chiffrer une installation linux en "dual boot"

Tous les sujets qui touchent à la protection de nos données personnelles tant sur PC que sur smartphone
Avatar du membre
François
Messages : 18
Enregistré le : 19 déc. 2020 20:16

chiffrer une installation linux en "dual boot"

Message non lu par François »

le chiffrement qui est suggéré quand on fait une installation automatique 100% linux n'est pas proposée en cas de cohabitation alors que c'est tout à fait possible:
il suffit de procéder au partitionnement manuel ( choix "Autre chose" dans ubuntu )
libérer une parti du disque
ajouter un partition ext4 /boot de 500 Mo qui ne sera pas chiffrée
pour le reste définir un "volume physique pour chiffrement"
l’installeur ubuntu y ajoute automatiquement une partition ext4 qui occupe toute la place
peut-être n'est-ce pas indispensable, mais j'ai définit "/" comme point de montage
je n'ai pas testé si on peut la supprimer pour affiner le partitionnement
l'installation peut continuer comme d'habitude
Avatar du membre
maxoxo
Messages : 245
Enregistré le : 12 févr. 2021 22:37

Re: chiffrer une installation linux en "dual boot"

Message non lu par maxoxo »

Salut :)

En effet c'est tout à fait possible. Pratiqué sur mon PC perso depuis toujours avec mon Archlinux.

Chez moi ça donne :
  • 1 partition EFI commune à Windows et Linux pour l'amorçage, elle est en FAT32 et c'est ici qu'est monté /boot. Elle contient à la fois les variables du chargeur d'amorçage de Windows (BCD) que celles de mon systemd-boot (ouais j'aime pas GRUB...) ;
  • 1 partition NTFS Windows 10 chiffrée avec Bitlocker ;
  • 1 partition Btrfs chiffrée avec LUKS/dm-crypt contenant mon Archlinux ;
La précision importante c'est qu'ici comme tu l'indiques la partition /boot séparée et non chiffrée est indispensable !
François a écrit : 27 févr. 2021 19:47 pour le reste définir un "volume physique pour chiffrement"
l’installeur ubuntu y ajoute automatiquement une partition ext4 qui occupe toute la place
peut-être n'est-ce pas indispensable, mais j'ai définit "/" comme point de montage
je n'ai pas testé si on peut la supprimer pour affiner le partitionnement
Là je n'ai pas bien compris ce que tu as voulu dire. LUKS/dm-crypt fait du chiffrement dit "de périphérique bloc". En gros ça chiffre soit l'intégralité d'un disque soit d'une partition. Du coup ce comportement est normal, lorsque tu créés un "Volume physique pour chiffrement" dans l'installateur graphique Mint c'est en fait la création d'une partition LUKS via cryptsetup. Donc il va créer une partition chiffrée sur /dev/sdaX, mais elle ne pourra pas être montée en tant que telle. En gros, une fois la clé de déchiffrement entrée, cette partition est accessible /dev/mapper/nomdelapartitiondéchiffrée. Et là tu peux y mettre le système de fichiers et le point de montage que tu veux. Du coup, Linux ne connait pas la partition comme étant /dev/sdaX mais bien comme étant /dev/mapper/nomdelapartitiondéchiffrée.
Du coup comme c'est une partition, t'es bien obligé d'y mettre un système de fichiers sur l'intégralité si tu veux l'utiliser. Supprimer la partition revient donc à supprimer "le volume physique pour chiffrement".

Sur Archlinux, on fait tout ça en ligne commande à la mano. C'est formateur mais je te raconte pas la galère la première fois pour bien paramétrer l'init après :lol:

Pour illustrer concrètement les partitions chez moi ça donne :

Code : Tout sélectionner

/dev/sda1: UUID="60A9-9341" BLOCK_SIZE="512" TYPE="vfat" PARTLABEL="EFIBOOT" PARTUUID="c2a6b469-949b-4ba8-abc5-eac2ae99b6f9"
/dev/sda2: PARTLABEL="Microsoft reserved partition" PARTUUID="a1499052-8d32-4705-9575-244caccdefcd"
/dev/sda3: TYPE="BitLocker" PARTLABEL="Basic data partition" PARTUUID="5a8d550f-83a9-468e-a06d-5a8da1ca07ab"
/dev/sda4: BLOCK_SIZE="512" UUID="B65282265281EC05" TYPE="ntfs" PARTUUID="1ea20345-8af1-48f1-a753-a5439ece14b2"
/dev/sda5: BLOCK_SIZE="512" UUID="82B2884DB288481D" TYPE="ntfs" PARTUUID="d826556e-c448-4971-b25c-27819663b24b"
/dev/sda6: UUID="b3cbcc49-7cb4-4fef-88f9-f3f1902429d8" TYPE="crypto_LUKS" PARTLABEL="ARCHROOT" PARTUUID="384d8174-4aab-44a8-bdd4-08182ba88f9d"
/dev/mapper/archroot: LABEL="ARCHROOT" UUID="a455b9b4-22ed-444e-8467-044fb0811e02" UUID_SUB="9730c776-89cf-41eb-8e2a-858d517a534e" BLOCK_SIZE="4096" TYPE="btrfs"
Avatar du membre
Glenic
Messages : 171
Enregistré le : 14 déc. 2020 19:48
Localisation : Indre (36)

Re: chiffrer une installation linux

Message non lu par Glenic »

Ah ben là, je progresse dans ma connaissance de LUKS.
Merci pour ces informations.
Mais je trouve que ça fonctionne très bien en commande graphique avec Mint... :lol:
JLG
actuellement en service : Acer 7630 + LinuxMint 19.3
à venir HP Probook + Fedora 39
Avatar du membre
François
Messages : 18
Enregistré le : 19 déc. 2020 20:16

Re: chiffrer une installation linux en "dual boot"

Message non lu par François »

La remarque de "maxoxo" est pertinente mais comme souvent, la réalité est plus compliquée.
Entre le disque et les partitions ou entre une partition et les systèmes de fichiers peut s’insérer un gestionnaire de volumes logiques (LVM en anglais)
cela permet d’agréger plusieurs disques physiques pour présenter la somme de leur taille comme une seule ressource de stockage appelée "groupe de volumes"
Par la suite on peut découper des volumes logiques de façon dynamique ce qui signifie qu'on peut changer leurs tailles au besoin.
Si on manque de place on peut ajouter des disques supplémentaire au groupe de volume sans même arrêter la machine.
Donc lors de l'installation, j'aurai pu supprimer dans le volume chiffré, le système de fichier ext4 et redécouper pour mettre /home à part et même garder de l’espace en réserve pour arbitrer plus tard.
Avatar du membre
maxoxo
Messages : 245
Enregistré le : 12 févr. 2021 22:37

Re: chiffrer une installation linux en "dual boot"

Message non lu par maxoxo »

François a écrit : 03 mars 2021 18:55 La remarque de "maxoxo" est pertinente mais comme souvent, la réalité est plus compliquée.
Entre le disque et les partitions ou entre une partition et les systèmes de fichiers peut s’insérer un gestionnaire de volumes logiques (LVM en anglais)
cela permet d’agréger plusieurs disques physiques pour présenter la somme de leur taille comme une seule ressource de stockage appelée "groupe de volumes"
Par la suite on peut découper des volumes logiques de façon dynamique ce qui signifie qu'on peut changer leurs tailles au besoin.
Si on manque de place on peut ajouter des disques supplémentaire au groupe de volume sans même arrêter la machine.
Donc lors de l'installation, j'aurai pu supprimer dans le volume chiffré, le système de fichier ext4 et redécouper pour mettre /home à part et même garder de l’espace en réserve pour arbitrer plus tard.
Bonjour François,

Nous sommes tout à fait d'accord, mais ton premier post ne parlait pas de LVM donc j'ai pas considéré cette hypothèse dans ma réponse. En fait nos réponses ne sont pas contradictoires du tout :D

La logique est un peu toujours la même d'ailleurs, il y a toujours un volume "logique" qui fait conteneur.

L'installeur graphique de Mint/Ubuntu permet de faire du LUKS et du LVM ? Faudra je teste un jour. Avec Arch la question ne se pose pas, commandes ou rien :P

Après sur ma machine perso, j'ai pas fait de LVM les sous-volumes de Btrfs sont amplement suffisants pour mes besoins.
Avatar du membre
François
Messages : 18
Enregistré le : 19 déc. 2020 20:16

Re: chiffrer une installation linux en "dual boot"

Message non lu par François »

En effet, j'ai fais trop de raccourcis:
Quant on demande de chiffrer à l'installateur d'Ubuntu ( et aussi à celui de Debian ) il impose LVM
au sujet de Mint je n'ai jamais testé mais j'imagine que c'est pareil
il doit être possible de passer outre, je ne crois pas que ce soit une bonne idée
par exemple, en cas de besoin urgent d'une copie en clair de toutes les données, on gagnera beaucoup de temps à faire une image de la partition plutôt que recopier le contenu.
( faire un image consiste à copier brutalement les octets par blocs sans se soucier du formatage )
Avatar du membre
maxoxo
Messages : 245
Enregistré le : 12 févr. 2021 22:37

Re: chiffrer une installation linux en "dual boot"

Message non lu par maxoxo »

Merci pour ces précisions.

Dans l'absolu en effet, LVM a vraiment beaucoup d'avantages donc si c' Ubuntu le simplifie ça ne peut être qu'une bonne chose ! ;)

Du coup, j'ai une autre question : quand tu fais du LUKS avec l'installateur Ubuntu, si le PC en est équipé, est-ce qu'il utilise la puce TPM pour stocker la clé et rendre ça transparent pour l'utilisateur ? Ou bien c'est à l'ancienne avec phrase de passe à taper à chaque boot ?

J'ai jamais essayé car c'était encore très expérimental la dernière fois que j'ai regardé. Sur ma machine perso, la question ne se pose pas donc autant Bitlocker que LUKS je suis en phrase de passe. Bon ma partition Windows je la boote une fois tous les 36 du mois.

Sur ma machine pro, le responsable SI nous interdit pas d'avoir un dual-boot. Bitlocker est géré par le TPM pour Windows. Je me disais si j'installe Linux est-ce que que ça peut fonctionner ?

Bon en vrai, pour le juriste que je suis à part par curiosité, le dualboot n'est pas un réel besoin. WSL ou Virtualbox me suffisent quand j'ai vraiment besoin.

En parlant de chiffrement et de juriste, j'ai répondu à ta question juridique. Décidément je me sens dans mon élément sur votre forum les amis ! :D
Avatar du membre
François
Messages : 18
Enregistré le : 19 déc. 2020 20:16

Re: chiffrer une installation linux en "dual boot"

Message non lu par François »

Merci pour ta réponse concernant le coté légal du chiffrement sur un poste de travail, elle était tellement complète et définitive que je suis resté sans voix sur le coup.
Mais j'avais posé la question car je savait qu'un éminent juriste hante ce forum.
Pour reprendre le fils de la discussion:
J'utilise là un PC en Debian chiffré à l'installation on ne m' pas proposé d'utilisé la puce TPM.
Je ne savais pas qu'il y en avait une mais en vérifiant, si
sudo dmesg | grep TPM
cependant, je ne pense pas que ce soit une bonne idée d'utiliser ça pour LUKS:
si mon PC ne démarre plus, je perds irrémédiablement mes données
je me suis un peu renseigné et j'ai compris que TPM sert à remplacer la carte à puce dans une procédure à double authentification en ligne.
Pour usurper un accès à un réseau, le pirate doit soutirer le mot de passe et voler le PC.
Mais dans le cas de la protection des données du PC cela n'ajoute rien puisque l'attaquant dispose de l'accès à la puce TPM il ne lui manque plus que le mot de passe.
Répondre