Ubuntu-fr

geole

Re : [Résolu] Chiffrer un disque secondaire

Bonsoir
Le plus simple:
    Tu lances l'application Disques. Tu détruis la partition EXT4 et tu fabriques une partition LUKS  C'est à ce niveau que tu mettras la phrase de codification. Lorsque la partition sera montée, tu fabriqueras à l'intérieur ta partition EXT4.

Bonsoir

Je pense t'avoir dit une bêtise.  Après vérification  la solution est certainement proche de celle-ci.

Le plus simple:
    Tu lances l'application Disques. Tu détruis la partition EXT4 et tu fabriques une partition LUKS.  C'est à ce niveau que tu mettras la phrase de codification   et le nom que tu veux mettre pour la reconnaitre (évites les accents et les caractères spéciaux).
   Lorsque la partition est finie de créer, tu te positionnes sur la partition "fille" et tu la montes.
Elle  t'appartiendra et sera visible sous le nom /media/$USER/LeNomAffecté

A chaque démarrage, tu devras penser à la monter pour y  accéder. Pour l'instant je n'ai pas trouvé comment faire un montage automatique. Ce n'est probablement  pas prévu.

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

chpnp

Re : [Résolu] Chiffrer un disque secondaire

Hello.

Normalement j'utilise cryptsetup tel que décrit ici

https://doc.ubuntu-fr.org/cryptsetup

Et je n'ai pas souvenir que ce soit particulièrement lent.

kamaris

Re : [Résolu] Chiffrer un disque secondaire

A chaque démarrage, tu devras penser à la monter pour y  accéder. Pour l'instant je n'ai pas trouvé comment faire un montage automatique. Ce n'est probablement  pas prévu.

Si la question est bien de savoir comment monter au démarrage une partition ext4 dans un conteneur luks, alors voici la réponse : la commande lsblk doit renvoyer quelque chose du type

lsblk -o name,uuid,mountpoint
├─sdX UUID-luks
│ └─sdX-crypt UUID-ext4

où sdX est le conteneur luks avec son UUID, et sdX-crypt la partition ext4 avec son UUID, différent du premier (le X est bien sûr à remplacer, et sdX-crypt est le nom par défaut donné à la partition ext4).

Il faut alors renseigner d'une part le fichier /etc/crypttab avec l'UUID-luks, et d'autre part /etc/fstab avec l'UUID-ext4. Comme Jarodd a un système chiffré, il doit déjà avoir un fichier /etc/crypttab, avec une ligne pour le conteneur luks système, du type

sdX-crypt UUID=UUID-luks none luks,discard

Il est possible dans un premier temps de dupliquer cette ligne, en remplaçant sdX-crypt et UUID-luks par les valeurs renvoyées par lsblk ci-dessus. Ça demandera un nouveau mot de passe lors du boot, celui de la partition chiffrée nouvellement créée, en plus du mot de passe de la partition système.

Sinon il existe d'autres options pour renseigner cette ligne, cf. man crypttab, dont la possibilité de stocker le mot de passe de la partition nouvellement créée sur la partition système, par exemple sous /root, afin de la déchiffrer automatiquement au démarrage :

sdX-crypt UUID=UUID-luks /root/mdp luks

où /root/mdp est le fichier texte contenant le mot de passe de déchiffrement.

Concernant /etc/fstab c'est du classique, exactement comme pour une partition non chiffrée (en fait la partition n'est plus chiffrée au moment où on vient lire ce fichier).

geole

Re : [Résolu] Chiffrer un disque secondaire

Bonjour
J'ai écris un paragraphe dans la documentation https://doc.ubuntu-fr.org/gnome-disk-ut … n_chiffree
Cela devrait être un bon début pour fabriquer une partition et la monter   à la demande  en mode graphique assez facilement.

Pour le faire en ligne de commande au moment du besoin, cela devrait être  ce style de commande.

sudo cryptsetup open /dev/sda1 chiffre

Cette commande va demander à l'utilisateur de frapper  la phrase de décodification.

Il est souhaitable de fabriquer un point de montage aisément accessible.

mkdir /home/$USER/CHIFFRE

  Cela va permettre de monter la partition chez l'utilisateur

sudo  mount /dev/mapper/chiffre   /home/$USER/CHIFFRE

L'idée d'un montage préventif en automatique peut être un plus.     https://doc.ubuntu-fr.org/cryptsetup paragraphe 2.4.1

Merci kamaris pour ton intervention
1) Renseigner le fichier /etc/crypttab  avec la partition.   exemple

 # <target name> <source device>         <key file>      <options>
chiffre /dev/sda1  none    luks,discard 

Au moment du boot, il y aura une grille qui s'affichera,  Elle permet de saisir la phrase de décodification si on la connaît. (Contexte multi-utilisateur).
Deux erreurs de frappe au maxima sont permises.   A la troisième erreur, la partition ne sera pas montée.
2) Renseigner classiquement le fichier /etc/fstab en ajoutant une ligne de ce style

/dev/mapper/chiffre        /home/Jarodd/CHIFFRE   ext4    defaults,nofail       0       1

Si la partition  luks n'a pas été montée, on aura de nouveau une seule tentative de décodification et la partition de données ne sera pas accessible.

Ajout: Attention, il y a un gros piège lorsque l'utilisateur supprime les options quiet spash   pour booter.  Le boot est alors tracé, La demande de saisie de la phrase de décodification est listée mais il n'y a pas attente de la saisie de la phrase de décodification.   Le boot continue de tracer en affichant plein de lignes.  Au final, il semble que plus rien de se passe..... C'est normal, il attend attend la réponse. Le plus simple est de cliquer sur la touche Entrée afin qu'il repose la question.

Dernière modification par geole (Le 08/07/2019, à 15:08)

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Jarodd

Re : [Résolu] Chiffrer un disque secondaire

Bonjour,

Merci pour tous vos conseils.

J'étais absent ce week-end, je découvre vos messages à l'instant. Et comme je n'ai pas reçu de notif mail, j'ai cru qu'il n'y avait pas de réponse donc j'ai réinstallé Ubuntu ce matin
Donc il faut que je réinstalle aussi tous les programmes, et ensuite je reviendrai sur cette histoire de 2e disque

---

Ubuntu 22.04.3 LTS (64 bits)

Jarodd

Re : [Résolu] Chiffrer un disque secondaire

Une question bête : faut-il utiliser Disques au préalable pour créer la partition ? Ou bien je démarre directement avec les commandes ? (et dans ce cas c'est cryptsetup qui formate la partition)

---

Ubuntu 22.04.3 LTS (64 bits)

geole

Re : [Résolu] Chiffrer un disque secondaire

Bonjour
Il me semble que l'application Disques est assez bonne pour presque  tout faire en mode graphique. Mais si tu es plus à l'aise en ligne de commande.
Il n'y a que le fichier /etc/crypttab qu'elle ne sait pas mettre à jour.
Elle met même à jour le fichier /etc/fstab si on le désire

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Jarodd

Re : [Résolu] Chiffrer un disque secondaire

Bonjour,

J'ai refait la manipulation depuis le début :
- chiffrement du disque avec Disques
- redémarrage
- création d'une partition ext4 avec Gparted

Pour l'instant je laisse tomber le nom de la partition, ainsi que le montage automatique. Cela ne me dérange pas de mettre mon mot de passe. Il faudra juste que je fasse gaffe quand je vais lancer des scripts de sauvegarde vers cette partition chiffrée

Bref, un grand merci pour votre aide !

---

Ubuntu 22.04.3 LTS (64 bits)

Iutech

Re : [Résolu] Chiffrer un disque secondaire

Bonjour à tous.
J'ai un problème similaire (j'ai chiffré un disque HDD sur Focal Fossa en plus du SSD système) mais pas tout à fait identique (je veux qu'il soit monté automatiquement, et que les utilisateurs appartenant à un groupe dechiffreurs puissent y accéder en lecture-écriture).

Ce thread est pour l'instant l'explication la plus claire que j'ai trouvée après plusieurs heures de tentatives infructueuses, donc merci aux intervenants.

Mais je vois deux instructions contradictoires :

(...) la commande lsblk doit renvoyer quelque chose du type

lsblk -o name,uuid,mountpoint
├─sdX UUID-luks
│ └─sdX-crypt UUID-ext4

où sdX est le conteneur luks avec son UUID, et sdX-crypt la partition ext4 avec son UUID, différent du premier (le X est bien sûr à remplacer, et sdX-crypt est le nom par défaut donné à la partition ext4).

Il faut alors renseigner d'une part le fichier /etc/crypttab avec l'UUID-luks, et d'autre part /etc/fstab avec l'UUID-ext4. (....)

sdX-crypt UUID=UUID-luks none luks,discard

1) Renseigner le fichier /etc/crypttab  avec la partition.   exemple

 # <target name> <source device>         <key file>      <options>
chiffre /dev/sda1  none    luks,discard 

Donc kamaris dit de mettre l'UUID-luks dans le /etc/crypttab, tandis que geole dit de mettre l'UUID partition dans ce même /etc/crypttab ?
Est-ce parce que kamaris a chiffré tout le disque et partitionné ensuite tandis que geole a partitionné d'abord et n'a chiffré que la partition (ce qui expliquerait que leurs deux solutions divergent) ?
Ou bien un des deux s'est-il trompé ?
Et dans ce cas, qui a raison ?

(je tenterais de déchiffrer automatiquement avec une clé déposée sur le SSD chiffré plus tard, j'aimerais déjà que ça marche avec le cas simple)

Dernière modification par Iutech (Le 24/01/2022, à 17:10)

geole

Re : [Résolu] Chiffrer un disque secondaire

Bonjour
Je conseille de chiffrer la partition,  J'ai peut-être oublier de préciser pour le /fstab

---

Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

Iutech

Re : [Résolu] Chiffrer un disque secondaire

Merci, c'est donc bien ce qui explique la différence entre vos propositions ?

La recommandation ordinaire est de chiffrer tout le disque, pour ne leaker aucune métadonnée, mais c'est plus important lorsque le disque contient plusieurs partitions.

Iutech

Re : [Résolu] Chiffrer un disque secondaire

Bon, alors résultat des courses, le disque HDD chiffré est monté sur /Data mais (d'après lsblk) de type crypt.
Le boot ne m'a demandé qu'une seule fois le mot de passe LUKS, j'imagine pour le SSD.

Dans /Data il y le fichier que j'y avais mis au démarrage précédent, lisible; et également un répertoire lost+found.

Est-ce qu'il est possible que ce fichier soit dans /Data mais physiquement sur le SSD ?

J'ai l'impression que quelque chose a merdouillé mais je ne sais pas quoi...

Iutech

Re : [Résolu] Chiffrer un disque secondaire

Bon ben ça marche.
Le problème était bien avec quiet splash dans grub, mais l'inverse de ce que dit Geol : c'est uniquement quand je les ai enlevées que l'ordinateur a bien voulu me demander la deuxième phrase de passe (celle du second disque donc) et a donc déchiffré et monté le disque.

kamaris

Re : [Résolu] Chiffrer un disque secondaire

Donc kamaris dit de mettre l'UUID-luks dans le /etc/crypttab, tandis que geole dit de mettre l'UUID partition dans ce même /etc/crypttab ?

Non : geole dit de mettre le chemin vers le conteneur luks, tandis que je dis de mettre l'UUID de ce même conteneur luks.
Les deux sont possibles :

       The /etc/crypttab file describes encrypted block devices that are set up during system boot.
       […]
       Each line is in the form

           volume-name encrypted-device key-file options
       […]
       The four fields of /etc/crypttab are defined as follows:

        1. The first field contains the name of the resulting volume with decrypted data; its block device is set up below /dev/mapper/.

        2. The second field contains a path to the underlying block device or file, or a specification of a block device via "UUID=" followed by the UUID.
        […]

Mais il faut que dans les deux cas, il s'agisse bien du conteneur luks, et non pas de la partition ext4 qu'il contient.
Cette dernière est à renseigner dans /etc/fstab, avec d'ailleurs la même règle que ci-dessus (cette règle vient de fstab historiquement).
L'avantage d'utiliser l'UUID, c'est que si le nom, et donc le chemin du conteneur (ou de la partition) changent, la commande de montage reste valide.

Iutech

Re : [Résolu] Chiffrer un disque secondaire

Mais il faut que dans les deux cas, il s'agisse bien du conteneur luks, et non pas de la partition ext4 qu'il contient.
Cette dernière est à renseigner dans /etc/fstab, avec d'ailleurs la même règle que ci-dessus (cette règle vient de fstab historiquement).
L'avantage d'utiliser l'UUID, c'est que si le nom, et donc le chemin du conteneur (ou de la partition) changent, la commande de montage reste valide.

Merci d'avoir répondu, parce que si ça a marché (je crois ?) sur la première machine, sur la deuxième ça ne marche pas...

En fait j'ai trois et non deux résultats pour ce disque :

sda            1************************  
└─Crypt    2*********************
  └─vg1-data   3*******************  

Ceci après un luksOpen, si je ne fais pas le luksOpen j'ai juste "sda  1**************".

J'avais mis l'UUID 2********* dans le /etc/crypttab, j'aurais dû mettre le 1****** j'imagine (puisque le 2******** n'est pas accessible avant d'être déchiffré) ?

N'ayant accès à la machine qu'à distance pour l'instant, je ne peux pas tester la correction dans l'immédiat...

kamaris

Re : [Résolu] Chiffrer un disque secondaire

J'avais mis l'UUID 2********* dans le /etc/crypttab, j'aurais dû mettre le 1****** j'imagine (puisque le 2******** n'est pas accessible avant d'être déchiffré) ?

Oui, ça peut servir de critère quand on ne sait pas trop.
La différence par rapport à l'exemple que je donnais plus haut, c'est que là tu as un groupe de volumes à la place de la partition ext4, donc ça rajoute une couche.
Je ne pense pas que l'UUID 2 soit à utiliser où que ce soit d'ailleurs, ce serait plutôt l'UUID 3 et les éventuels autres UUIDs de volumes que contient le groupe.
À vérifier, mais de toutes façons là ça n'est plus un problème de chiffrement, c'est un problème de fstab traditionnel.

Iutech

Re : [Résolu] Chiffrer un disque secondaire

En effet avec le bon UUID dans /etc/crypttab et dans /etc/fstab (1*** et 3*** respectivement donc) cela marche, merci !

Geole ta réponse m'était-elle adressée ? Je n'ai pas compris de quoi tu parles.