Comment préconfigurer le cryptage de la partition racine?
J'ai 3 partitions: EFI (/boot/efi), démarrage (/boot) et racine (/). Je veux chiffrer juste/. Je peux le faire manuellement via l'installateur, mais je veux le préconfigurer.
Comment je le définis? Ma recette (non cryptée) ressemble à celle ci-dessous. C’est une sorte de méli-mélo de suggestions pour les partitions de système EFI que j’ai trouvées (sans guide clair).
boot-root ::
100 100 100 fat32
$primary
$iflabel{ gpt }
$reusemethod( }
use_filesystem{ } filesystem{ vfat }
method{ efi } format{ }
mountpoint{ /boot/efi }
.
300 300 300 ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ /boot }
.
100% 3000 100% ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ / }
.
Comment faire de sda3 une partition physique pour le chiffrement LUKS et d'avoir ensuite un système de fichiers en plus?
MISE À JOUR:
J'ai découvert que je pouvais configurer la partition pour qu'elle soit cryptée comme ci-dessous, mais il y a toujours 3 problèmes:
- J'ai toujours besoin de créer et d'activer les volumes chiffrés sur la partition choisie.
- J'ai toujours besoin de définir le système de fichiers ext4 correct sur le volume chiffré après l'avoir créé et activé.
- La recette ne sélectionne pas le type de cryptage sur
dm-cryptrequis pour la création et l'activation des volumes cryptés.
Toujours en difficulté
boot-root ::
100 100 100 fat32
$primary
$iflabel{ gpt }
$reusemethod( }
use_filesystem{ } filesystem{ vfat }
method{ efi } format{ }
mountpoint{ /boot/efi }
.
300 300 300 ext4
use_filesystem{ } filesystem{ ext4 }
method{ format } format{ }
mountpoint{ /boot }
.
100% 3000 100% ext4
method{ crypto } format{ }
.
Dans un premier temps, ouvrez un terminal root:
Sudo -i
Puis remplissez la partition, qui devrait être chiffrée, avec des données aléatoires en utilisant une commande comme celle-ci:
openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > /dev/sdxy
Vous devez remplacer sdxy par la partition qui sera cryptée. Puis tapez
cryptsetup luksFormat --cipher twofish-xts-plain64 --key-size 512 --hash sha512 --iter-time 2000 /dev/sdxy
chiffrer la partition sdxy. Ouvrez le volume et nommez-le root:
cryptsetup luksOpen /dev/sdxy root
Utilisez cette commande pour créer un système de fichiers ext4 à l'intérieur:
mkfs.ext4 /dev/mapper/root
Ensuite, vous pouvez démarrer le programme d'installation. Choisissez "Quelque chose d'autre" lorsqu'on vous demande ce que vous voulez faire. Ensuite, choisissez les points de montage pour toutes vos partitions non chiffrées. Pour votre partition root, sélectionnez /dev/mapper/root, cliquez sur "Modifier". Sélectionnez ensuite ext4 pour le type de système de fichiers et définissez le point de montage sur /. Cliquez ensuite sur "Installer maintenant" et installez Ubuntu normalement.
Une fois l'installation terminée, cliquez sur "Continuer à tester". Ouvrez un terminal et tapez:
Sudo -i
cd /mnt
mkdir root
mount /dev/mapper/root root
mount /dev/sdyz root/boot
sdyz devrait être remplacé par votre partition boot. Ensuite, tapez:
chroot root
mount -t proc proc /proc
mount -t sysfs sys /sys
nano /etc/crypttab
Ouvrez un deuxième terminal et tapez Sudo blkid. Recherchez l'UUID pour root (celui qui dit crypto_luks à la fin) et collez-le dans /etc/crypttab. Ensuite, le fichier /etc/crypttab devrait ressembler à ceci:
root UUID=d68911dd-172a-4608-86d4-084eb72f409c none luks
Fermer le fichier avec Ctrl+x, y et Enter. Tapez nano /etc/fstab dans le terminal et vérifiez si tout se passe bien (par exemple, les UUID).
Enfin, quittez l’environnement chroot et tapez:
cryptsetup luksHeaderBackup /dev/sdxy --header-backup-file /root/root.img
Cela place une image de l'en-tête de la partition chiffrée dans le dossier /root et le nomme root.img. Déplacez ensuite l'image sur un lecteur externe (en cas d'oubli du mot de passe). Vous pouvez maintenant redémarrer votre Ubuntu nouvellement installé.
Source: http://thesimplecomputer.info/full-disk-encryption-with-ubunt