[Sequanux-ml] réinstallation d'un /home chiffré.

- karaboss at mailoo.org
Mar 2 Mai 15:10:22 CEST 2023 

Bonjour

Je ne transfère rien, la manip consistait justement à récupérer l'usage 
et les données de ce 2nd disque comme /home.

Je me suis sûrement mal exprimé ; ma machine précédente comportait déjà 
ces deux disques (je les ai conservés), il s'agissait de retrouver ma 
configuration sur une machine identique et neuve (qui a été remplacée 
sous garantie). Les divers mots de passe et passphrases ne sont pas changés.

Je ramais car mon attention s'était focalisée uniquement sur la 
modification du fichier /etc/fstab, sur le fait d'avoir 2 UUID sur un 
même disque (le disque, et la partition chiffrée) et surtout j'ignorais 
l'existence du fichier /etc/crypttab.

Les encouragements de Simon m'ont poussés dans la bonne direction. Merci 
à lui !

En plein "trust mode",  j'ai même "migré" depuis vers unstable. ;o)


Le 01/05/2023 à 20:55, robert gilles a écrit :
> Bonjour ani7,
>
> Apres les diverses manipulations décrites plus bas, comment vas tu 
> faire pour procéder au transfert de données de ton ancien disque(le 
> /home chiffré (LUKS) de ton ancienne machine ?)au nouveau (m2)?
>
> Librement
>
> gilles
>
> Le 25/04/2023 à 17:43, simon.guinot at sequanux.org a écrit :
>> Bonjour Ani7,
>>
>> On Tue, Apr 25, 2023 at 03:00:47PM +0200, _ wrote:
>>> Bonjour !
>>> Après maintes péripéties, retour en garantie d'une nouvelle machine. 
>>> Elle
>>> est dotée de deux disques M2;
>>>
>>> nvme0n1 sur lequel j'ai réinstallé debian bullseye, avec le 
>>> partitionnement
>>> suivant :
>>>
>>>   * /dev/nvme0n1p1 (partition efi) | montage /boot/efi |drapeaux 
>>> boot, esp
>>>   * /dev/nvme0n1p2 (zone amorçage bios) | drapeaux bios_grub
>>>   * /dev/nvme0n1p3 (swap)
>>>   * /dev/nvme0n1p4 (partition racine, incluant /home) | montage /
>>>
>>> Je voudrais réinstaller le second disque, nvme1, qui ne comporte qu'une
>>> seule partition ; le /home chiffré (LUKS) de mon ancienne machine.
>> J'utilise également Debian (sid) et ma partition home est aussi chiffrée
>> (et ce depuis l'installation du système). Mon installation a donc été
>> faite depuis l'instaleur Debian.
>>> Mes recherches me conduisent à :
>>>
>>>   * neutraliser le /home sur nvme0 en le renommant,
>> Tu peux le vider ou même le laisser tel quel. Son contenu ne sera pas
>> visible car ton volume home déchiffré sera monté par dessus.
>>
>>>   * créer un nouveau répertoire /home sur nvme1 (donc le déchiffrer et
>>>     le monter),
>>>   * en utilisant le second choix du retour de /blkid/ concernant le 2nd
>>>     M2 ;
>>>
>>> //dev/nvme1n1p1: UUID="d941f542 (j'abrège)" TYPE="crypto_LUKS"
>>> PARTUUID="0b921239-01"/
>>>
>>> //dev/mapper/luks-d941f542 (j'abrège):*UUID="2a0d1198 (j'abrège)"*
>>> BLOCK_SIZE="4096" TYPE="ext4" /
>>>
>>>   * éditer /etc/fstab pour mise à jour des points de montage :
>>>
>>> /# /home on /dev/nvme1n1p1/
>>>
>>> /*/UUID=2a0d1198 (j'abrège)/*  /home  ext4 defaults   0   0 /
>>>
>>> La formulation est-elle correcte, l'option "defaults" suffisante ?
>> Alors moi j'ai plutôt une entrée pour ma partition home chiffrée dans
>> /etc/crypttab. Lorsque le système démarre ce fichier est utilisé pour
>> assembler un volume virtuel (device mapper). Puis il y une entrée dans
>> /etc/fstab pour monter le volume virtuel déchiffré sous /home.
>>
>> Voici un extrait du retour de la commande blkid sur ma machine:
>>
>> $ sudo blkid
>> ...
>> /dev/nvme0n1p4: UUID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
>> TYPE="crypto_LUKS" PARTUUID="yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
>> ...
>> /dev/mapper/chome: UUID="zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz" 
>> BLOCK_SIZE="4096" TYPE="ext4"
>>
>> Le contenu de /etc/crypttab:
>>
>> # <target name>    <source device>        <key file>    <options>
>> chome UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx none 
>> luks,timeout=30,discard
>>
>>
>> Et un extrait de /etc/fstab:
>>
>> UUID=zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz /home ext4 defaults 0 2
>>
>> Il faudra au moins que tu installes le paquet cryptsetup et que tu
>> régénères ton initramfs (car c'est là que sera déchiffré ton volume
>> home au boot). Tu peux utiliser la commande "sudo update-initramfs".
>>
>> Tu pourras aussi utiliser le script cryptdisks_start pour assembler
>> ta partition chiffrée à la main (et faire des tests).
>>
>>> Mon souhait est de renseigner la phrase de passe au démarrage de la 
>>> machine,
>>> pour que le montage soit effectif après le login (protection du 
>>> /home en cas
>>> de vol du PC).
>> Alors ce n'est pas ce que j'ai :) Au démarrage je renseigne la phrase
>> de passe, ce qui crée une partition home virtuelle déchiffrée. Elle est
>> ensuite montée sous /home. Tout ça se passe _avant_ le login des
>> utilisateurs.
>>
>>> Merci de votre lecture attentive ! ;o)
>> Mes indications sont peut-être incomplètes mais comme il y a pas mal de
>> littérature en ligne sur le sujet tu devrais t'en sortir facilement :)
>>
>> Bon courage.
>>
>> Simon
>>

Plus d'informations sur la liste de diffusion Sequanux-ml