Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
utilisateurs:ool:chiffrersondisque [Le 04/06/2011, 17:07] 0ol |
— (Version actuelle) | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag> Lucid Maverick naty sécurité tutoriel BROUILLON}} | ||
| - | ======Installer Ubuntu sur une partition chiffrée via dm-crypt ====== | ||
| - | ===== Introduction ===== | ||
| - | ==== Pourquoi ? ==== | ||
| - | Ce tutoriel décrit une méthode pour améliorer la [[:sécurité]] de vos données personnelles ou professionnelles, non pas lorsque votre ordinateur est allumé mais lorsque celui ci est éteint. Dans le cas d'une perte accidentelle ou non d'un ordinateur portable par exemple. | ||
| - | <note> | ||
| - | ne laissez pas votre ordinateur seul avec une session non verrouillée,\\ mais est-ce nécessaire de le rappeler ? :) \\ | ||
| - | </note> | ||
| - | Il faut tenter de rendre le disque dur illisible pour tout autre.\\ | ||
| - | Une phrase de [[:partition_chiffree|chiffrement]] **"passphrase"** sera la seule clef pour y accéder. Il ne faut donc ni la perdre, ni la divulguer. | ||
| - | ==== Comment ? ==== | ||
| - | * L'utilisation d'un conteneur chiffré [[http://en.wikipedia.org/wiki/LUKS|LUKS]] en utilisant [[:cryptsetup|DM-crypt]] assurera la sécurité. | ||
| - | * L'utilisation de [[:LVM]] permettra l'[[:installation|installation]] de votre Ubuntu (ou d'une autre distribution Linux) dans cet espace sécurisé. | ||
| - | Cela va chiffrer l'intégralité des données, mise à part celles contenue dans le /boot, en une seule fois, il ne faudra donc qu'une seule fois "montrer patte blanche". Sans la passphrase , Il ne sera pas possible d'accéder aux données utilisateur (/home), aux différents fichiers temporaires (/tmp , swap), ainsi que d'intervenir sur le système.\\ | ||
| - | |||
| - | ===== Pré-requis ===== | ||
| - | * Un ordinateur portable qui ne dispose pas d'un disque dur à chiffrement matériel ou ne l'utilisant pas. | ||
| - | Même si cela marche pas si mal sur un Pentium IV 1.4 GHz 512 Mo :) , un système puissant sera un plus. le chiffrement logiciel consommant des ressources à chaque accès disque. | ||
| - | * Avoir un média d'installation d'une iso [[:/installation_alternate|alternate]] | ||
| - | [[http://fr.releases.ubuntu.com/releases|Les releases ]]\\ Ou en demandant plus d'options sur la page de [[http://www.ubuntu-fr.org/telechargement?variante=ubuntu| téléchargement des versions officiels ]] | ||
| - | * Du temps | ||
| - | L'effacement totale des données est très longue (mais optionnelle). | ||
| - | * Une certaine maîtrise de l'OS, et de LVM | ||
| - | <note> | ||
| - | Si vous ne vous en sentez pas capable, approfondissez le sujet en commençant par exemple par suivre les liens de cette page, ou passez votre chemin | ||
| - | </note> | ||
| - | |||
| - | ===== Booter sur l'alternate ===== | ||
| - | A part les points spécifiés, il faut faire une installation standard. | ||
| - | FIXME | ||
| - | <note warning> | ||
| - | Sur certaine distribution, il peut arriver que la passphrase soit saisie en azerty et demandé en qwerty. | ||
| - | Si vous rencontrer ce soucis, et que votre passphrase contient des caractères dit spéciaux | ||
| - | faite l'installation en anglais. FIXME | ||
| - | </note> | ||
| - | |||
| - | ===== Options de partitionnement ===== | ||
| - | Choisir le mode de [[:partitions|partitionnement]] manuel | ||
| - | |||
| - | ====Un /boot ==== | ||
| - | ~200 Mo pour un /boot en ext2\\ | ||
| - | Séparer le /boot va permettre le démarrage de l'ordinateur, aucune partie de Grub-PC n'étant chiffré. \\ | ||
| - | Il faut penser à activer le flag "boot" sur cette partition, si grub est placé sur /dev/sda1 et non pas sur /dev/sda, pour le [[:grub|multiboot]] par exemple. | ||
| - | |||
| - | ==== dm-crypt ==== | ||
| - | * Chiffrer le reste du Disque à l'aide de l'outil de chiffrement | ||
| - | * Plein d'options sont possibles, celles par défaut sont bien suffisantes, et ce sont celles qui nécessitent le moins de ressources. | ||
| - | * Choisir une bonne passphrase FIXME rajouter un lien | ||
| - | |||
| - | ==== LVM ==== | ||
| - | * Utiliser comme volume Physique **PV** la partition chiffrée | ||
| - | * Faire un groupe de volumes ** VG ** dans le PV puis des volumes logiques ** LV ** dans ce VG | ||
| - | * Un LV-slash (20Go max) | ||
| - | * Un LV-swap (4Go, selon la quantité de mémoire vive) | ||
| - | * Un LV-home (le reste) | ||
| - | |||
| - | ==== utilisation des LV ==== | ||
| - | * Une ext3 sur LV-slash pour **/** | ||
| - | * Une ext3 sur LV-home pour **/home** | ||
| - | * Le Swap sur LV-swap | ||
| - | |||
| - | ==== résultat ==== | ||
| - | Dans le schéma suivant, /boot (sda1) est une partition primaire, le maximum de partition de ce type étant à 4, il est possible de ne pas utiliser de partition étendue, mais une seconde partition primaire. Mais utiliser directement des partitions étendues permet de s'assurer de ne pas tomber sur ce maximum de 4, si l'on souhaite ne pas chiffrer de cette manière tout le disque. Par exemple dans le cas d'un multiboot ou d'un espace non chiffré sur le disque. | ||
| - | {{ :image:dm-crypt_lvm.png?500 |}} | ||
| - | FIXME expliquer les choix possibles et celui retenu pour sdax (/boot et luks) en laissant ouvert pour d'autres configurations supprimer les référence sdax du schéma, | ||
| - | |||
| - | ===== finir l'installation ===== | ||
| - | Normalement en mettant grub2 sur la MBR de /dev/sda | ||
| - | FIXME | ||
| - | |||
| - | |||
| - | <note tips> | ||
| - | Pour simplifier le démarrage, il est possible, si le poste n'a qu'un utilisateur, d'ouvrir directement la session au boot. | ||
| - | </note> | ||
| - | ===== Conclusion ===== | ||
| - | Cette méthode permet de s'assurer un bon niveau de sécurité, même si rien n'est infaillible. \\ | ||
| - | L'usage de dm-crypt permet de respecter les recommandations qui peuvent être faites à ce sujet. | ||
| - | |||
| - | =====Voir aussi===== | ||
| - | FIXME mettre des liens | ||
| - | |||
| - | ---- | ||
| - | //Contributeurs principaux : [[:utilisateurs:Ool]] | ||