryptée par un : sudo mount -a ou un : sudo mount -a -o remount, cela n'aboutira pas et vous aurez le message :

mount: wrong fs type, bad option, bad superblock on /dev/mapper/crypt,
       missing codepage or other error
       In some cases useful info is found in syslog - try
       dmesg | tail  or so

ce qui encore une fois est normal.
Pour pouvoir monter la partiton, il faudra refaire le "mapping" avec les deux commandes suivantes :

cep@casa:~$ sudo cryptsetup remove crypt
cep@casa:~$ sudo cryptsetup create crypt /dev/hdb7
Enter passphrase:

Et vous entrerez votre mot de passe choisi initialement.
À ce stade, n'essayez pas de mettre un autre mot de passe, ou penser utiliser cette commande pour monter une partition dont vous n'auriez pas le mot de passe, ça ne parchera pas :-)

Ensuite vous pourrez monter votre partition :

cep@casa:~$ sudo mount /dev/mapper/crypt -t ext2 /crypt

Une autre solution serait de commenter ou supprimer la ligne de /dev/mapper/ dans fstab. Ainsi, si vous avez d'autres users sur la machine, mais qui ne doivent pas accéder à cette partition, le boot pourra se faire normalement. Il suffira qu'ils tapent sur la touche Enter lorsqu'on demande un mot de passe. Et vous ferez la procédure décrite plus haut pour monter la partition.

Certains conseillent de crypter le /home, et parfois tout le système.
N'oubliez pas que si vous avez un jour un problème et que votre système ne se lance pas, il vous sera difficile de réparer avec un live cd ou autre. Il faudra utiliser d'autres moyens.

Il me reste maintenant à pousser un peu plus l'utilisation de cette partition et à étudier les systèmes de sauvegarde restauration sur une partition cryptée.
Mais, surtout, à appliquer cela sur un disque usb (udev et compagnie), ce qui est l'interêt principal.

Pour cette page, je me suis inspiré de :
https://wiki.ubuntu.com//EncryptedFilesystemHowto
Vous pourrez le consulter pour tous les détails techniques et un usage plus poussé.

cep

Dernière modification par cep (Le 05/11/2007, à 15:12)

Hors ligne

#2 Le 20/12/2005, à 21:23

yeffries

Re : Tuto Crypter une partition

Merci Cep !

Je comptais suivre la page du wiki anglais, mais Ô bonheur, un gentil Ubuntero-fr est passé par là !!! Ca va me faciliter les choses.

Merci ! big_smile

Hors ligne

#3 Le 20/12/2005, à 21:26

yeffries

Re : Tuto Crypter une partition

Tant que j'y suis, tu as des gros fichiers sur ta partition cryptée ? N'y a t'il pas de problèmes de performances lors de la lecture de divx, par exemple ?
Est-ce que certains ont essayé de crypter toute leur partition /home ? Si oui, est-ce contraignant ?

Merci !

Hors ligne

#4 Le 21/12/2005, à 13:54

cep_

Re : Tuto Crypter une partition

Non, pas de gros fichiers. Au maximum 24 Mo sur une partition de test.
Mais cela ne doit pas poser de problème.

Je n'ai pas encore fini mes tests. Par contre j'ai déjà réussi à cracher le système de fichiers de la partition. Faut dire que j'avais tout fait pour. Mais en usage classique je n'ai noté aucun disfonctionnement sur une partition de 4 Go. Donc je continue mes essais smile

Pour le /home, c'est tout à fait réalisable. Cela a déjà été fait.
Personnellement j'y verrais plus de défauts que d'avantages, mais c'est à chacun de voir en fonction de son utilisation.

#5 Le 23/12/2005, à 13:22

yeffries

Re : Tuto Crypter une partition

Merci Cep ! big_smile

Hors ligne

#6 Le 03/02/2006, à 10:44

cep

Re : Tuto Crypter une partition

Il existe aussi une autre façon de crypter une partition en utilisant les LUKS (Linux Unified Keys Setup) :
http://luks.endorphin.org/about
qui font partie de cryptsetup. Ceci permet de changer plus facilement le mot de passe.

Il faut d'abord, comme déjà vu plus haut, installer cryptsetup.

Ensuite on vérifie que luks fait partie de cryptsetup :

cryptsetup --help
...
        luksFormat <device> [<new key file>] - formats a LUKS device
        luksOpen <device> <name>  - open LUKS device as mapping <name>
        luksDelKey <device> <key slot> - wipes key with number <key slot> from LUKS device
        luksAddKey <device> [<new key file>] - add key to LUKS device
        luksUUID <device> - print UUID of LUKS device
        isLuks <device> - add key to LUKS device
        luksClose <name> - remove LUKS mapping
        luksDump <device> - dump LUKS partition information

<name> is the device to create under /dev/mapper
<device> is the encrypted device
<key slot> is the LUKS key slot number to modify
<key file> optional key file for the new key for luksAddKey action

Ensuite on établit le mapping entre la partition cryptée et la partition non cryptée. La partition utilisée ici est la hda3.
Pour simplifier, nous dirons que la partition "physiquement" encryptée est /dev/hda3, et la partiton décryptée est /dev/mapper/hda3. On peut donc dire qu'une fois décryptée elle fonctionne comme une partition logique, tout est transparent et la partition montée normalement.

cep@stab:~$ sudo -s
root@stab:~#  cryptsetup --verbose --verify-passphrase luksFormat /dev/hda3

WARNING!
========
This will overwrite data on /dev/hda3 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:

On a entré le mot de passe, ou la phrase. Et on le répette pour vérification.

Comme vu dans l'help plus haut, on ouvre la partition luks (cryptée) dans le /dev/mapper

root@stab:~# cryptsetup luksOpen /dev/hda3 hda3
Enter LUKS passphrase:
key slot 0 unlocked.

On vérifie que le fichier existe.

root@stab:~#  ls -l /dev/mapper/
total 0
crw-------  1 root root  10, 63 2006-02-02 12:25 control
brw-------  1 root root 253, 11 2006-02-02 21:44 hda3

On va maintenant créer le système de fichiers. À noter que cela se fait sur le /dev/mapper/partition (logique) et non sur la partition phisique (dev/hda3).
On peut bien sûr utiliser un autre système de fichiers, ou d'autres options pour mkfs.ext3. À noter ici le -m 1 pour le pourcentage de blocks réservés à root (1%). Pour les autres options après - O :
   dir_index
   Utilise des B-trees hachés pour accélérer la recherche dans les grands répertoires
   filetype
   Enregistre les informations de type de fichiers dans les entrées des répertoires.
   sparse_super
   Limite le nombre de sauvegardes des superblocs pour économiser de l'espace sur les grands systèmes de fichiers.

root@stab:~# mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/hda3
mke2fs 1.38 (30-Jun-2005)
Étiquette de système de fichiers=
Type de système d'exploitation: Linux
Taille de bloc=4096 (log=2)
Taille de fragment=4096 (log=2)
130048 inodes, 259935 blocs
2599 blocs (1.00%) réservé pour le super usager
Premier bloc de données=0
8 bloc de groupes
32768 blocs par groupe, 32768 fragments par groupe
16256 inodes par groupe
Archive du superbloc stockée sur les blocs:
        32768, 98304, 163840, 229376

Écriture des tables d'inodes: complété
Création du journal (4096 blocs): complété
Écriture des superblocs et de l'information de comptabilité du système de fichiers: complété

Le système de fichiers sera automatiquement vérifié tous les 34 montages ou après
180 jours, selon la première éventualité.  Utiliser tune2fs -c ou -i pour écraser la valeur.

Ensuite on crée le point de montage :

root@stab:~# mkdir /mnt/hda3

On monte et on vérifie :

root@stab:~#  mount /dev/mapper/hda3 /mnt/hda3
root@stab:~# df -H
...
/dev/mapper/hda3       1,1G   4,1k   1,1G   1% /mnt/hda3

Pour démonter et enlever le "luks mapping" :

root@stab:~# umount /mnt/hda3
root@stab:~#  cryptsetup luksClose hda3

On revérifie le fonctionnement :

root@stab:~#  mount /dev/mapper/hda3 /mnt/hda3
mount: vous devez spécifier le type de système de fichiers
root@stab:~#  mount -t ext3 /dev/mapper/hda3 /mnt/hda3
mount: périphérique spécial /dev/mapper/hda3 n'existe pas

On peut donc voir que si l'on n'ouvre pas le luks, impossible de monter. Donc :
r

oot@stab:~# cryptsetup luksOpen /dev/hda3 hda3
Enter LUKS passphrase:
key slot 0 unlocked.
root@stab:~#  mount /dev/mapper/hda3 /mnt/hda3
root@stab:~# cd /mnt/hda3
root@stab:/mnt/hda3# ls -al
total 8
drwxr-xr-x  2 root root 4096 1970-01-01 01:00 .
drwxr-xr-x  6 root root 4096 2006-02-02 21:49 ..
root@stab:/mnt/hda3#

On voit qu'après avoir passé la commande luksOpen et entré le mot de passe, la partition est disponible.

Les commandes à retenir :
   cryptsetup luksOpen /dev/hda3 hda3 = ouvrir le périférique et son nom de mapping
   cryptsetup luksClose hda3 = enlever le mapping

D'autres commandes :
   cryptsetup luksAddKey /dev/hda3 = ajouter un mot de passe supplémentaire. On pourra utiliser au choix l'un ou l'autre passe.
   cryptsetup luksDelKey /dev/hda3 0 = Supprimer le premier mot de passe, d'ou le 0 après hda3. Attention à ajouter d'abord un autre mot de passe avant de supprimer le premier mot de passe.

Voir aussi : http://luks.endorphin.org/faq

À noter aussi que l'on peut utiliser luks sur des clés usb, ou même des cdrom (luksFormat) :
  http://www.sourcentral.org/luks/iso9660/
             

Cette page a été faite en utilisant les travaux de William Owen Smith www.willsmith.org/

Hors ligne

#7 Le 16/04/2006, à 18:41

cep

Re : Tuto Crypter une partition

ATTENTION très dangereux, risque de perte de données. wink

Il est possible de crypter une partition utilisée tout en conservant les données présentes sur cette partition. On part du principe que crypsetup est déjà installé et aes, dm_crypt et dm_mod présents dans /etc/modules comme expliqué plus haut.

La procédure va être réalisée sur hda2 et, pour vérifier qu'un fichier déjà présent est préservé, on crée essai1 :
:~# mount /dev/hda2 /mnt
:~# cd /mnt
:/mnt# touch essai1
:/mnt# ls
essai1  lost+found
:/mnt# cd
:~# umount /mnt

Début de la procédure :
On vérifie le système de fichiers sur la partition :
:~# fsck -f /dev/hda2

On crée le nouveau "périférique" dm-crypt appelé ici hda2-crypt (on peut donner n'importe quel nom) sur /dev/hda2 et on entre deux fois le mot de passe :
:~# cryptsetup -y -c aes -s 256 create hda2-crypt /dev/hda2
Enter passphrase:
Verify passphrase:

On fait la conversion de l'existant /dev/hda2 vers /dev/mapper/hda2-crypt (1 seule fois sous peine de perdre les donées) :
:~# dd if=/dev/hda2 of=/dev/mapper/hda2-crypt bs=4k
19152+0 enregistrements lus.
19152+0 enregistrements écrits.
78446592 bytes transferred in 69,321984 seconds (1131626 bytes/sec)

On vérifie le système de fichiers :
:~#  fsck /dev/mapper/hda2-crypt
fsck 1.38 (30-Jun-2005)
e2fsck 1.38 (30-Jun-2005)
/dev/mapper/hda2-crypt: propre, 12/19200 fichiers, 6560/76608 blocs

On monte le périférique "logique" sur /mnt (et non le périférique "materiel" /dev/hda2 comme déjà vu plus haut) et on vérifie que essai1 existe encore :
:~# mount /dev/mapper/hda2-crypt  /mnt
:~# cd /mnt
:/mnt# ls
essai1  lost+found

C'est terminé, la partition est cryptée et ne peut être montée sans entrer le mot de passe, ni lue depuis un live cdrom.

Les commandes qui suivent sont uniquement là pour montrer qu'une fois la partition démontée et hda2-crypt enlevée, il faut la redéclarer par la commande cryptsetup create hda2-crypt /dev/hda2 puis entrer le mot de passe pour pouvoir utiliser la partition dans son point de montage.
:~# umount /mnt
:~#  cryptsetup remove hda2-crypt
:~# mount /dev/hda2 /mnt
mount: vous devez spécifier le type de système de fichiers
:~# mount /dev/mapper/hda2-crypt  /mnt
mount: vous devez spécifier le type de système de fichiers
:~#  cryptsetup create hda2-crypt /dev/hda2
Enter passphrase:
:~# mount /dev/mapper/hda2-crypt  /mnt
:~# ls /mnt
essai1  lost+found

Hors ligne

#8 Le 19/04/2006, à 09:02

cep

Re : Tuto Crypter une partition

On termine la série avec la possibilité non plus de crypter une partition, mais un fichier créé pour la circonstance. Ce fichier crypté sera ensuite utilisé comme une partition.
En outre, petit plus, il pourra être aussi utilisé sur un autre pc depuis une clé usb.

On part du principe que cryptsetup a été installé sur la machine. Sinon :
apt-get install cryptsetup
S'ils n'y sont pas déjà, on ajoute aes, dm_mod et dm_crypt dans /etc/modules :
echo aes >> /etc/modules
echo dm_mod   >> /etc/modules
echo dm_crypt >> /etc/modules
Et on vérifie le tout :
cat /etc/modules
comme expliqué au poste #1

Maintenant on peut passer aux choses sérieuses.
On commence par créer un fichier de 10 Mo. On peut bien sûr choisir une autre taille en adaptant count=10.

:~$ dd if=/dev/zero of=cle.img bs=1M count=10

Pour simplifier la suite, on passe root et on monte le fichier cle.img comme on ferait pour une iso :

:~$ sudo -s

On vérifie le premier loop disponible :

:~# losetup -f
/dev/loop/0

On monte cle.img avec /dev/loop0 :

:~# losetup /dev/loop0 cle.img

Ensuite la procédure est la même que celle décrite plus haut, au poste #6 pour utiliser une partition avec les LUKS. Donc je ne la détaillerai pas.
On remplace simplement /dev/hdxn par /dev/loop0.

On crypte l'image et on établit le mapping entre l'image cryptée (cle.img) et le "périférique" non crypté :

:~#  cryptsetup --verbose --verify-passphrase luksFormat /dev/loop0

WARNING!
========
This will overwrite data on /dev/loop0 irrevocably.

Are you sure? (Type uppercase yes): YES (YES en majuscule)
Enter LUKS passphrase: mot_de_passe
Verify passphrase: mot_de_passe

On ouvre la partition luks (cryptée) dans le /dev/mapper qui sera cle :

:~# cryptsetup luksOpen /dev/loop0 cle
Enter LUKS passphrase: mot_de_passe (le même que donné plus haut)
key slot 0 unlocked.

On crée le système de fichiers (ext2 ici mais vous pouvez adapter) :

:~# mke2fs /dev/mapper/cle

On crée le point de montage et on monte le périférique logique :

:~# mkdir /mnt/cle

:~# mount /dev/mapper/cle /mnt/cle

:~# cd /mnt/cle

On crée trois fichiers qui serviront de "témoin" pour la suite :

:/mnt/cle# touch un && touch deux && touch trois
:/mnt/cle# ls
deux  lost+found  trois  un
:/mnt/cle# cd
:~# umount /dev/mapper/cle

On a vérifié que les fichiers étaient là et on a démonté la clé.
Et on pourrait faire aussi :

cryptsetup luksClose cle

Maintenant, comme on veut utiliser ce fichier clé.img sur un autre pc, on le copie sur une clé usb. On pourrait utiliser tout autre moyen de transfert.

:~$ cp cle.img /media/usbdisk/cle.img

Sur l'autre pc, on va utiliser le fichier dirèctement depuis la clé usb, et en le montant depuis /dev/loop0 :

cep@prin:~$ sudo -s
Password:
:~# losetup -f
/dev/loop0
:~# losetup /dev/loop0 /media/usbdisk/cle.img
:~# cryptsetup luksOpen /dev/loop0 cle
Enter LUKS passphrase: mot_de_passe
key slot 0 unlocked.
:~# mkdir /mnt/cle
:~# mount /dev/mapper/cle /mnt/cle
:~# ls -al /mnt/cle
total 14
drwxr-xr-x  3 root root  1024 2006-04-18 19:33 .
drwxr-xr-x  5 root root  1024 2006-04-18 22:02 ..
-rw-r--r--  1 root root     0 2006-04-18 19:33 deux
drwxr-xr-x  2 root root 12288 2006-04-18 18:43 lost+found
-rw-r--r--  1 root root     0 2006-04-18 19:33 trois
-rw-r--r--  1 root root     0 2006-04-18 19:33 un

Voilà, les fichiers créés précédement sont là. On peut en créés d'autres, ou même copier cle.img sur le disque dur de l'autre pc, l'utiliser ainsi et faire des rsync ensuite.

Lorsqu'on a fini de travailler sur le contenant :

:~# umount /dev/mapper/cle
:~# cryptsetup luksClose cle
:~# losetup -d /dev/loop0
:~# exit
exit
cep@prin:~$

La clé usb a un système de fichiers vfat et peut continuer à être utilisée normalement. Par contre le contenant cle.img ne pourra pas être lu sans cette procédure. Il est aussi possible de crypter directement la totalité de la clé.
Les commandes utiles pour gérer le LUKS sont reportées dans le poste qui précède se raportant aux LUK ou bien en faisant :

cryptsetup --help

Le cryptage utlisé est largement suffisant en standard. Il peut être encore renforcé.
N'hésitez pas à utiliser cryptsetup dm-crypt et les LUKS des paquets debian, parfaitement intégrés au système et qui vallent largement d'autres procédés exterieurs comme truecrypt et compagnie.

Pour ceux qui voudraient crypter leur système en entier (je n'en vois pas l'interêt), ils peuvent consulter le howto installé dans la doc de cryptsetup :
less /usr/share/doc/cryptsetup/CryptoRoot.HowTo
De même le : /usr/share/doc/cryptsetup/README.html

Hors ligne

#9 Le 19/04/2006, à 20:30

cep

Re : Tuto Crypter une partition

Sur le site de Kagou, j'ai vu qu'il était possible de faire reconnaitre sous Ms.Windows des partitions cryptées sous linux avec cryptsetup en utilisant le programme FreeOTFE :
http://www.freeotfe.org/
http://www.freeotfe.org/docs/index.htm

Je n'ai pas la possibilité d'essayer tout de suite ce programme, mais j'ai décidé de repartitionner une clé usb pour pouvoir faire des tests sur les deux systèmes.

Partitionnement de la clé avec parted

:~# parted /dev/sda
On utilise /dev/sda
(parted) print
Géométrie du disque pour /dev/sda: 0.000-248,000 mégaoctets
Type d'étiquette de disque: msdos
Mineur   Départ      Fin     Type      Sys.fichiersFanions
1          0,016    247,750  primaire  fat16       amorce
(parted) resize 1 0,016 200,000
(parted) mkpartfs primaire fat16 200,001 247,750
(parted) print
Géométrie du disque pour /dev/sda: 0.000-248,000 mégaoctets
Type d'étiquette de disque: msdos
Mineur   Départ      Fin     Type      Sys.fichiersFanions
1          0,016    200,000  primaire  fat16       amorce
2        200,000    247,750  primaire  fat16
(parted) quit

Pendant le partitionnement avec parted la clé est montée automatiquement dès la création du système de fichiers. On vérifie :

:~# mount
...
/dev/sda1 on /media/usbdisk type vfat (rw,noexec,nosuid,nodev,quiet,shortname=winnt,uid=1000,gid=1000,umask=077,iocharset=utf8)
/dev/sda2 on /media/usbdisk-1 type vfat (rw,noexec,nosuid,nodev,quiet,shortname=winnt,uid=1000,gid=1000,umask=077,iocharset=utf8)

Comme je vais tester encore la création d'un système crypté en préservant l'existant, je vais produire un fichier témoin :

:~# cd /media/usbdisk-1
:/media/usbdisk-1# man mount > mount.txt
Remise en forme de mount(8), attendez SVP...
:/media/usbdisk-1# less mount.txt
:/media/usbdisk-1# cd
:~# umount /dev/sda2

On vérifie le système de fichiers et on fait la procédure déjà expliquée plus haut en l'adaptant à la clé, donc inutile de détailler ;

:~# dosfsck /dev/sda2
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
/dev/sda2: 0 files, 0/24391 clusters
:~# cryptsetup -y -c aes -s 256 create sda2crypt /dev/sda2
Enter passphrase:
Verify passphrase:
:~# dd if=/dev/sda2 of=/dev/mapper/sda2crypt bs=4k
12224+0 enregistrements lus.
12224+0 enregistrements écrits.
50069504 bytes transferred in 96,026946 seconds (521411 bytes/sec)
:~# dosfsck /dev/mapper/sda2crypt
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
/dev/mapper/sda2crypt: 0 files, 0/24391 clusters
:~# mount /dev/mapper/sda2crypt /mnt

On vérifie que le fichier est toujours là :

:~# cd /mnt
:/mnt# less mount.txt

mount.txt est bien là et tout à fait lisible.

:/mnt# cd
:~# umount /dev/mapper/sda2crypt
:~# umount /dev/sda1

Après avoir débranché la clé, lors du mount suivant ne pas oublier d'identifier votre clé, par exemple avec la commande mount, puis de refaire le mapping du périférique logique avec le périférique materiel par un remove suivi d'un create. 
Le mount indique la présence d'un sdc1, il faudra donc faire le mapping avec sdc2

:~# mount
...
/dev/sdc1 on /media/usbdisk type vfat (rw,noexec,nosuid,nodev,quiet,shortname=winnt,uid=1000,gid=1000,umask=077,iocharset=utf8)

:~# cryptsetup remove sda2crypt
:~# cryptsetup  create sda2crypt /dev/sdc2
Enter passphrase:
:~# mount /dev/mapper/sda2crypt /mnt

Après démontage de la partition les fichiers de la partition resteront affichés dans nautilus par exemple tant que l'on n'aura pas fait :

:~# cryptsetup remove sda2crypt

Si FreeOTFE ne reconnait pas AES, il faudra essayer avec LUKS

Hors ligne

#10 Le 20/04/2006, à 11:33

cep

Re : Tuto Crypter une partition

Alors, pour ceux qui veulent faciliter le montage du périférique crypté, il est préférable d'utiliser plutôt les LUKS et, pour une utilisation facile avec Ms.Windows et les FreeOTFE un système de fichiers vfat (ou ext2 si driver sur Win).
Avec l'utilisation des LUKS, à l'insertion de la clé, une boite de dialogue s'affiche demandant d'entrer le mot de passe et ensuite le mount se poursuit comme pour un périférique classique.

Procédure avec les LUKS avec partition vfat :

:~# cryptsetup --verbose --verify-passphrase luksFormat /dev/sda2

:~# cryptsetup luksOpen /dev/sda2 cle

:~# mkfs.vfat -v -n cle /dev/mapper/cle
.
:~# mount /dev/mapper/cle /mnt

Pour les détails et autres commandes luksOpen luksClose etc. etc. voir plus haut.

Hors ligne

#11 Le 04/07/2006, à 21:22

Ju.

Re : Tuto Crypter une partition

Le message est tres souvent spammé,  si vous voulez ajouter un element signaler ce message qu'on l'ouvre le temps de votre post en attendant qu'on trouve une meilleure solution... ;-/


Have Fun !

Conduite à tenir face aux trolls

Hors ligne

#12 Le 04/07/2006, à 21:59

dawar

Re : Tuto Crypter une partition

Y'a plusieurs solutions  contre le spam...

La confirmation visuelle : pas bon, problème d'accessibliité...

Des champs "hidden" qui troublent les bots. Par exemple, utiliser le champs "form_user" pour un test anti bot, en changeant dans punbb le nom de ce champ. Si il est rempli, c'est qu'on a affaire à un bot programmé pour punbb, qui ne sait pas que le malin admin à interverti les champs, et que le vrai a remplir c'est deform_user (par exemple).
Ou inversement ajouter un champ qui si il n'est pas rempli empèche le post. Les deux sont bien sur combinables.

Mesurer le temps mis par un utilisateur pour ecrire un post, après avoir cliqué "répondre", si il mets moins de 2 secondes, c'est un bot (ou un commentaire inutile lol )

Changer les noms de fichier php comme "viewtopic.php?" pour quelque chose qui ne sera pas  repéré par les bots comme un forum "spamable".

Filtrer les mots clés des bots de spam genre "ringtone" et interdire de poster quand il y'a trop de mot clé dans un message.

Bref, voila quelques idées anti spam...


S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadoks)

Hors ligne

#13 Le 02/11/2006, à 06:37

Julio

Re : Tuto Crypter une partition

Voici un complément au super tuto de cep (merci beaucoup!). J'ai écrit un petit script pour connecter et déconnecter sur demande plusieurs partitions cryptés sans toujours avoir à entrer le mot de passe (nécessairement long!).

Ça permet par exemple de connecter ses partitions amovibles cryptées en un clic.
Autre intérêt, ça permet de déconnecter ses partitions cryptées quand on va déjeuner sans avoir à tout démonter à la main.

Ni mon home ni mon root ne sont cryptés, mais uniquement certains répertoires rassemblés dans une partition. Je n'utilise donc pas crypttab et ne connecte donc pas mes disques cryptés au démarrage.

Complément valable pour ceux utilisant luks uniquement!

Prérequis:
  - avoir monté un premier disque crypté
  - avoir ajouté toutes les partitions à monter dans fstab, et faire le montage vers /mnt/nom_dev

Le principe de fonctionnement:
  1- Accès à un premier disque crypté (en tapant le mot de passe)
  2- Connexion à tous les autres disques automatiquement (avec une clé présente sur le premier disque)

Première étape: Créer une clé et l'ajouter au trousseau luks pour les partitions amovibles
Se placer dans la partition cryptée et créer la clé:

dd if=/dev/random of=keyfile bs=1 count=256

Pour chaque partition à monter automatiquement, ajouter la clé au trousseau luks:

sudo cryptsetup luksAddKey /dev/nom_dev keyfile

Deuxième étape:  Copier et adapter les scripts de connexion
J'ai choisi d'avoir un script pour la première étape (connexion du premier disque crypté) et un second script (connexion des autres disques) qui soit lui même sur la partition cryptée.

Script 1: Connexion du premier disque crypté
Créer le fichier /usr/bin/mount_crypt avec votre éditeur préféré et coller le script ci-dessous en remplaçant nom_dev:

#! /bin/bash
# Script to connect the crypted disks

# Set the name of the base crypted disk
set $1 "nom_dev"

if test ! -b /dev/$1; then
        echo "$1 not detected"
elif ! sudo cryptsetup isLuks /dev/$1; then
        echo -n ""
elif ! mount | grep -q "/dev/mapper/$1"; then
        echo "$1 not ready"
        if mount | grep -q "/dev/$1"; then
                echo "Unmounting /dev/$1"
                if sudo umount /dev/$1; then
                        echo "  Done"
                fi
        fi
        if test -b /dev/mapper/$1; then
                echo "Closing /dev/mapper/$1"
                if sudo cryptsetup luksClose $1; then
                        echo "  Done"
                fi
        fi
        echo "Decryt $1"
	if sudo cryptsetup luksOpen /dev/$1 $1; then
                echo "  Done"
        fi
        echo "Mounting of $1"
        if sudo mount /mnt/$1; then
                echo "  Done"
        fi
fi

if  mount | grep -q "/dev/mapper/$1"; then
	echo "Base crypted disk connected"
        if sudo /mnt/$1/mount_crypt_all_disks; then
		echo "Operation completed - Press Enter to continue"
		read 
	else
		echo "Error while connecting other disks - Press Enter to continue"
        	read
		exit 1
	fi
else
	echo "Operation while connecting base disk - Press Enter to continue"
       	read
	exit 1
fi

Rendre ce script exécutable

sudo chmod +x /usr/bin/mount_crypt

Créer le fichier /mnt/nom_dev/mount_crypt_all_disks avec votre éditeur préféré et coller le script ci-dessous en remplaçant nom_dev et les disques à la fin du script, puis le rendre exécutable

#! /bin/bash
# Script to connect the crypted disks in addition to the base disk

base_disk="nom_dev"

cryptdisk()
{
if test ! -b /dev/$1; then
	echo "$1 not detected"
elif ! sudo cryptsetup isLuks /dev/$1; then
	echo -n ""
elif ! mount | grep -q "/dev/mapper/$1"; then
        echo "$1 not ready"
        if mount | grep -q "/dev/$1"; then
		echo "Unmounting /dev/$1"
		if sudo umount /dev/$1; then
			echo "  Done"
		fi
	fi
	if test -b /dev/mapper/$1; then
                echo "Closing /dev/mapper/$1"
                if sudo cryptsetup luksClose $1; then
			echo "  Done"
		fi
	fi
	echo "Decryt $1"
	if test -e /mnt/$base_disk/keyfile; then
		if sudo cryptsetup luksOpen /dev/$1 $1 --key-file /mnt/$base_disk/keyfile; then
        	        echo "  Done"
        	fi
	else
		if sudo cryptsetup luksOpen /dev/$1 $1; then
			echo "  Done"
		fi
	fi
	echo "Mounting of $1"
	if sudo mount /mnt/$1; then
		echo "  Done"
	fi
else
	echo "$1 already connected"
fi
}

cryptswap()
{
if ! swapon -s | grep -q "/dev/mapper/$2"; then
        echo "$1 not ready"
        if test -b /dev/mapper/$2; then
                echo "Closing /dev/mapper/$2"
                if sudo cryptsetup luksClose $2; then
	                echo "  Done"
		fi
	fi
	echo "Encryt $1"
	if sudo cryptsetup -s 256 -d /dev/urandom create $2 /dev/$1; then
		echo "  Done"
	fi
	echo "Format $1 as swap"
	if sudo mkswap /dev/mapper/$2; then
		echo "  Done"
	fi
	echo "Activating $1 as swap"
	if sudo swapon /dev/mapper/$2; then
		echo "  Done"
	fi
else
	echo "$1 already connected as swap"
fi
}

cryptswap "sdaX" "cswap"
cryptdisk "sdaY" 
cryptdisk "sdbX" 
cryptdisk "sdbY"

Il ne reste plus qu'à faire un lanceur pour /usr/bin/mount_crypt et les disques cryptés se montent en un clic!

Troisième étape:  Copier et adapter les scripts de déconnexion
Créer le fichier /usr/bin/mount_crypt avec votre éditeur préféré et coller le script ci-dessous en remplaçant nom_dev à la fin du script, puis le rendre exécutable:
(A noter que je ferme d'abord evolution car j'utilise mon premier disque crypté pour stocker entre autres mes mails)

#! /bin/bash
# Script to disconnect the base crypted disks

set $1 "nom_dev"

if ! mount | grep -q "/dev/mapper/$1"; then
	echo "$1 is not mounted"
	if test -b /dev/mapper/$1; then
		echo "Closing /dev/mapper/$1"
		if sudo cryptsetup luksClose $1; then
			echo "  Done"
        	fi
	fi
	echo "Press Enter to continue"
	read
elif ! sudo /mnt/$1/umount_crypt_all_disks; then
	echo "Other disks could not be disconnected - Cannot disconnect $1"
        echo "Press Enter to continue"
	read
else
	if test ! -b /dev/$1; then
        	echo "$1 not detected"
	else
 		if ps -u chelou | grep -q "evolution"; then
			echo "Shutting down evolution"
			if killall -qw evolution || killall -qwe evolution-data-server-1.8 evolution-exchange-storage evolution-alarm-notify; then
				echo "  Done"
			fi
		fi
	       	if lsof /mnt/$1; then
                	echo "$1 busy - Cannot disconnect $1"
	        else
        	        echo "Unmounting $1"
                	if sudo umount /mnt/$1; then
                        	echo "  Done"
	                fi
        	        echo "Closing /dev/mapper/$1"
                	if sudo cryptsetup luksClose $1; then
                        	echo "  Done"
	                fi
        	fi
	fi
	echo "Press Enter to continue"
        read
fi

Créer le fichier /mnt/nom_dev/umount_crypt_all_disks avec votre éditeur préféré et coller le script ci-dessous en remplaçant nom_dev et les disques à la fin du script, puis le rendre exécutable

#! /bin/bash
# Script to disconnect the crypted disks others than base crypted disk

uncryptdisk()
{
if test ! -b /dev/$1; then
	echo "$1 not detected"
elif ! sudo cryptsetup isLuks /dev/$1; then
	echo -n ""
elif ! mount | grep -q "/dev/mapper/$1"; then
        echo "$1 is not mounted"
        if test -b /dev/mapper/$1; then
                echo "Closing /dev/mapper/$1"
                if sudo cryptsetup luksClose $1; then
                        echo "  Done"
                fi
        fi
else
        if lsof /mnt/$1; then
		echo "$1 busy - Cannot disconnect $1"
		exit 1
	else
	        echo "Unmounting $1"
	        if sudo umount /mnt/$1; then
        	        echo "  Done"
	        fi
                echo "Closing /dev/mapper/$1"
                if sudo cryptsetup luksClose $1; then
			echo "  Done"
		fi
	fi
fi
}

uncryptswap()
{
if test ! -b /dev/$1; then
        echo "$1 not detected"
elif ! swapon -s | grep -q "/dev/mapper/$2"; then
        echo "$1 not connected as swap"
        if test -b /dev/mapper/$2; then
                echo "Closing /dev/mapper/$2"
                if sudo cryptsetup luksClose $2; then
	                echo "  Done"
		fi
	fi
else
        echo "Disactivating $1 as swap"
        if sudo swapoff /dev/mapper/$2; then
                echo "  Done"
        fi
	echo "Closing /dev/mapper/$2"
        if sudo cryptsetup luksClose $2; then
                echo "  Done"
        fi
fi
}

uncryptswap "sdaX" "cswap"
uncryptdisk "sdaY"
uncryptdisk "sdbX"
uncryptdisk "sdbY"

Il ne reste plus qu'à faire un lanceur pour /usr/bin/umount_crypt et les disques cryptés se démontent en un clic!

Ce script marche très bien chez moi mais je ne garanti rien chez les autres. N'hésitez pas à me faire part de vos remarques/bugs pour l'améliorer.

Hors ligne

#14 Le 25/05/2007, à 15:09

o-o

Re : Tuto Crypter une partition

cep chez moi /dev/mapper n'existe pas.

root@ubuntu:~# ls -l /dev/mapper/control
ls: /dev/mapper/control: No such file or directory

comment faire?
merci.

#15 Le 25/05/2007, à 15:17

cep

Re : Tuto Crypter une partition

Je ne sais pas quel tuto tu as suivi, mais regarde déjà si les modules sont présents.

Hors ligne

#16 Le 25/05/2007, à 18:09

o-o

Re : Tuto Crypter une partition

b'hein le tiens cf le 1er post

cep a écrit :

On s'assure que l'on a les moyens de contrôler le device-mapper, où tout sera "fait à la volée" :

cep@casa:~$ ls -l /dev/mapper/control
crw-rw----  1 root root 10, 63 2005-12-08 14:23 /dev/mapper/control

et ça l'air d'être génant puisqu'après tu dis:

cep a écrit :

On modifie /etc/fstab afin d'y ajouter /dev/mapper/crypt pour qu'il soit monté au boot dans /crypt :

root@casa:~# echo "/dev/mapper/crypt /crypt ext2 defaults 0 1" >> /etc/fstab

comment t'as fait pour avoir /dev/mapper ?

#17 Le 25/05/2007, à 18:27

cep

Re : Tuto Crypter une partition

Ok.
Je viens de démarrer une feisty et en effet /dev/mapper n'est pas créé (contrairement à une lenny par exemple).

Si tu continues l'installation de cryptsetup, tu devrais avoir ensuite le /dev/mapper.

AUssi, d'autres possibilités de crypto ont été ajoutées au kernel.

Hors ligne

#18 Le 25/05/2007, à 18:30

cep

Re : Tuto Crypter une partition

En complément, je viens de regarder sur le forum anglais, pas de problème pour /dev/mapper.
Tu as un tuto plus à jour ici :
http://ubuntuforums.org/showthread.php? … tup+feisty

Il concerne luks, qui est plus simple d'utilisation.

Bonne continuation.
cep

Hors ligne

#19 Le 26/05/2007, à 08:54

o-o

Re : Tuto Crypter une partition

J'ai oublié (et toi aussi Cf: tuto avec LUKS) de faire ça:
sudo dd if=/dev/zero of=/dev/sda
Quelqu'un conseillait dans le liens que tu m'a donné de faire plutôt:
dd if=/dev/urandom of=/dev/sdaX
Je ne comprends pas l'interet de cette commande de réeecrire sur le disque avec des caractères aléatoires ou 0
vu qu'on le formate après...

et si on oublie de le faire qu'elle sont les conséquences pour le cryptage?
Faut-il recommencer la procedure?

Aussi je montais mon périphérique avec HAL non avec fstab
HAL peut-il gérer le montage de periphérique crypté?
N'y a t-il aucun moyen de garder l'UUID? pour s'assurer d'une certaine stabilité dans le montage des périphériques usb?

#20 Le 26/05/2007, à 09:03

cep

Re : Tuto Crypter une partition

Non, je n'ai pas oublié, mais j'en parle en effet dans un autre tuto sur les partitions.
Et, plutôt que dd, on peut aussi utiliser wipe.

L'avantage c'est que ton fs est tout à fait propre, pas de données parasites. Et on devrait faire cela avant chaque nouvelle création de système de fichiers  (formate). Le fait de "formater" n'efface pas vraiment le disque, mais reconstruit les metadata et autres.

Si tu oublies de le faire, le fs est "moins propre".

udev et compagnie gère les fs cryptés. J'ai des disques externes cryptés qui pourraient ne pas être gérés par fstab.

Plutôt que l'uuid, dans ce cas utilise plutôt les labels, plus simples à mémoriser.

Hors ligne

#21 Le 26/05/2007, à 12:12

o-o

Re : Tuto Crypter une partition

"cep a écrit :

Maintenant on redémarre la machine pour voir comment tout se déroule.

Àu moment de lancer le processus de cryptographie et de mount de la partition, le usplash s'interrompt et il est demandé d'entrer le mot de passe. D'ou la nécessité d'être devant sa machine.

quand je redemarre la machine, ma clé usb est bien insérée, mais ne me demande pas le mot de passe.
J'ai une erreur:

mount: special device /dev/mapper/usbkey does not exit.

pour les modules aes dm-crypt dm-mod sont bien chargés...

J'aimerais bien qu'au moment où j'insère la ma clé usb que le "LUKS passphrase" me soit demandé...
au lieu de me dire

Échec au montage de "/org/freedesktop/Hal/devices/volume_uuid_cc3e2043_98f1_4218_9222_1c21480d0b7d".
Le périphérique "/org/freedesktop/Hal/devices/volume_uuid_cc3e2043_98f1_4218_9222_1c21480d0b7d" n'est pas un volume ou un disque.

sinon aucun probleme pour monter via le terminal

cryptsetup luksOpen /dev/sdg1 usbkey
mount /dev/mapper/usbkey /mnt/usbkey

t'as une idée cep?

#22 Le 26/05/2007, à 13:11

cep

Re : Tuto Crypter une partition

À première vue, non, pas d'idée. Tu as essayé sans le uuid mais seulement avec l'adresse du style /dev/  ? ou un problème avec pmount ?
Je n'ai pas de feisty sous la main, là. Faudrait que je regarde dans la semaine ce qui a changé.

Tu as exploré l'adresse du forum anglais indiquée plus haut, avec toutes les pages pour voir s'il n'y a pas le même genre de problème reporté ?

Hors ligne

#23 Le 27/05/2007, à 21:18

o-o

Re : Tuto Crypter une partition

b'hein en fait je ne suis pas sur Ubuntu...
mes montages sont assurés par HAL non par fstab

o-o a écrit :

quand je redemarre la machine, ma clé usb est bien insérée, mais ne me demande pas le mot de passe.

en fait faut mettre dans /etc/crypttab,  ASK à la place de none.
Avec cette methode ça gère automatiquement le montage.
en mettant à none dans "Unlocking encrypted volumes" j'ai ça:
http://img512.imageshack.us/my.php?image=img1330pw6.jpg
ça te le fait aussi?
graphiquement quand on plug la clé usb gnome-volume-manager ne me demande toujours pas le LUKS passphrase, pourtant HAL le reconnait bien comme un peripherique crypté.

cep a écrit :

udev et compagnie gère les fs cryptés. J'ai des disques externes cryptés qui pourraient ne pas être gérés par fstab.

Hesite pas à dire comment tu as fais...
Pour te repondre non, je n'utilise pas les UUID, je suis betement ton tuto...
Grace à cette page:
https://wiki.ubuntu.com/DebuggingRemovableDevices
j'ai pu crée ces logs...
Voici un bout de log de lshal

udi = '/org/freedesktop/Hal/devices/volume_uuid_cc3e2043_98f1_4218_9222_1c21480d0b7d'
  block.device = '/dev/sdb1'  (string)
  block.is_volume = true  (bool)
  block.major = 8  (0x8)  (int)
  block.minor = 17  (0x11)  (int)
  block.storage_device = '/org/freedesktop/Hal/devices/storage_serial_0930_USB_Flash_Memory_0CD1176100C0B8DA_0_0'  (string)
  info.capabilities = {'volume', 'block'} (string list)
  info.category = 'volume'  (string)
  info.interfaces = {'org.freedesktop.Hal.Device.Volume.Crypto'} (string list)
  info.parent = '/org/freedesktop/Hal/devices/storage_serial_0930_USB_Flash_Memory_0CD1176100C0B8DA_0_0'  (string)
  info.product = 'Volume (crypto_LUKS)'  (string)
  info.udi = '/org/freedesktop/Hal/devices/volume_uuid_cc3e2043_98f1_4218_9222_1c21480d0b7d'  (string)
  linux.hotplug_type = 3  (0x3)  (int)
  linux.sysfs_path = '/sys/block/sdb/sdb1'  (string)
  org.freedesktop.Hal.Device.Volume.Crypto.method_argnames = {'passphrase', ''} (string list)
  org.freedesktop.Hal.Device.Volume.Crypto.method_execpaths = {'hal-luks-setup', 'hal-luks-teardown'} (string list)
  org.freedesktop.Hal.Device.Volume.Crypto.method_names = {'Setup', 'Teardown'} (string list)
  org.freedesktop.Hal.Device.Volume.Crypto.method_signatures = {'s', ''} (string list)
  storage.model = ''  (string)
  volume.block_size = 512  (0x200)  (int)
  volume.fstype = 'crypto_LUKS'  (string)
  volume.fsusage = 'crypto'  (string)
  volume.fsversion = ''  (string)
  volume.is_disc = false  (bool)
  volume.is_mounted = false  (bool)
  volume.is_mounted_read_only = false  (bool)
  volume.is_partition = true  (bool)
  volume.label = ''  (string)
  volume.linux.is_device_mapper = false  (bool)
  volume.mount_point = ''  (string)
  volume.num_blocks = 2008062  (0x1ea3fe)  (int)
  volume.partition.flags = {} (string list)
  volume.partition.label = ''  (string)
  volume.partition.media_size = 1030750208  (0x3d700000)  (uint64)
  volume.partition.number = 1  (0x1)  (int)
  volume.partition.scheme = 'mbr'  (string)
  volume.partition.start = 32256  (0x7e00)  (uint64)
  volume.partition.type = '0x06'  (string)
  volume.partition.uuid = ''  (string)
  volume.size = 1028127744  (0x3d47fc00)  (uint64)
  volume.uuid = 'cc3e2043-98f1-4218-9222-1c21480d0b7d'  (string)

volume.partition.label est vide hmm
un bout de log de udev...bizarre comment il se termine..

UDEV  [1180295476.091581] add      /block/sdb (block)
UDEV_LOG=0
ACTION=add
DEVPATH=/block/sdb
SUBSYSTEM=block
SEQNUM=1111
MINOR=16
MAJOR=8
PHYSDEVPATH=/devices/pci0000:00/0000:00:03.3/usb4/4-6/4-6:1.0/host5/target5:0:0/5:0:0:0
PHYSDEVBUS=scsi
PHYSDEVDRIVER=sd
UDEVD_EVENT=1
ID_VENDOR=0930
ID_MODEL=USB_Flash_Memory
ID_REVISION=5.00
ID_SERIAL=0930_USB_Flash_Memory_0CD1176100C0B8DA-0:0
ID_SERIAL_SHORT=0CD1176100C0B8DA
ID_TYPE=disk
ID_INSTANCE=0:0
ID_BUS=usb
ID_PATH=pci-0000:00:03.3-usb-0:6:1.0-scsi-0:0:0:0
DEVNAME=/dev/sdb
DEVLINKS=/dev/disk/by-id/-0930_USB_Flash_Memory_0CD1176100C0B8DA-0:0 /dev/disk/by-path/pci-0000:00:03.3-usb-0:6:1.0-scsi-0:0:0:0

UDEV  [1180295476.351568] add      /block/sdb/sdb1 (block)
UDEV_LOG=0
ACTION=add
DEVPATH=/block/sdb/sdb1
SUBSYSTEM=block
SEQNUM=1112
MINOR=17
MAJOR=8
PHYSDEVPATH=/devices/pci0000:00/0000:00:03.3/usb4/4-6/4-6:1.0/host5/target5:0:0/5:0:0:0
PHYSDEVBUS=scsi
PHYSDEVDRIVER=sd
UDEVD_EVENT=1
ID_VENDOR=0930
ID_MODEL=USB_Flash_Memory
ID_REVISION=5.00
ID_SERIAL=0930_USB_Flash_Memory_0CD1176100C0B8DA-0:0
ID_SERIAL_SHORT=0CD1176100C0B8DA
ID_TYPE=disk
ID_INSTANCE=0:0
ID_BUS=usb
ID_PATH=pci-0000:00:03.3-usb-0:6:1.0-scsi-0:0:0:0
ID_FS_USAGE=crypto
ID_FS_TYPE=crypto_LUKS
ID_FS_VERSION=
ID_FS_UUID=cc3e2043-98f1-4218-9222-1c21480d0b7d
ID_FS_UUID_SAFE=cc3e2043-98f1-4218-9222-1c21480d0b7d
ID_FS_LABEL=
ID_FS_L

Comme tu le vois volume.fsusage = 'crypto' c'est à partir de ça que gnome-volume-manager demande le LUKS passphrase.
C'est normal que le label soit vide au moment où l'on branche à chaud un peripherique crypté?

merci cep pout ton aide.

#24 Le 28/05/2007, à 08:23

cep

Re : Tuto Crypter une partition

b'hein en fait je ne suis pas sur Ubuntu...

Bonjour,

Tu utilises quelle distribution ?

Pour le reste, tout ce qui est porté sur le fs crypté ne peut être géré tant qu'il est crypté. Idem pour le fsck, etc. etc. D'ou problème de label.

Hors ligne

#25 Le 28/05/2007, à 11:32

o-o

Re : Tuto Crypter une partition

sur Archlinux mais bon linux reste linux...

D'ou problème de label.

Problème qui n'en est pas un alors c'est normal du fait qu'elle soit cryptée si j'ai bien compris...