Différences

Ci-dessous, les différences entre deux révisions de la page.

--- cryptographie:luks2 [2018/12/15 19:46] – Chiffrer un disque avec LUKS 2 d2air
+++ cryptographie:luks2 [2020/03/28 20:21] (Version actuelle) – [Chiffrement LUKS] d2air
@@ Ligne 3: / Ligne 3: @@
 ===== Chiffrement, volumes logiques et système de fichiers  =====
 ==== Chiffrement LUKS  ====
+{{ :cryptographie:luks-cryptsetup.png?200|}}
 Je lance un terminal et je tape les commandes :
 <code>
@@ Ligne 11: / Ligne 12: @@
 </code>
 J’utilise les paramètres permettant le plus au niveau de chiffrement possible.
-==== Volumes logiques  ====
+==== Volumes logiques ====
-Après le chiffrement de ce disque je la monte sous le nom “shareddisk”, je l’initialise avec la commande “pvcreate”, je crée un groupe de volumes avec pour nom “shared” et dedans j’ajoute plusieurs volumes logiques. Pour les deux premiers j’indique explicitement la taille des volumes et pour le dernier j’utilise la place restante.
+Après le chiffrement de ce disque je la monte sous le nom “shareddisk”, je l’initialise avec la commande ''pvcreate'', je crée un groupe de volumes avec pour nom “shared” et dedans j’ajoute plusieurs volumes logiques. Pour les deux premiers j’indique explicitement la taille des volumes et pour le dernier j’utilise la place restante.
 <code>
-cryptsetup luksOpen /dev/sda2 shareddisk
+cryptsetup luksOpen /dev/sdd shareddisk
 pvcreate /dev/mapper/sharerdisk
 vgcreate shared /dev/mapper/shareddisk
@@ Ligne 20: / Ligne 21: @@
 lvcreate -l 100%FREE -n samba shared
 </code>
-==== Système de fichier  ====
+==== Vérifier le chiffrement ====
+La commande ''cryptsetup status /dev/mapper/shareddisk'' permet de vérifier le résultat des paramètres de chiffrement du disque.
+<code>
+cryptsetup status /dev/mapper/shareddisk
+/dev/mapper/galaad is active and is in use.
+  type:    LUKS2
+  cipher:  aes-xts-plain64
+  keysize: 1024 bits
+  key location: keyring
+  integrity: hmac(sha512)
+  integrity keysize: 512 bits
+  device:  /dev/sdd
+  sector size:  512
+  offset:  0 sectors
+  size:    1111220968 sectors
+  mode:    read/write
+</code>
+==== Système de fichiers ====
 Enfin il faut créer les systèmes des fichiers.
 <code>
@@ Ligne 26: / Ligne 44: @@
 mkfs.ext4 /dev/mapper/shared-samba
 </code>
+===== Ouverture du disque au démarrage =====
+Toujours en ''root'' il faut maintenant modifier le fichier ''/etc/crypttab''. Avant de modifier ce fichier il faut connaître l’identifiant unique (UUID) de la partition chiffrée, pour cela dans le terminal nous lançons la commande ''blkid'' :
+<code>
+blkid
+</code>
+Le terminal va afficher l’ensemble des devices et leur UUID ; il faut rechercher celui qui concerne la partition chiffrée, ici ''/dev/sdd''.
+<code>
+vi /etc/crypttab
+</code>
+Dans la fenêtre qui s’ouvre taper le nom de la partition chiffrée, ici “shareddisk” et coller l’UUID, et retirer les guillemets, taper “none” puis “luks” en séparant chaque information par une tabulation :
+<file  - crypttab>
+lvm UUID=2ae(...)4d1 none luks
+</file>
+Si la partition est sur un disque SSD il faudra ajouter “discard” après “luks” séparé d’une virgule :
+<file  - crypttab>
+sda3-crypt   UUID=2ae(...)4d1   none  luks,discard
+</file>
+===== Sauvegarde =====
+Si l’entête du conteneur [[wp>fr:LUKS|LUKS]] se corrompt, ceci rendra la partition inutilisable. Pour sauvegarder l’entête d’un conteneur il faut utiliser la commande :
+<code>
+cryptsetup luksHeaderBackup --header-backup-file luks-header-shareddisk-backup.txt /dev/sdd
+</code>
+Puis pour restaurer cette entête :
+<code>
+cryptsetup luksHeaderRestore --header-backup-file uks-header-shareddisk-backup.txt /dev/sdd
+</code>
+===== Références =====
+  *[[https://fossies.org/linux/cryptsetup/docs/v2.0.0-ReleaseNotes|Cryptsetup 2.0.0 Release Notes]] ;