| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| cryptographie:luks [2020/03/29 12:12] – Ajout d'un paragraphe [choix de la méthode de chiffrement] d2air | cryptographie:luks [2024/10/08 19:10] (Version actuelle) – d2air |
|---|
| |
| **Avertissement** : Avec cette méthode la partition '/boot' ne sera pas chiffrée. Un attaquant avec un accès physique à la machine pourrait placer un [[wp>fr:Keylogger|Keylogger]] ou un [[wp>fr:Trojan|Trojan]] à ce niveau là (voir [[https://security.stackexchange.com/questions/166075/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil-maid-a#tab-top|cette page]], [[https://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html|cette page]] ou encore [[http://2010.rmll.info/IMG/pdf/06_denis_article-2.pdf|celle-ci]]). | **Avertissement** : Avec cette méthode la partition '/boot' ne sera pas chiffrée. Un attaquant avec un accès physique à la machine pourrait placer un [[wp>fr:Keylogger|Keylogger]] ou un [[wp>fr:Trojan|Trojan]] à ce niveau là (voir [[https://security.stackexchange.com/questions/166075/encrypting-the-boot-partition-in-a-linux-system-can-protect-from-an-evil-maid-a#tab-top|cette page]], [[https://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html|cette page]] ou encore [[http://2010.rmll.info/IMG/pdf/06_denis_article-2.pdf|celle-ci]]). |
| | <note warning> |
| | Depuis l'introduction du nouvel installateur Subiquity, il existe un bug de reconnaissance des partitions LVM sur un disque chiffré avec LUKS qui empêche la méthode d'installation exposée ici. Au jour de la dernière édition de ce texte, le bug persiste toujours dans la version 24.10. |
| | https://bugs.launchpad.net/subiquity/+bug/2058511 |
| | </note> |
| ===== Démarrer sur une clé USB ===== | ===== Démarrer sur une clé USB ===== |
| La première étape est de démarrer sur une clé USB (réalisée avec [[https://unetbootin.github.io/|Unetbootin]]) qui contient l'image de la dernière version d'[[https://www.ubuntu.com/|Ubuntu]]. Je vous recommande de [[https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu|vérifier les signatures]] et la somme de contrôle du fichier téléchargé avec [[http://releases.ubuntu.com/19.10/SHA256SUMS|celle disponible sur le site]] d'origine. | La première étape est de démarrer sur une clé USB (réalisée avec [[https://unetbootin.github.io/|Unetbootin]]) qui contient l'image de la dernière version d'[[https://www.ubuntu.com/|Ubuntu]]. Je vous recommande de [[https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu|vérifier les signatures]] et la somme de contrôle du fichier téléchargé avec [[https://releases.ubuntu.com/22.10/SHA256SUMS|celle disponible sur le site]] d'origine. |
| <code> | <code> |
| openssl dgst -sha256 ubuntu-19.10-desktop-amd64.iso | openssl dgst -sha256 ubuntu-24.04-desktop-amd64.iso |
| </code> | </code> |
| Une fois le démarrage effectué sur la clé, la première chose à faire est de passer le clavier en français. Il faut aller dans Système -> Préférences -> Clavier puis cliquer sur l'onglet "Agencements" et ajouter "France" pour l'appliquer à l'ensemble du système. | Une fois le démarrage effectué sur la clé, la première chose à faire est de passer le clavier en français. Il faut aller dans Système -> Préférences -> Clavier puis cliquer sur l'onglet "Agencements" et ajouter "France" pour l'appliquer à l'ensemble du système. |
| {{ :cryptographie:luks-gparted-sdc.png?200|}} | {{ :cryptographie:luks-gparted-sdc.png?200|}} |
| Puis sur le disque SSD '/dev/sdc' de 128 Giga je formate une petite moitié pour le système : | Puis sur le disque SSD '/dev/sdc' de 128 Giga je formate une petite moitié pour le système : |
| * 250 Mo pour la partition UEFI | * 64 Mio pour la partition UEFI ; |
| * 48 Gio pour le système | * 48 Gio pour le système ; |
| * et je laisse le reste libre | * et je laisse le reste libre. |
| Si vous désirez installer un deuxième système juste après le premier vous devriez tout de suite ajouter une deuxième partition sur ce disque, mais il est bon de laisser un peu d'espace libre sur un SSD. | Si vous désirez installer un deuxième système juste après le premier vous devrez ajouter à la suite une deuxième partition sur ce disque, mais il est bon de laisser un peu d'espace libre sur un SSD. |
| | |
| | Si vous préférez utiliser la totalité de l'espace du disque vous choisirez ce plan de formatage : |
| | * 64 Mio pour la partition UEFI ; |
| | * 96 Gio pour le système |
| | * et je laisse le reste libre (environ 15%). |
| |
| Pour la partition EFI, elle doit posséder les caractéristiques suivantes: | Pour la partition EFI, elle doit posséder les caractéristiques suivantes: |
| * avoir entre 35 Mo et 250Mo, mais une taille de 5 Mo est suffisante si vous n'installez pas Windows, | * avoir entre 35 Mo et 250Mo, mais une taille de 5 Mo est suffisante si vous n'installez pas Windows ; |
| * être de type FAT32, | * être de type FAT32 ; |
| * avoir le drapeau BOOT (ou ESP si cette option est présente dans GPARTED), | * avoir le drapeau BOOT (ou ESP si cette option est présente dans GPARTED) ; |
| * et elle doit être située au début d'un disque partitionné en GPT. | * et elle doit être située au début d'un disque partitionné en GPT. |
| Elle sera automatiquement reconnue par l'installateur d'Ubuntu, sinon il faudra lui attribuera le point de montage /boot/efi. | Elle sera automatiquement reconnue par l'installateur d'Ubuntu, sinon il faudra lui attribuera le point de montage /boot/efi. |
| </code> | </code> |
| ==== Volumes logiques ==== | ==== Volumes logiques ==== |
| {{ :cryptographie:luks-lvm.png?200|}}Après le chiffrement de cette partition je la monte sous le nom 'lvm', je l'initialise avec la commande 'pvcreate', je crée un groupe de volumes avec pour nom 'ubuntu' et dedans j'ajoute plusieurs volumes logiques. Pour les deux premiers j'indique explicitement la taille des volumes et pour le dernier j'utilise la place restante. | {{ :cryptographie:luks-lvm.png?200|}}Après le chiffrement de cette partition je la monte sous le nom 'Ubuntu' ; je l'initialise avec la commande 'pvcreate' ; puis je l'ajoute dans le groupe de volume avec pour nom 'ubuntuvg' avec 'vgcreate' ; et dedans j'ajoute plusieurs volumes logiques. Pour les deux premiers j'indique explicitement la taille des volumes et pour le dernier j'utilise la place restante. |
| <code> | <code> |
| cryptsetup luksOpen /dev/sda2 Ubuntu | cryptsetup luksOpen /dev/sda2 Ubuntu |
| vgcreate ubuntuvg /dev/mapper/Ubuntu | vgcreate ubuntuvg /dev/mapper/Ubuntu |
| lvcreate -L 8182M -n tmp ubuntuvg | lvcreate -L 8182M -n tmp ubuntuvg |
| lvcreate -L 16384M -n var ubuntuvg | lvcreate -L 32768M -n var ubuntuvg |
| lvcreate -l 100%FREE -n home ubuntuvg | lvcreate -l 100%FREE -n home ubuntuvg |
| </code> | </code> |
| Il faut faire attention ici d'installer le programme de démarrage sur le disque SSD, là ou se trouvera la partition racine – et de /boot, ici sur l'image '/dev/sdc'. | Il faut faire attention ici d'installer le programme de démarrage sur le disque SSD, là ou se trouvera la partition racine – et de /boot, ici sur l'image '/dev/sdc'. |
| |
| | Si [[wpfr>Ubiquity_(logiciel_d'installation)|Ubiquity]] (le logicel d'installation d'Ubuntu) produit des erreurs qui empêchent l'installation, veuillez cocher la case "Formater la partition:" dans la fenêtre "Modifier la partition" de l'écran "Type d'installation". |
| ===== Après l'installation ===== | ===== Après l'installation ===== |
| Après l'installation et après avoir ouvert une session utilisateur il faut maintenant modifier le fichier '/etc/crypttab'. Avant de modifier ce fichier il faut connaître l'identifiant unique (UUID) de la partition chiffrée, pour cela dans le terminal lancer la commande blkid : | Après l'installation et après avoir ouvert une session utilisateur il faut maintenant modifier le fichier ''/etc/crypttab'' de l'installation. Avant de modifier ce fichier il faut connaître l'identifiant unique (UUID) de la partition chiffrée, pour cela dans le terminal lancer la commande blkid : |
| <code> | <code> |
| sudo blkid | sudo blkid |
| Le terminal va afficher l'ensemble des devices et leur UUID ; il faut rechercher celui qui concerne la partition chiffrée, ici /dev/sda2. | Le terminal va afficher l'ensemble des devices et leur UUID ; il faut rechercher celui qui concerne la partition chiffrée, ici /dev/sda2. |
| <code> | <code> |
| sudo nano /etc/crypttab | sudo nano /target/etc/crypttab |
| </code> | </code> |
| Dans la fenêtre qui s'ouvre taper le nom de la partition chiffrée, ici 'lvm' et coller l'UUID, et retirer les guillemets, taper 'none' puis 'luks' en séparant chaque information par une tabulation : | <note>Ubiquity monte les partitions dans /target</note> |
| | Dans la fenêtre qui s'ouvre taper le nom de la partition chiffrée, ici 'Ubuntu' et coller l'UUID, et retirer les guillemets, taper 'none' puis 'luks' en séparant chaque information par une tabulation : |
| <file - crypttab> | <file - crypttab> |
| lvm UUID=2ae(...)4d1 none luks | Ubuntu UUID=2ae(...)4d1 none luks |
| </file> | </file> |
| Si la partition est sur un disque SSD il faudra ajouter 'discard' après 'luks' séparé d'une virgule : | Si la partition est sur un disque SSD il faudra ajouter 'discard' après 'luks' séparé d'une virgule : |
| sda3-crypt UUID=2ae(...)4d1 none luks,discard | sda3-crypt UUID=2ae(...)4d1 none luks,discard |
| </file> | </file> |
| S'il est impossible de la faire après le redémarrage (pas de console root) il faudra booter sur la clef USB, monter le disque où système fut installé (ici /dev/sdd) puis éditer le fichier '/etc/crypttab'. | S'il est impossible de la faire après le redémarrage (pas de console root) il faudra booter sur la clef USB, monter le disque où le système fut installé (ici /dev/sdd) puis éditer le fichier '/etc/crypttab'. |
| | |
| Ensuite il faut modifier la configuration de Grub en commentant la ligne GRUB_HIDDEN_TIMEOUT et en retirant la commande "quiet splash" sur la ligne GRUB_CMDLINE_LINUX_DEFAULT (bien laisser les guillemets). | Ensuite il faut modifier la configuration de Grub |
| Cette commande sert à masquer les lignes de code du système au démarrage. Malheureusement cela provoque souvent un bug qui empêche alors de saisir le mot de passe pour déverrouiller la partition chiffrée. | |
| <code> | <code> |
| sudo nano /etc/default/grub | sudo nano /etc/default/grub |
| </code> | </code> |
| | en remplaçant : |
| | <file - grub> |
| | GRUB_TIMEOUT_STYLE=hidden |
| | </file> |
| | par |
| | <file - grub> |
| | GRUB_TIMEOUT_STYLE=menu |
| | </file> |
| | ou en commentant la ligne GRUB_HIDDEN_TIMEOUT pour les vieilles versions. |
| | |
| | Ensuite il faut retirer la commande "quiet splash" sur la ligne GRUB_CMDLINE_LINUX_DEFAULT (bien laisser les guillemets). Cette commande sert à masquer les lignes de code du système au démarrage. Malheureusement cela provoque souvent un bug qui empêche alors de saisir le mot de passe pour déverrouiller la partition chiffrée. |
| Une fois le fichier '/etc/default/grub' modifié il faut lancer les commandes suivantes : | Une fois le fichier '/etc/default/grub' modifié il faut lancer les commandes suivantes : |
| <code> | <code> |
d2air