Comment puis-je me rajouter dans le groupe Sudo dans le disque dur crypté de 16.04 avec des stratégies de sécurité strictes?

Je connais les discussions Comment puis-je me rajouter en tant qu'utilisateur Sudo? , Montage de la partition LUKS chiffrée à partir de Live CD , ... Ce fil explique comment ajouter un Sudo utilisateur sans racine et autres règles de sécurité strictes en place dans un environnement chiffré: chiffrement intégral, chiffrement du dossier de départ et écrasement de l'espace vide, mais vous connaissez le mot de passe du chiffrement. Néanmoins, le montage d’un tel périphérique crypté n’est pas si simple. Ce n'est pas en double!

Mon disque entier est crypté. Il contient Ubuntu 16.04. Je connais le fil Comment puis-je me rajouter en tant qu'utilisateur Sudo? mais ce n'est pas pour le chiffrement de disque entier. J'ai fait Sudo usermod -G staff masi par accident (option manquée -a là-bas) et je me suis déconnecté. Cela m'a enlevé de tous les autres groupes que staff. Pour revenir aux valeurs par défaut, je devrais courir

Sudo usermod -a -G  adm cdrom Sudo dip plugdev lpadmin sambashare masi

Cependant, je ne fais plus partie du groupe Sudo, je ne peux donc pas le lancer. Vous ne pouvez pas accéder à Grub> Mode de secours d'Ubuntu dans Grub> Options avancées, car le cryptage est effectué sur le disque entier; aucune racine n'est activée; décaler les étapes de chiffrement avant/après sans succès; entrée non réussie en mode Récupération comme décrit ici ; pas de démarrage Grub après la saisie du mot de passe lors de l'étape de chiffrement; vous ne pouvez pas modifier le /etc/default/grub en lecture seule, vous ne pouvez donc pas y ajouter GRUB_CMDLINE_LINUX_DEFAULT="quiet splash single" pour permettre à Grub de fonctionner. Donc, vous devez avoir Ubuntu en direct avec ecryptfs-utils schroot .

Tentative de persistance dans Ubuntu 16.04

Créez une clé USB persistante Live Ubuntu ici . Je fais ce qui suit motivé par les sources ici et ici où aucune solution prête n'existe

> Sudo apt-get update
...
> Sudo apt-get install lvm2 cryptsetup
...
> Sudo modprobe dm-crypt
> Sudo fdisk -l % find the appropriate disc
Sudo: unable to resolve Host masi-CM6340: Connection refused
...
> Sudo cryptsetup luksOpen /dev/sda5 myvolume % my case sda5 i.e. linux, not extended
Sudo: unable to resolve Host masi-CM6340: Connection refused
Enter passphrase for /dev/sda5: % which I enter successfully
>
> Sudo mkdir /media/test
> 
% Sudo vgscan not needed to activate the sockets
> Sudo vgchange -ay % will make volumes active 
Sudo: unable to resolve Host masi-CM6340: Connection refused
2 logical volume(s) in volume group "ubuntu-vg" now active
% created also /dev/mapper/myvolume which can be mounted
>
> Sudo mount /dev/sda5/home /media/test
mount: special device /dev/sda5/home does not exist (a path prefix is not a directory) 
> 
> % JayEye's 2nd proposal
> Sudo mount /dev/mapper/myvolume /media/test
mount: unknown filesystem type 'LVM2_member'  
%
% chroot to the mounted device, add masi back to sudoers and work done

Sortie de Sudo parted -l /dev/mapper/myvolume [JayEye]

Model: ATA WDC WD64000AAKS-7 (scsi)
Disk /dev/sda: 640 GB
Sector size (logical/physical): 512B/512B
Partition table: msdos
Disk Flags: 

Number Start End Size Type File system Flags
1 1049kB 512MB primary ext2 boot
2 513MB 640GB extended
5 513MB 640GB logical

Model: Kingston HyperX Fury 3.0 (scsi)
Disk /dev/sdb: 31.5GB
Sector size (logical/physical): 512B/512B
Partition table: msdos
Disk Flags

Number Start End Size Type File system Flags
1 27.3MB 30.4GB 30.4GB primary ext4 boot
2 30.4GB 31.5GB 1049MB primary linux-swap(v1)

Model: Linux device-mapper (linear) (dm)
Disk /dev/mapper/ubuntu--vg-swap_1: 34.3GB
Sector size (logical/physical): 512B/512B
Partition table: loop
Disk Flags: 

Number Start End Size Type File system Flags
1 0.00B 34.3GB 34.3GB linux-swap(v1)

Model: Linux device-mapper (linear) (dm)
Disk /dev/mapper/ubuntu--vg-root: 605GB
Sector size (logical/physical): 512B/512B
Partition table: loop
Disk Flags: 

Number Start End Size Type File system Flags
1 0.00B 605GB 605GB ex4

Error: /dev/mappper/myvolume: unrecognized disk label
Model: Linux device-mapper (crypt) (dm)
Disk /dev/mapper/myvolume: 640GB
Sector size (logical/physical): 512B/512B
Partition Table: unknown
Disk Flags:

Je lance Sudo mount /dev/mapper/myvolume--vg-root /mnt [JayEye] et reçois

mount: special device /dev/mapper/myvolume--vg-root does not exist

J'exécute Sudo mount /dev/mapper/ubuntu--vg-root /mnt [DavidFoester] et j'obtiens la sortie suivante qui peut toujours indiquer un montage réussi

Sudo: impossible de résoudre l'hôte masi-CM6340: connexion refusée

qui est un avertissement que je reçois trois fois auparavant dans le script ci-dessus. J'accède avec succès à la première étape du périphérique chiffré par vi /mnt/home/masi/README.txt

THIS DIRECTORY HAS BEEN UNMOUNTED TO PROTECT YOUR DATA. 

From the graphical desktop, click on: 
 "Access Your Private Data"

From the command line, run: 
 ecryptfs-mount-private

où Le fichier d'accès à vos données privées se trouve dans /mnt/home/masi/Access-Your-Private-Data.desktop, mais le fait de cliquer dessus ne génère aucune sortie d'interface graphique (l'icône démarre mais se ferme automatiquement). Je peux aussi trouver ecryptfs-mount-private dans Terminal, mais il n'y a pas de page de manuel/d'aide. Je le lance dans le dossier, et je reçois

ERROR: Encrypted private directory is not setup properly

Comment exécuter ecryptfs-mount-private avec succès?

Boot to the System - Proposition de David Foerster (3) sans Live System

Mon système n'a pas de racine activée. Je démarre sur Grub> Options avancées> Mode de récupération. Je lance Sudo adduser masi Sudo mais j'obtiens le code d'erreur 1

Adding user 'masi' to group 'Sudo' ...
Adding user masi to group Sudo
gpasswd: cannot lock /etc/group; try again later
adduser: '/usr/bin/gpasswd -a masi Sudo' returned error code 1. Exiting. 

Redémarrage, connexion à nouveau dans le système, je fais Sudo echo "masi" et je reçois masi n'est pas dans le fichier sudoers. ... .

Je pense que le problème ici est qu’il n’ya ni monture ni chroot.

Tentative de système en direct Ubuntu 16.04

Je ne peux pas ouvrir le chiffrement dans le système Live normal. Je cours sans succès

> Sudo modprobe dm-crypt
> Sudo fdisk -l % find the appropriate disc
...
Device Boot Start End Sectors Size Id Type
/dev/sdf1 ... 449.9G ... Linux 
/dev/sdf2 ... 15.9G ... Extended
/dev/sdf5 ... 15.9G ... Linux swap / Solaris
> Sudo cryptsetup luksOpen /dev/sdf1 myvolume 
Device /dev/sdf1 is not a valid LUKS device
> Sudo cryptsetup luksOpen /dev/sdf2 myvolume  
Device /dev/sdf2 is not a valid LUKS device

Je fais toujours ce qui suit mais notez que l'étape ci-dessus doit être complétée avec succès avant de continuer

Sudo fdisk -l % find the correct sector
ubuntu@ubuntu:~$ Sudo mount /dev/sdf1 /mnt
ubuntu@ubuntu:~$ Sudo chroot /mnt
Sudo adduser masi Sudo

Sortie

Sudo: unable to resolve Host ubuntu: Connection refused
The user `masi' is already a member of `Sudo'.

TODO Je pense que vous devez entrer la phrase secrète pour le cryptage avant de le faire. Cependant, cela ne m’a jamais été demandé.

Comment pouvez-vous vous rajouter dans le groupe Sudo dans le disque dur crypté de 16.04 avec des stratégies de sécurité strictes?