[Sequanux-ml] réinstallation d'un /home chiffré.

- karaboss at mailoo.org
Mer 3 Mai 23:15:04 CEST 2023 

Le 03/05/2023 à 13:58, robert gilles a écrit :
> Bonjour,
Bonjour !
>
> Je reviens sur cette réinstallation de /home chiffrée :
>
> concernant le fichier /etc/crypttab (faisant partie du paquet 
> Cryptsetup permettant de configurer le chiffrement et
> prenant en charge LUKS) chez moi il ne contient que la ligne commentée 
> suivante :
>
> # <target name>    <source device>        <key file>    <options>
>
> bizarre , alors que j'ai un volume chiffré .. le vôtre est renseigné ?
Tout à fait; il comprend les UUID des deux partitions chiffrées (le swap 
sur le 1er M2, et mon /home sur le 2nd)
>
> Pour ma part, je voudrais migrer le /home d'un disque dédié vers un 
> nouveau plus rapide et crypté, le probleme est un peu différent:
>
> j'ai créé une partition cryptée sur ce nouveau disque puis copié le 
> contenu de mon /home dessus ensuite dans le fichier fstab j'ai 
> desactivé l'ancien home en le commentant puis en rajoutant le nouveau 
> disque et en le montant sur /home mais au redémarragé il y a une 
> erreur : probleme de dépendance. Ou est le probleme ?

J'ai bien peur d'être en dehors du coup. J'ai trouvé pleins 
d'explications utiles sur :

https://papy-tux.legtux.org/doc1002/index.html

>
> nb: sinon anicet as tu bien tout recuperé tes données de ton ancien 
> disque (/home) ?
Oui, tellement content que j'en bafouille ; c'est une testing (bookworm) 
que j'ai installé ensuite, et non unstable (!)
>
> merci et bonne journée

Bonne continuation !

Ani7

>
> gilles
>
> Le 02/05/2023 à 15:10, - a écrit :
>> Bonjour
>>
>> Je ne transfère rien, la manip consistait justement à récupérer 
>> l'usage et les données de ce 2nd disque comme /home.
>>
>> Je me suis sûrement mal exprimé ; ma machine précédente comportait 
>> déjà ces deux disques (je les ai conservés), il s'agissait de 
>> retrouver ma configuration sur une machine identique et neuve (qui a 
>> été remplacée sous garantie). Les divers mots de passe et passphrases 
>> ne sont pas changés.
>>
>> Je ramais car mon attention s'était focalisée uniquement sur la 
>> modification du fichier /etc/fstab, sur le fait d'avoir 2 UUID sur un 
>> même disque (le disque, et la partition chiffrée) et surtout 
>> j'ignorais l'existence du fichier /etc/crypttab.
>>
>> Les encouragements de Simon m'ont poussés dans la bonne direction. 
>> Merci à lui !
>>
>> En plein "trust mode",  j'ai même "migré" depuis vers unstable. ;o)
>>
>>
>> Le 01/05/2023 à 20:55, robert gilles a écrit :
>>> Bonjour ani7,
>>>
>>> Apres les diverses manipulations décrites plus bas, comment vas tu 
>>> faire pour procéder au transfert de données de ton ancien disque(le 
>>> /home chiffré (LUKS) de ton ancienne machine ?)au nouveau (m2)?
>>>
>>> Librement
>>>
>>> gilles
>>>
>>> Le 25/04/2023 à 17:43, simon.guinot at sequanux.org a écrit :
>>>> Bonjour Ani7,
>>>>
>>>> On Tue, Apr 25, 2023 at 03:00:47PM +0200, _ wrote:
>>>>> Bonjour !
>>>>> Après maintes péripéties, retour en garantie d'une nouvelle 
>>>>> machine. Elle
>>>>> est dotée de deux disques M2;
>>>>>
>>>>> nvme0n1 sur lequel j'ai réinstallé debian bullseye, avec le 
>>>>> partitionnement
>>>>> suivant :
>>>>>
>>>>>   * /dev/nvme0n1p1 (partition efi) | montage /boot/efi |drapeaux 
>>>>> boot, esp
>>>>>   * /dev/nvme0n1p2 (zone amorçage bios) | drapeaux bios_grub
>>>>>   * /dev/nvme0n1p3 (swap)
>>>>>   * /dev/nvme0n1p4 (partition racine, incluant /home) | montage /
>>>>>
>>>>> Je voudrais réinstaller le second disque, nvme1, qui ne comporte 
>>>>> qu'une
>>>>> seule partition ; le /home chiffré (LUKS) de mon ancienne machine.
>>>> J'utilise également Debian (sid) et ma partition home est aussi 
>>>> chiffrée
>>>> (et ce depuis l'installation du système). Mon installation a donc été
>>>> faite depuis l'instaleur Debian.
>>>>> Mes recherches me conduisent à :
>>>>>
>>>>>   * neutraliser le /home sur nvme0 en le renommant,
>>>> Tu peux le vider ou même le laisser tel quel. Son contenu ne sera pas
>>>> visible car ton volume home déchiffré sera monté par dessus.
>>>>
>>>>>   * créer un nouveau répertoire /home sur nvme1 (donc le 
>>>>> déchiffrer et
>>>>>     le monter),
>>>>>   * en utilisant le second choix du retour de /blkid/ concernant 
>>>>> le 2nd
>>>>>     M2 ;
>>>>>
>>>>> //dev/nvme1n1p1: UUID="d941f542 (j'abrège)" TYPE="crypto_LUKS"
>>>>> PARTUUID="0b921239-01"/
>>>>>
>>>>> //dev/mapper/luks-d941f542 (j'abrège):*UUID="2a0d1198 (j'abrège)"*
>>>>> BLOCK_SIZE="4096" TYPE="ext4" /
>>>>>
>>>>>   * éditer /etc/fstab pour mise à jour des points de montage :
>>>>>
>>>>> /# /home on /dev/nvme1n1p1/
>>>>>
>>>>> /*/UUID=2a0d1198 (j'abrège)/*  /home  ext4 defaults   0  0 /
>>>>>
>>>>> La formulation est-elle correcte, l'option "defaults" suffisante ?
>>>> Alors moi j'ai plutôt une entrée pour ma partition home chiffrée dans
>>>> /etc/crypttab. Lorsque le système démarre ce fichier est utilisé pour
>>>> assembler un volume virtuel (device mapper). Puis il y une entrée dans
>>>> /etc/fstab pour monter le volume virtuel déchiffré sous /home.
>>>>
>>>> Voici un extrait du retour de la commande blkid sur ma machine:
>>>>
>>>> $ sudo blkid
>>>> ...
>>>> /dev/nvme0n1p4: UUID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
>>>> TYPE="crypto_LUKS" PARTUUID="yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"
>>>> ...
>>>> /dev/mapper/chome: UUID="zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz" 
>>>> BLOCK_SIZE="4096" TYPE="ext4"
>>>>
>>>> Le contenu de /etc/crypttab:
>>>>
>>>> # <target name>    <source device> <key file>    <options>
>>>> chome UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx none 
>>>> luks,timeout=30,discard
>>>>
>>>>
>>>> Et un extrait de /etc/fstab:
>>>>
>>>> UUID=zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz /home ext4 defaults 0 2
>>>>
>>>> Il faudra au moins que tu installes le paquet cryptsetup et que tu
>>>> régénères ton initramfs (car c'est là que sera déchiffré ton volume
>>>> home au boot). Tu peux utiliser la commande "sudo update-initramfs".
>>>>
>>>> Tu pourras aussi utiliser le script cryptdisks_start pour assembler
>>>> ta partition chiffrée à la main (et faire des tests).
>>>>
>>>>> Mon souhait est de renseigner la phrase de passe au démarrage de 
>>>>> la machine,
>>>>> pour que le montage soit effectif après le login (protection du 
>>>>> /home en cas
>>>>> de vol du PC).
>>>> Alors ce n'est pas ce que j'ai :) Au démarrage je renseigne la phrase
>>>> de passe, ce qui crée une partition home virtuelle déchiffrée. Elle 
>>>> est
>>>> ensuite montée sous /home. Tout ça se passe _avant_ le login des
>>>> utilisateurs.
>>>>
>>>>> Merci de votre lecture attentive ! ;o)
>>>> Mes indications sont peut-être incomplètes mais comme il y a pas 
>>>> mal de
>>>> littérature en ligne sur le sujet tu devrais t'en sortir facilement :)
>>>>
>>>> Bon courage.
>>>>
>>>> Simon
>>>>
>>
>>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://vm3.sequanux.org/pipermail/sequanux-ml/attachments/20230503/ff7043a9/attachment-0001.html>

Plus d'informations sur la liste de diffusion Sequanux-ml