LUKS - mise en place par lignes de commande
Posté : 18 mars 2021 18:02
[post modifié le 4 avril pour tenir compte à la fois de l'expérience réussie du 20 mars (voir ci-dessous) mais aussi hélas, d'un nouveau ratage aujourd'hui 4 avril - JLG]
Bonjour,
L’intérêt d'une partition chiffrée sur son ordinateur n'est plus à démontrer, notamment pour la protection des données personnelles.
Le système de chiffrement est : cryptsetup / LUKS (= Linux Unified Key Setup)
Mais comment mettre en place une telle partition sur un ordinateur où une distribution Linux est déjà installée ?
Pas de commande graphique disponible.
Il faut se lancer en lignes de commande !
Voici le début d'un tuto suivi avec succès en 2020, révisé en mars 2021 avec l'aide de Maxoxo, pour créer une partition LUKS sur un vieil ordinateur ThinkPad fonctionnant sous Lubuntu 16.04. Cette partition est immatriculée /dev/sda3
Pour l'instant, ça s'arrête au milieu car ça coince à ce moment-là. Je compte sur vous pour m'aider !
L’ordinateur s’appelle ThinkPad-X41
L’utilisateur est jlg
En général, je ne transcris pas ci-dessous les résultats des lignes de commande pour ne pas alourdir le post
jlg@ThinkPad-X41:~$ sudo su -
[sudo] Mot de passe de jlg :
message pour les débutants : ATTENTION
une fois que vous aurez tapé votre mot de passe et que vous aurez activé enter l’affichage va devenir
root@ThinkPad-X41:~#
vous allez travailler avec les droits de l’administrateur (= root, à la racine du système d'exploitation), symbolisés par le caractère # à l'invite de la ligne de commande.
Il ne faut pas se tromper et comprendre les manœuvres que vous exécutez.
Une fausse manœuvre peut provoquer l’effacement de toutes vos données ou le blocage de votre ordinateur.
root@ThinkPad-X41:~# blkid
la commande blkid permet de visualiser les partitions présentes sur l’ordinateur et leurs principaux paramètres. C'est une base pour le travail qui va venir.
NB : on aura déjà créé au préalable (par exemple avec GParted actionnée en session "live" par une clef USB de boot) une partition /dev/sda3 destinée à être chiffrée. Il y a 3 partitions montées avec un système de fichiers ext4 sur le disque dur
/dev/sda1 -> l'ensemble des programmes du système
/dev/sda2 -> l'ensemble des données
/dev/sda3 -> la future partition LUKS
root@ThinkPad-X41:~# type cryptsetup
cryptsetup est /sbin/cryptsetup
Avec la commande type cryptsetup on a vérifié que le paquet cryptsetup était bien présent sur l’ordinateur. Si ce n’est pas le cas, il faut installer le paquet (voir le gestionnaire de paquet Synaptic ou la logithèque).
root@ThinkPad-X41:~# cryptsetup -v luksFormat /dev/sda3
WARNING!
========
Cette action écrasera définitivement les données sur /dev/sda3.
Are you sure? (Type uppercase yes): YES
Saisissez la phrase secrète pour /dev/sda7 :
Vérifiez la phrase secrète :
Opération réussie.
Avec cette commande, on transforme la partition /dev/sda3 en partition chiffrée
root@ThinkPad-X41:~# blkid
Cette nouvelle action de la commande blkid permet de vérifier le changement de statut de /dev/sda3
De simple partition "ext4", elle devient "crypto_LUKS"
root@ThinkPad-X41:~# cryptsetup open /dev/sda3 LUKS
Saisissez la phrase secrète pour /dev/sda3 :
Avec cette commande, on déverrouille la partition LUKS pour qu'elle soit accessible à la suite de l'opération
root@ThinkPad-X41:~# lsblk
Cette commande liste les partitions avec leur taille, leur type, et leur point de montage.
Si tout se passe bien, /dev/sda3 -> LUKS n'a pas encore de point de montage, contrairement à /dev/sda1 et /dev/sda2
Il s'agit maintenant de déterminer ce point de montage.
La partition LUKS ne doit pas se monter automatiquement à chaque démarrage de l'ordinateur sinon vous devrez saisir la phrase de passe chaque fois que vous allumerez votre ordinateur.
Au contraire, ce n'est que quand vous en avez besoin que vous monterez la partition. Le système vous demandera alors la phrase de passe. Une fois que vous aurez saisi cette phrase, le montage de la partition et son déverrouillage seront simultanés.
root@ThinkPad-X41:~# mount
Cette commande renvoie environ 2 pages de données. Elle liste les paramètres des points de montage des différentes partitions présentes sur l'ordinateur. Elle permet aux initiés de déceler des erreurs en cas de panne ultérieure dans le processus.
root@ThinkPad-X41:~# ls /dev/mapper/# control LUKS
Cette commande renvoie un message d'erreur. Considérant qu'il s'agit d'une erreur dans le script du 20 mars, je n'insiste pas et je passe à la commande suivante :
root@ThinkPad-X41:~# ls /dev/mapper/
control LUKS
La commande ls liste les répertoires contenus dans l'élément considéré, ici /dev/mapper
root@ThinkPad-X41:~# mkdir /media/LUKS
Il s'agit de créer un répertoire /media/LUKS
On formate ensuite ce répertoire avec un système de fichiers ext4
root@ThinkPad-X41:~# mkfs.ext4 -L LUKS /dev/mapper/LUKS
et on monte la partition LUKS
root@ThinkPad-X41:~# mount /dev/mapper/LUKS /dev/media/LUKS
[edit du 4 avril : c'est à partir de là que la mise en place de la partition chiffrée coince. Le restant de ce post est donc effacé ce jour et sera restitué sous la forme qui conduit à la solution
Bonjour,
L’intérêt d'une partition chiffrée sur son ordinateur n'est plus à démontrer, notamment pour la protection des données personnelles.
Le système de chiffrement est : cryptsetup / LUKS (= Linux Unified Key Setup)
Mais comment mettre en place une telle partition sur un ordinateur où une distribution Linux est déjà installée ?
Pas de commande graphique disponible.
Il faut se lancer en lignes de commande !
Voici le début d'un tuto suivi avec succès en 2020, révisé en mars 2021 avec l'aide de Maxoxo, pour créer une partition LUKS sur un vieil ordinateur ThinkPad fonctionnant sous Lubuntu 16.04. Cette partition est immatriculée /dev/sda3
Pour l'instant, ça s'arrête au milieu car ça coince à ce moment-là. Je compte sur vous pour m'aider !
L’ordinateur s’appelle ThinkPad-X41
L’utilisateur est jlg
En général, je ne transcris pas ci-dessous les résultats des lignes de commande pour ne pas alourdir le post
jlg@ThinkPad-X41:~$ sudo su -
[sudo] Mot de passe de jlg :
message pour les débutants : ATTENTION
une fois que vous aurez tapé votre mot de passe et que vous aurez activé enter l’affichage va devenir
root@ThinkPad-X41:~#
vous allez travailler avec les droits de l’administrateur (= root, à la racine du système d'exploitation), symbolisés par le caractère # à l'invite de la ligne de commande.
Il ne faut pas se tromper et comprendre les manœuvres que vous exécutez.
Une fausse manœuvre peut provoquer l’effacement de toutes vos données ou le blocage de votre ordinateur.
root@ThinkPad-X41:~# blkid
la commande blkid permet de visualiser les partitions présentes sur l’ordinateur et leurs principaux paramètres. C'est une base pour le travail qui va venir.
NB : on aura déjà créé au préalable (par exemple avec GParted actionnée en session "live" par une clef USB de boot) une partition /dev/sda3 destinée à être chiffrée. Il y a 3 partitions montées avec un système de fichiers ext4 sur le disque dur
/dev/sda1 -> l'ensemble des programmes du système
/dev/sda2 -> l'ensemble des données
/dev/sda3 -> la future partition LUKS
root@ThinkPad-X41:~# type cryptsetup
cryptsetup est /sbin/cryptsetup
Avec la commande type cryptsetup on a vérifié que le paquet cryptsetup était bien présent sur l’ordinateur. Si ce n’est pas le cas, il faut installer le paquet (voir le gestionnaire de paquet Synaptic ou la logithèque).
root@ThinkPad-X41:~# cryptsetup -v luksFormat /dev/sda3
WARNING!
========
Cette action écrasera définitivement les données sur /dev/sda3.
Are you sure? (Type uppercase yes): YES
Saisissez la phrase secrète pour /dev/sda7 :
Vérifiez la phrase secrète :
Opération réussie.
Avec cette commande, on transforme la partition /dev/sda3 en partition chiffrée
root@ThinkPad-X41:~# blkid
Cette nouvelle action de la commande blkid permet de vérifier le changement de statut de /dev/sda3
De simple partition "ext4", elle devient "crypto_LUKS"
root@ThinkPad-X41:~# cryptsetup open /dev/sda3 LUKS
Saisissez la phrase secrète pour /dev/sda3 :
Avec cette commande, on déverrouille la partition LUKS pour qu'elle soit accessible à la suite de l'opération
root@ThinkPad-X41:~# lsblk
Cette commande liste les partitions avec leur taille, leur type, et leur point de montage.
Si tout se passe bien, /dev/sda3 -> LUKS n'a pas encore de point de montage, contrairement à /dev/sda1 et /dev/sda2
Il s'agit maintenant de déterminer ce point de montage.
La partition LUKS ne doit pas se monter automatiquement à chaque démarrage de l'ordinateur sinon vous devrez saisir la phrase de passe chaque fois que vous allumerez votre ordinateur.
Au contraire, ce n'est que quand vous en avez besoin que vous monterez la partition. Le système vous demandera alors la phrase de passe. Une fois que vous aurez saisi cette phrase, le montage de la partition et son déverrouillage seront simultanés.
root@ThinkPad-X41:~# mount
Cette commande renvoie environ 2 pages de données. Elle liste les paramètres des points de montage des différentes partitions présentes sur l'ordinateur. Elle permet aux initiés de déceler des erreurs en cas de panne ultérieure dans le processus.
root@ThinkPad-X41:~# ls /dev/mapper/# control LUKS
Cette commande renvoie un message d'erreur. Considérant qu'il s'agit d'une erreur dans le script du 20 mars, je n'insiste pas et je passe à la commande suivante :
root@ThinkPad-X41:~# ls /dev/mapper/
control LUKS
La commande ls liste les répertoires contenus dans l'élément considéré, ici /dev/mapper
root@ThinkPad-X41:~# mkdir /media/LUKS
Il s'agit de créer un répertoire /media/LUKS
On formate ensuite ce répertoire avec un système de fichiers ext4
root@ThinkPad-X41:~# mkfs.ext4 -L LUKS /dev/mapper/LUKS
et on monte la partition LUKS
root@ThinkPad-X41:~# mount /dev/mapper/LUKS /dev/media/LUKS
[edit du 4 avril : c'est à partir de là que la mise en place de la partition chiffrée coince. Le restant de ce post est donc effacé ce jour et sera restitué sous la forme qui conduit à la solution