Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
utilisateurs:ool:chiffrersondisque [Le 18/06/2011, 20:20] 0ol +screenshot |
— (Version actuelle) | ||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag> Lucid Maverick natty sécurité tutoriel BROUILLON}} | ||
| - | ======Installer Ubuntu avec LVM sur une partition chiffrée via dm-crypt ====== | ||
| - | ===== Introduction ===== | ||
| - | ==== Pourquoi ? ==== | ||
| - | Ce tutoriel décrit une méthode pour améliorer la [[:sécurité]] de vos données personnelles ou professionnelles, non pas lorsque votre ordinateur est allumé mais lorsque celui ci est éteint. Dans le cas d'une perte accidentelle ou non d'un ordinateur portable par exemple.\\ | ||
| - | |||
| - | <note> | ||
| - | ne laissez pas votre ordinateur seul avec une session non verrouillée,\\ mais est-ce nécessaire de le rappeler ? :) \\ | ||
| - | </note> | ||
| - | Il faut tenter de rendre le disque dur illisible pour tout autre.\\ | ||
| - | Une phrase de [[:partition_chiffree|chiffrement]] **"passphrase"** sera la seule clef pour y accéder. Il ne faut donc ni la perdre, ni la divulguer. | ||
| - | ==== Comment ? ==== | ||
| - | * L'utilisation d'un conteneur chiffré [[http://en.wikipedia.org/wiki/LUKS|LUKS]] en utilisant [[:cryptsetup|DM-crypt]] assurera la sécurité. | ||
| - | * L'utilisation de [[:LVM]] permettra l'[[:installation|installation]] de votre [[:Ubuntu]] (ou d'une autre distribution Linux comme Debian) dans cet espace sécurisé. | ||
| - | Cela va chiffrer l'intégralité des données, mise à part celles contenue dans le /boot, en une seule fois, il ne faudra donc qu'une seule fois "montrer patte blanche". Sans la passphrase , Il ne sera pas possible d'accéder aux données utilisateur (/home), aux différents fichiers temporaires (/tmp , swap), ainsi que d'intervenir sur le système.\\ | ||
| - | |||
| - | |||
| - | ===== Pré-requis ===== | ||
| - | * Un ordinateur portable qui ne dispose pas d'un disque dur à chiffrement matériel ou ne l'utilisant pas. | ||
| - | Un système puissant sera un plus. le chiffrement logiciel consommant des ressources à chaque accès disque. | ||
| - | * Avoir un média d'installation d'une iso [[:/installation_alternate#obtenir_une_iso_alternate|alternate]]. Cette iso prenant en charge dm-crypt et LVM. | ||
| - | * Du temps | ||
| - | L'effacement totale des données est très longue (mais optionnelle). | ||
| - | * Une certaine maîtrise de l'OS, et de LVM | ||
| - | |||
| - | ===== Booter sur l'alternate ===== | ||
| - | [[:installation_alternate#mode_par_defaut|Début de l'installation ]] | ||
| - | <note> | ||
| - | Les impressions écran ont été faite à l'aide d'une machine virtuelle ayant démarrer sur une iso alternate\\ | ||
| - | L'utilisation de l'espace disque à donc été revu à la baisse pour l'occasion. | ||
| - | </note> | ||
| - | ===== Options de partitionnement ===== | ||
| - | Choisir le mode de [[:partitions|partitionnement]] manuel | ||
| - | {{ :image:dm-crypt_lvm_alternate_00.png?500 |}} | ||
| - | ====Un /boot ==== | ||
| - | ~200 Mo pour un /boot en ext2\\ | ||
| - | Séparer le /boot va simplifier le démarrage de l'ordinateur, aucune partie de Grub-PC n'étant chiffré. \\ | ||
| - | Il faut penser à activer le flag "boot" sur cette partition, si grub est placé sur /dev/sda1 et non pas sur /dev/sda, pour le [[:grub|multiboot]] par exemple. | ||
| - | {{ :image:dm-crypt_lvm_alternate_01.png?500 |}} | ||
| - | ====Une partition qui va contenir tout votre linux ==== | ||
| - | Le [[:partitions#pourquoi_seulement_4_partitions_primaires|maximum]] de partition primaire étant à 4, il est possible de ne pas utiliser de partition étendue, mais une seconde partition primaire. Néanmoins utiliser directement une partition logique dans partition étendue permet de s'assurer de ne pas tomber sur ce maximum de 4, si l'on souhaite ne pas chiffrer de cette manière tout le disque. Par exemple dans le cas d'un multiboot ou d'un espace non chiffré sur le disque.\\ | ||
| - | * nous aurons donc sda2 partition étendue sur le reste de l'espace libre du disque dur.\\ | ||
| - | * et sda5 partition logique, qui pourra, selon votre usage, utiliser l'intégralité de l'espace disponible sur sda2. | ||
| - | Si vous souhaitez par la suite ajouter des partitions qui n'utiliseront pas ce système de [[http://fr.wikipedia.org/wiki/Cryptographie|cryptographie]], il faut au préalable créer la partition à chiffrer. | ||
| - | {{ :image:dm-crypt_lvm_alternate_02.png?500 |}} | ||
| - | |||
| - | ==== dm-crypt ==== | ||
| - | * Chiffrer la partition sda5 à l'aide de l'outil de chiffrement | ||
| - | {{ :image:dm-crypt_lvm_alternate_03.png?500 |}} \\ | ||
| - | {{ :image:dm-crypt_lvm_alternate_04.png?500 |}} | ||
| - | * Plein d'options sont possibles, celles par défaut sont bien suffisantes. Les options étant triées des moins consommatrices en ressources au plus sécurisées. | ||
| - | {{ :image:dm-crypt_lvm_alternate_07.png?500 |}} | ||
| - | * Choisir une [[http://www.queen.clara.net/pgp/pass.html|bonne]] passphrase | ||
| - | {{ :image:dm-crypt_lvm_alternate_05.png?500 |}} | ||
| - | |||
| - | ==== LVM ==== | ||
| - | * Utiliser comme volume Physique **PV** la partition chiffrée | ||
| - | * Faire un groupe de volumes ** VG ** dans le PV puis des volumes logiques ** LV ** dans ce VG | ||
| - | * Un LV-slash (20Go max) | ||
| - | * Un LV-swap (d'une [[:swap#taille_d_une_partition_de_swap|taille]] supérieur ou égale à la quantité de RAM) | ||
| - | * Un LV-home (le reste) | ||
| - | {{ :image:dm-crypt_lvm_alternate_08.png?500 |}} | ||
| - | ==== Utilisation des LV ==== | ||
| - | * Une ext3 sur LV-slash pour **/** | ||
| - | * Une ext3 sur LV-home pour **/home** | ||
| - | * Le Swap sur LV-swap | ||
| - | * ==== Résultat ==== | ||
| - | {{ :image:dm-crypt_lvm_alternate_06.png?500 |}} | ||
| - | \\ | ||
| - | {{ :image:dm-crypt_lvm.png?500 |}} | ||
| - | |||
| - | ===== Finir l'installation ===== | ||
| - | Mettre grub sur le secteur d'amorçage du disque | ||
| - | {{ :image:dm-crypt_lvm_alternate_09.png?500 |}} | ||
| - | |||
| - | ===== Conclusion ===== | ||
| - | Cette méthode permet de s'assurer un bon niveau de sécurité, même si rien n'est infaillible. \\ | ||
| - | Le chiffrement du seul /home comme proposé dans une installation desktop standard ne permet pas d'assurer le même niveau de sécurité. | ||
| - | |||
| - | =====Voir aussi===== | ||
| - | [[http://fr.wikipedia.org/wiki/Chiffrement|Chiffrement]] | ||
| - | [[http://en.wikipedia.org/wiki/Passphrase|Passphrase]] | ||
| - | [[http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_donn%C3%A9es|sécurité des données]] | ||
| - | [[http://code.google.com/p/cryptsetup/|cryptsetup]] | ||
| - | [[http://www.saout.de/misc/dm-crypt/|dm-crypt]] | ||
| - | [[http://tldp.org/HOWTO/LVM-HOWTO/|LVM howto]] | ||
| - | [[http://www.bortzmeyer.org/cryptage-n-existe-pas.html|On dit Chiffrer]] | ||
| - | ---- | ||
| - | //Contributeurs principaux : [[:utilisateurs:Ool]] | ||