[Sequanux-ml] réinstallation d'un /home chiffré.

_ karaboss at mailoo.org
Jeu 27 Avr 10:49:47 CEST 2023


Bonjour !

Merci de m'avoir confirmé que j'étais sur la bonne piste. J'ai trouvé 
également une mine d'infos pour béotien comme moi sur le site de papy-tux

(https://papy-tux.legtux.org/doc0115/index.html).

Bonne journée !

Ani7


Le 25/04/2023 à 17:43, simon.guinot at sequanux.org a écrit :
> Bonjour Ani7,
>
> On Tue, Apr 25, 2023 at 03:00:47PM +0200, _ wrote:
>> Bonjour !
>>
>> Après maintes péripéties, retour en garantie d'une nouvelle machine. Elle
>> est dotée de deux disques M2;
>>
>> nvme0n1 sur lequel j'ai réinstallé debian bullseye, avec le partitionnement
>> suivant :
>>
>>   * /dev/nvme0n1p1 (partition efi) | montage /boot/efi |drapeaux boot, esp
>>   * /dev/nvme0n1p2 (zone amorçage bios) | drapeaux bios_grub
>>   * /dev/nvme0n1p3 (swap)
>>   * /dev/nvme0n1p4 (partition racine, incluant /home) | montage /
>>
>> Je voudrais réinstaller le second disque, nvme1, qui ne comporte qu'une
>> seule partition ; le /home chiffré (LUKS) de mon ancienne machine.
> J'utilise également Debian (sid) et ma partition home est aussi chiffrée
> (et ce depuis l'installation du système). Mon installation a donc été
> faite depuis l'instaleur Debian.
>   
>> Mes recherches me conduisent à :
>>
>>   * neutraliser le /home sur nvme0 en le renommant,
> Tu peux le vider ou même le laisser tel quel. Son contenu ne sera pas
> visible car ton volume home déchiffré sera monté par dessus.
>
>>   * créer un nouveau répertoire /home  sur nvme1 (donc le déchiffrer et
>>     le monter),
>>   * en utilisant le second choix du retour de /blkid/ concernant le 2nd
>>     M2 ;
>>
>> //dev/nvme1n1p1: UUID="d941f542 (j'abrège)" TYPE="crypto_LUKS"
>> PARTUUID="0b921239-01"/
>>
>> //dev/mapper/luks-d941f542 (j'abrège):*UUID="2a0d1198 (j'abrège)"*
>> BLOCK_SIZE="4096" TYPE="ext4" /
>>
>>   * éditer /etc/fstab pour mise à jour des points de montage :
>>
>> /# /home on /dev/nvme1n1p1/
>>
>> /*/UUID=2a0d1198 (j'abrège)/*  /home  ext4 defaults   0   0 /
>>
>> La formulation est-elle correcte, l'option "defaults" suffisante ?
> Alors moi j'ai plutôt une entrée pour ma partition home chiffrée dans
> /etc/crypttab. Lorsque le système démarre ce fichier est utilisé pour
> assembler un volume virtuel (device mapper). Puis il y une entrée dans
> /etc/fstab pour monter le volume virtuel déchiffré sous /home.
>
> Voici un extrait du retour de la commande blkid sur ma machine:
>
> $ sudo blkid
> ...
> /dev/nvme0n1p4: UUID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" TYPE="crypto_LUKS" PARTUUID="yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
> ...
> /dev/mapper/chome: UUID="zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz" BLOCK_SIZE="4096" TYPE="ext4"
>
> Le contenu de /etc/crypttab:
>
> # <target name>	<source device>		<key file>	<options>
> chome UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx none luks,timeout=30,discard
>
>
> Et un extrait de /etc/fstab:
>
> UUID=zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz /home ext4 defaults 0 2
>
> Il faudra au moins que tu installes le paquet cryptsetup et que tu
> régénères ton initramfs (car c'est là que sera déchiffré ton volume
> home au boot). Tu peux utiliser la commande "sudo update-initramfs".
>
> Tu pourras aussi utiliser le script cryptdisks_start pour assembler
> ta partition chiffrée à la main (et faire des tests).
>
>> Mon souhait est de renseigner la phrase de passe au démarrage de la machine,
>> pour que le montage soit effectif après le login (protection du /home en cas
>> de vol du PC).
> Alors ce n'est pas ce que j'ai :) Au démarrage je renseigne la phrase
> de passe, ce qui crée une partition home virtuelle déchiffrée. Elle est
> ensuite montée sous /home. Tout ça se passe _avant_ le login des
> utilisateurs.
>
>> Merci de votre lecture attentive ! ;o)
> Mes indications sont peut-être incomplètes mais comme il y a pas mal de
> littérature en ligne sur le sujet tu devrais t'en sortir facilement :)
>
> Bon courage.
>
> Simon




Plus d'informations sur la liste de diffusion Sequanux-ml