[Sequanux-ml] réinstallation d'un /home chiffré.

Mar 25 Avr 17:43:42 CEST 2023

Bonjour Ani7,

On Tue, Apr 25, 2023 at 03:00:47PM +0200, _ wrote:
> Bonjour !
> 
> Après maintes péripéties, retour en garantie d'une nouvelle machine. Elle
> est dotée de deux disques M2;
> 
> nvme0n1 sur lequel j'ai réinstallé debian bullseye, avec le partitionnement
> suivant :
> 
>  * /dev/nvme0n1p1 (partition efi) | montage /boot/efi |drapeaux boot, esp
>  * /dev/nvme0n1p2 (zone amorçage bios) | drapeaux bios_grub
>  * /dev/nvme0n1p3 (swap)
>  * /dev/nvme0n1p4 (partition racine, incluant /home) | montage /
> 
> Je voudrais réinstaller le second disque, nvme1, qui ne comporte qu'une
> seule partition ; le /home chiffré (LUKS) de mon ancienne machine.

J'utilise également Debian (sid) et ma partition home est aussi chiffrée
(et ce depuis l'installation du système). Mon installation a donc été
faite depuis l'instaleur Debian.

> 
> Mes recherches me conduisent à :
> 
>  * neutraliser le /home sur nvme0 en le renommant,

Tu peux le vider ou même le laisser tel quel. Son contenu ne sera pas
visible car ton volume home déchiffré sera monté par dessus.

>  * créer un nouveau répertoire /home  sur nvme1 (donc le déchiffrer et
>    le monter),
>  * en utilisant le second choix du retour de /blkid/ concernant le 2nd
>    M2 ;
> 
> //dev/nvme1n1p1: UUID="d941f542 (j'abrège)" TYPE="crypto_LUKS"
> PARTUUID="0b921239-01"/
> 
> //dev/mapper/luks-d941f542 (j'abrège):*UUID="2a0d1198 (j'abrège)"*
> BLOCK_SIZE="4096" TYPE="ext4" /
> 
>  * éditer /etc/fstab pour mise à jour des points de montage :
> 
> /# /home on /dev/nvme1n1p1/
> 
> /*/UUID=2a0d1198 (j'abrège)/*  /home  ext4 defaults   0   0 /
> 
> La formulation est-elle correcte, l'option "defaults" suffisante ?

Alors moi j'ai plutôt une entrée pour ma partition home chiffrée dans
/etc/crypttab. Lorsque le système démarre ce fichier est utilisé pour
assembler un volume virtuel (device mapper). Puis il y une entrée dans
/etc/fstab pour monter le volume virtuel déchiffré sous /home.

Voici un extrait du retour de la commande blkid sur ma machine:

$ sudo blkid
...
/dev/nvme0n1p4: UUID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" TYPE="crypto_LUKS" PARTUUID="yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
...
/dev/mapper/chome: UUID="zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz" BLOCK_SIZE="4096" TYPE="ext4"

Le contenu de /etc/crypttab:

# <target name>	<source device>		<key file>	<options>
chome UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx none luks,timeout=30,discard

Et un extrait de /etc/fstab:

UUID=zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz /home ext4 defaults 0 2

Il faudra au moins que tu installes le paquet cryptsetup et que tu
régénères ton initramfs (car c'est là que sera déchiffré ton volume
home au boot). Tu peux utiliser la commande "sudo update-initramfs".

Tu pourras aussi utiliser le script cryptdisks_start pour assembler
ta partition chiffrée à la main (et faire des tests).

> 
> Mon souhait est de renseigner la phrase de passe au démarrage de la machine,
> pour que le montage soit effectif après le login (protection du /home en cas
> de vol du PC).

Alors ce n'est pas ce que j'ai :) Au démarrage je renseigne la phrase
de passe, ce qui crée une partition home virtuelle déchiffrée. Elle est
ensuite montée sous /home. Tout ça se passe _avant_ le login des
utilisateurs.

> 
> Merci de votre lecture attentive ! ;o)

Mes indications sont peut-être incomplètes mais comme il y a pas mal de
littérature en ligne sur le sujet tu devrais t'en sortir facilement :)

Bon courage.

Simon
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 833 octets
Desc: non disponible
URL: <http://vm3.sequanux.org/pipermail/sequanux-ml/attachments/20230425/400b732e/attachment.sig>