[Sequanux-ml] réinstallation d'un /home chiffré.

Mer 3 Mai 13:58:58 CEST 2023

Bonjour,

Je reviens sur cette réinstallation de /home chiffrée :

concernant le fichier /etc/crypttab (faisant partie du paquet Cryptsetup 
permettant de configurer le chiffrement et
prenant en charge LUKS) chez moi il ne contient que la ligne commentée 
suivante :

# <target name>    <source device>        <key file>    <options>

bizarre , alors que j'ai un volume chiffré .. le vôtre est renseigné ?

Pour ma part, je voudrais migrer le /home d'un disque dédié vers un 
nouveau plus rapide et crypté, le probleme est un peu différent:

j'ai créé une partition cryptée sur ce nouveau disque puis copié le 
contenu de mon /home dessus ensuite dans le fichier fstab j'ai desactivé 
l'ancien home en le commentant puis en rajoutant le nouveau disque et en 
le montant sur /home mais au redémarragé il y a une erreur : probleme de 
dépendance. Ou est le probleme ?

nb: sinon anicet as tu bien tout recuperé tes données de ton ancien 
disque (/home) ?

merci et bonne journée

gilles

Le 02/05/2023 à 15:10, - a écrit :
> Bonjour
>
> Je ne transfère rien, la manip consistait justement à récupérer 
> l'usage et les données de ce 2nd disque comme /home.
>
> Je me suis sûrement mal exprimé ; ma machine précédente comportait 
> déjà ces deux disques (je les ai conservés), il s'agissait de 
> retrouver ma configuration sur une machine identique et neuve (qui a 
> été remplacée sous garantie). Les divers mots de passe et passphrases 
> ne sont pas changés.
>
> Je ramais car mon attention s'était focalisée uniquement sur la 
> modification du fichier /etc/fstab, sur le fait d'avoir 2 UUID sur un 
> même disque (le disque, et la partition chiffrée) et surtout 
> j'ignorais l'existence du fichier /etc/crypttab.
>
> Les encouragements de Simon m'ont poussés dans la bonne direction. 
> Merci à lui !
>
> En plein "trust mode",  j'ai même "migré" depuis vers unstable. ;o)
>
>
> Le 01/05/2023 à 20:55, robert gilles a écrit :
>> Bonjour ani7,
>>
>> Apres les diverses manipulations décrites plus bas, comment vas tu 
>> faire pour procéder au transfert de données de ton ancien disque(le 
>> /home chiffré (LUKS) de ton ancienne machine ?)au nouveau (m2)?
>>
>> Librement
>>
>> gilles
>>
>> Le 25/04/2023 à 17:43, simon.guinot at sequanux.org a écrit :
>>> Bonjour Ani7,
>>>
>>> On Tue, Apr 25, 2023 at 03:00:47PM +0200, _ wrote:
>>>> Bonjour !
>>>> Après maintes péripéties, retour en garantie d'une nouvelle 
>>>> machine. Elle
>>>> est dotée de deux disques M2;
>>>>
>>>> nvme0n1 sur lequel j'ai réinstallé debian bullseye, avec le 
>>>> partitionnement
>>>> suivant :
>>>>
>>>>   * /dev/nvme0n1p1 (partition efi) | montage /boot/efi |drapeaux 
>>>> boot, esp
>>>>   * /dev/nvme0n1p2 (zone amorçage bios) | drapeaux bios_grub
>>>>   * /dev/nvme0n1p3 (swap)
>>>>   * /dev/nvme0n1p4 (partition racine, incluant /home) | montage /
>>>>
>>>> Je voudrais réinstaller le second disque, nvme1, qui ne comporte 
>>>> qu'une
>>>> seule partition ; le /home chiffré (LUKS) de mon ancienne machine.
>>> J'utilise également Debian (sid) et ma partition home est aussi 
>>> chiffrée
>>> (et ce depuis l'installation du système). Mon installation a donc été
>>> faite depuis l'instaleur Debian.
>>>> Mes recherches me conduisent à :
>>>>
>>>>   * neutraliser le /home sur nvme0 en le renommant,
>>> Tu peux le vider ou même le laisser tel quel. Son contenu ne sera pas
>>> visible car ton volume home déchiffré sera monté par dessus.
>>>
>>>>   * créer un nouveau répertoire /home sur nvme1 (donc le déchiffrer et
>>>>     le monter),
>>>>   * en utilisant le second choix du retour de /blkid/ concernant le 
>>>> 2nd
>>>>     M2 ;
>>>>
>>>> //dev/nvme1n1p1: UUID="d941f542 (j'abrège)" TYPE="crypto_LUKS"
>>>> PARTUUID="0b921239-01"/
>>>>
>>>> //dev/mapper/luks-d941f542 (j'abrège):*UUID="2a0d1198 (j'abrège)"*
>>>> BLOCK_SIZE="4096" TYPE="ext4" /
>>>>
>>>>   * éditer /etc/fstab pour mise à jour des points de montage :
>>>>
>>>> /# /home on /dev/nvme1n1p1/
>>>>
>>>> /*/UUID=2a0d1198 (j'abrège)/*  /home  ext4 defaults   0   0 /
>>>>
>>>> La formulation est-elle correcte, l'option "defaults" suffisante ?
>>> Alors moi j'ai plutôt une entrée pour ma partition home chiffrée dans
>>> /etc/crypttab. Lorsque le système démarre ce fichier est utilisé pour
>>> assembler un volume virtuel (device mapper). Puis il y une entrée dans
>>> /etc/fstab pour monter le volume virtuel déchiffré sous /home.
>>>
>>> Voici un extrait du retour de la commande blkid sur ma machine:
>>>
>>> $ sudo blkid
>>> ...
>>> /dev/nvme0n1p4: UUID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
>>> TYPE="crypto_LUKS" PARTUUID="yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
>>> ...
>>> /dev/mapper/chome: UUID="zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz" 
>>> BLOCK_SIZE="4096" TYPE="ext4"
>>>
>>> Le contenu de /etc/crypttab:
>>>
>>> # <target name>    <source device>        <key file>    <options>
>>> chome UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx none 
>>> luks,timeout=30,discard
>>>
>>>
>>> Et un extrait de /etc/fstab:
>>>
>>> UUID=zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz /home ext4 defaults 0 2
>>>
>>> Il faudra au moins que tu installes le paquet cryptsetup et que tu
>>> régénères ton initramfs (car c'est là que sera déchiffré ton volume
>>> home au boot). Tu peux utiliser la commande "sudo update-initramfs".
>>>
>>> Tu pourras aussi utiliser le script cryptdisks_start pour assembler
>>> ta partition chiffrée à la main (et faire des tests).
>>>
>>>> Mon souhait est de renseigner la phrase de passe au démarrage de la 
>>>> machine,
>>>> pour que le montage soit effectif après le login (protection du 
>>>> /home en cas
>>>> de vol du PC).
>>> Alors ce n'est pas ce que j'ai :) Au démarrage je renseigne la phrase
>>> de passe, ce qui crée une partition home virtuelle déchiffrée. Elle est
>>> ensuite montée sous /home. Tout ça se passe _avant_ le login des
>>> utilisateurs.
>>>
>>>> Merci de votre lecture attentive ! ;o)
>>> Mes indications sont peut-être incomplètes mais comme il y a pas mal de
>>> littérature en ligne sur le sujet tu devrais t'en sortir facilement :)
>>>
>>> Bon courage.
>>>
>>> Simon
>>>
>
>