Page 1 sur 1
chiffrer une installation linux en "dual boot"
Posté : 27 févr. 2021 19:47
par François
le chiffrement qui est suggéré quand on fait une installation automatique 100% linux n'est pas proposée en cas de cohabitation alors que c'est tout à fait possible:
il suffit de procéder au partitionnement manuel ( choix "Autre chose" dans ubuntu )
libérer une parti du disque
ajouter un partition ext4 /boot de 500 Mo qui ne sera pas chiffrée
pour le reste définir un "volume physique pour chiffrement"
l’installeur ubuntu y ajoute automatiquement une partition ext4 qui occupe toute la place
peut-être n'est-ce pas indispensable, mais j'ai définit "/" comme point de montage
je n'ai pas testé si on peut la supprimer pour affiner le partitionnement
l'installation peut continuer comme d'habitude
Re: chiffrer une installation linux en "dual boot"
Posté : 02 mars 2021 20:36
par maxoxo
Salut
En effet c'est tout à fait possible. Pratiqué sur mon PC perso depuis toujours avec mon Archlinux.
Chez moi ça donne :
- 1 partition EFI commune à Windows et Linux pour l'amorçage, elle est en FAT32 et c'est ici qu'est monté /boot. Elle contient à la fois les variables du chargeur d'amorçage de Windows (BCD) que celles de mon systemd-boot (ouais j'aime pas GRUB...) ;
- 1 partition NTFS Windows 10 chiffrée avec Bitlocker ;
- 1 partition Btrfs chiffrée avec LUKS/dm-crypt contenant mon Archlinux ;
La précision importante c'est qu'ici comme tu l'indiques la partition /boot séparée et non chiffrée est indispensable !
François a écrit : ↑27 févr. 2021 19:47
pour le reste définir un "volume physique pour chiffrement"
l’installeur ubuntu y ajoute automatiquement une partition ext4 qui occupe toute la place
peut-être n'est-ce pas indispensable, mais j'ai définit "/" comme point de montage
je n'ai pas testé si on peut la supprimer pour affiner le partitionnement
Là je n'ai pas bien compris ce que tu as voulu dire. LUKS/dm-crypt fait du chiffrement dit "de périphérique bloc". En gros ça chiffre soit l'intégralité d'un disque soit d'une partition. Du coup ce comportement est normal, lorsque tu créés un "Volume physique pour chiffrement" dans l'installateur graphique Mint c'est en fait la création d'une partition LUKS via cryptsetup. Donc il va créer une partition chiffrée sur
/dev/sdaX, mais elle ne pourra pas être montée en tant que telle. En gros, une fois la clé de déchiffrement entrée, cette partition est accessible
/dev/mapper/nomdelapartitiondéchiffrée. Et là tu peux y mettre le système de fichiers et le point de montage que tu veux. Du coup, Linux ne connait pas la partition comme étant
/dev/sdaX mais bien comme étant
/dev/mapper/nomdelapartitiondéchiffrée.
Du coup comme c'est une partition, t'es bien obligé d'y mettre un système de fichiers sur l'intégralité si tu veux l'utiliser. Supprimer la partition revient donc à supprimer "le volume physique pour chiffrement".
Sur Archlinux, on fait tout ça en ligne commande à la mano. C'est formateur mais je te raconte pas la galère la première fois pour bien paramétrer l'init après
Pour illustrer concrètement les partitions chez moi ça donne :
Code : Tout sélectionner
/dev/sda1: UUID="60A9-9341" BLOCK_SIZE="512" TYPE="vfat" PARTLABEL="EFIBOOT" PARTUUID="c2a6b469-949b-4ba8-abc5-eac2ae99b6f9"
/dev/sda2: PARTLABEL="Microsoft reserved partition" PARTUUID="a1499052-8d32-4705-9575-244caccdefcd"
/dev/sda3: TYPE="BitLocker" PARTLABEL="Basic data partition" PARTUUID="5a8d550f-83a9-468e-a06d-5a8da1ca07ab"
/dev/sda4: BLOCK_SIZE="512" UUID="B65282265281EC05" TYPE="ntfs" PARTUUID="1ea20345-8af1-48f1-a753-a5439ece14b2"
/dev/sda5: BLOCK_SIZE="512" UUID="82B2884DB288481D" TYPE="ntfs" PARTUUID="d826556e-c448-4971-b25c-27819663b24b"
/dev/sda6: UUID="b3cbcc49-7cb4-4fef-88f9-f3f1902429d8" TYPE="crypto_LUKS" PARTLABEL="ARCHROOT" PARTUUID="384d8174-4aab-44a8-bdd4-08182ba88f9d"
/dev/mapper/archroot: LABEL="ARCHROOT" UUID="a455b9b4-22ed-444e-8467-044fb0811e02" UUID_SUB="9730c776-89cf-41eb-8e2a-858d517a534e" BLOCK_SIZE="4096" TYPE="btrfs"
Re: chiffrer une installation linux
Posté : 02 mars 2021 22:25
par Glenic
Ah ben là, je progresse dans ma connaissance de LUKS.
Merci pour ces informations.
Mais je trouve que ça fonctionne très bien en commande graphique avec Mint...
Re: chiffrer une installation linux en "dual boot"
Posté : 03 mars 2021 18:55
par François
La remarque de "maxoxo" est pertinente mais comme souvent, la réalité est plus compliquée.
Entre le disque et les partitions ou entre une partition et les systèmes de fichiers peut s’insérer un gestionnaire de volumes logiques (LVM en anglais)
cela permet d’agréger plusieurs disques physiques pour présenter la somme de leur taille comme une seule ressource de stockage appelée "groupe de volumes"
Par la suite on peut découper des volumes logiques de façon dynamique ce qui signifie qu'on peut changer leurs tailles au besoin.
Si on manque de place on peut ajouter des disques supplémentaire au groupe de volume sans même arrêter la machine.
Donc lors de l'installation, j'aurai pu supprimer dans le volume chiffré, le système de fichier ext4 et redécouper pour mettre /home à part et même garder de l’espace en réserve pour arbitrer plus tard.
Re: chiffrer une installation linux en "dual boot"
Posté : 05 mars 2021 08:59
par maxoxo
François a écrit : ↑03 mars 2021 18:55
La remarque de "maxoxo" est pertinente mais comme souvent, la réalité est plus compliquée.
Entre le disque et les partitions ou entre une partition et les systèmes de fichiers peut s’insérer un gestionnaire de volumes logiques (LVM en anglais)
cela permet d’agréger plusieurs disques physiques pour présenter la somme de leur taille comme une seule ressource de stockage appelée "groupe de volumes"
Par la suite on peut découper des volumes logiques de façon dynamique ce qui signifie qu'on peut changer leurs tailles au besoin.
Si on manque de place on peut ajouter des disques supplémentaire au groupe de volume sans même arrêter la machine.
Donc lors de l'installation, j'aurai pu supprimer dans le volume chiffré, le système de fichier ext4 et redécouper pour mettre /home à part et même garder de l’espace en réserve pour arbitrer plus tard.
Bonjour François,
Nous sommes tout à fait d'accord, mais ton premier post ne parlait pas de LVM donc j'ai pas considéré cette hypothèse dans ma réponse. En fait nos réponses ne sont pas contradictoires du tout
La logique est un peu toujours la même d'ailleurs, il y a toujours un volume "logique" qui fait conteneur.
L'installeur graphique de Mint/Ubuntu permet de faire du LUKS et du LVM ? Faudra je teste un jour. Avec Arch la question ne se pose pas, commandes ou rien
Après sur ma machine perso, j'ai pas fait de LVM les sous-volumes de Btrfs sont amplement suffisants pour mes besoins.
Re: chiffrer une installation linux en "dual boot"
Posté : 05 mars 2021 22:41
par François
En effet, j'ai fais trop de raccourcis:
Quant on demande de chiffrer à l'installateur d'Ubuntu ( et aussi à celui de Debian ) il impose LVM
au sujet de Mint je n'ai jamais testé mais j'imagine que c'est pareil
il doit être possible de passer outre, je ne crois pas que ce soit une bonne idée
par exemple, en cas de besoin urgent d'une copie en clair de toutes les données, on gagnera beaucoup de temps à faire une image de la partition plutôt que recopier le contenu.
( faire un image consiste à copier brutalement les octets par blocs sans se soucier du formatage )
Re: chiffrer une installation linux en "dual boot"
Posté : 06 mars 2021 13:10
par maxoxo
Merci pour ces précisions.
Dans l'absolu en effet, LVM a vraiment beaucoup d'avantages donc si c' Ubuntu le simplifie ça ne peut être qu'une bonne chose !
Du coup, j'ai une autre question : quand tu fais du LUKS avec l'installateur Ubuntu, si le PC en est équipé, est-ce qu'il utilise la puce TPM pour stocker la clé et rendre ça transparent pour l'utilisateur ? Ou bien c'est à l'ancienne avec phrase de passe à taper à chaque boot ?
J'ai jamais essayé car c'était encore très expérimental la dernière fois que j'ai regardé. Sur ma machine perso, la question ne se pose pas donc autant Bitlocker que LUKS je suis en phrase de passe. Bon ma partition Windows je la boote une fois tous les 36 du mois.
Sur ma machine pro, le responsable SI nous interdit pas d'avoir un dual-boot. Bitlocker est géré par le TPM pour Windows. Je me disais si j'installe Linux est-ce que que ça peut fonctionner ?
Bon en vrai, pour le juriste que je suis à part par curiosité, le dualboot n'est pas un réel besoin. WSL ou Virtualbox me suffisent quand j'ai vraiment besoin.
En parlant de chiffrement et de juriste, j'ai répondu à ta question juridique. Décidément je me sens dans mon élément sur votre forum les amis !
Re: chiffrer une installation linux en "dual boot"
Posté : 07 mars 2021 23:29
par François
Merci pour ta réponse concernant le coté légal du chiffrement sur un poste de travail, elle était tellement complète et définitive que je suis resté sans voix sur le coup.
Mais j'avais posé la question car je savait qu'un éminent juriste hante ce forum.
Pour reprendre le fils de la discussion:
J'utilise là un PC en Debian chiffré à l'installation on ne m' pas proposé d'utilisé la puce TPM.
Je ne savais pas qu'il y en avait une mais en vérifiant, si
sudo dmesg | grep TPM
cependant, je ne pense pas que ce soit une bonne idée d'utiliser ça pour LUKS:
si mon PC ne démarre plus, je perds irrémédiablement mes données
je me suis un peu renseigné et j'ai compris que TPM sert à remplacer la carte à puce dans une procédure à double authentification en ligne.
Pour usurper un accès à un réseau, le pirate doit soutirer le mot de passe et voler le PC.
Mais dans le cas de la protection des données du PC cela n'ajoute rien puisque l'attaquant dispose de l'accès à la puce TPM il ne lui manque plus que le mot de passe.