Chiffrer son disque

Ce tutoriel décrit une méthode pour améliorer la sécurité de vos données personnelles ou professionnelles, non pas lorsque votre ordinateur est allumé mais lorsque celui ci est éteint. Dans le cas d'une perte accidentelle ou non d'un ordinateur portable par exemple.

Il faut tenter de rendre le disque dur illisible pour tout autre.
Une phrase de chiffrement "passphrase" sera la seule clef pour y accéder. Il ne faut donc ni la perdre, ni la divulguer.

• L'utilisation d'un conteneur chiffré LUKS en utilisant DM-crypt assurera la sécurité.
• L'utilisation de LVM permettra l'installation de votre Ubuntu (ou d'une autre distribution Linux) dans cet espace sécurisé.

Cela va chiffrer l'intégralité des données, mise à part celles contenue dans le /boot, en une seule fois, il ne faudra donc qu'une seule fois "montrer patte blanche". Sans la passphrase , Il ne sera pas possible d'accéder aux données utilisateur (/home), aux différents fichiers temporaires (/tmp , swap), ainsi que d'intervenir sur le système.

• Un ordinateur portable qui ne dispose pas d'un disque dur à chiffrement matériel.

Même si cela marche pas si mal sur un Pentium IV 1.4 GHz 512 Mo :) , un système puissant sera un plus. le chiffrement logiciel consommant des ressources à chaque accès disque.

• Avoir un média d'installation d'une iso alternate

Les releases
Ou en demandant plus d'options sur la page de téléchargement des versions officiels

• Du temps

L'effacement totale des données est très longue (mais optionnelle).

• Une certaine maîtrise de l'OS, et de LVM.

A part les points spécifiés, il faut faire une installation standard.

Sur certaine distribution, il peut arriver que la passphrase soit saisie en azerty et demandé en qwerty. Si vous rencontrer ce soucis, et que votre passphrase contient des caractères dit spéciaux faite l'installation en anglais.

Partitionnement manuel

~200 Mo pour un /boot en ext2
Séparer le /boot va permettre le démarrage de l'ordinateur, aucune partie de Grub-PC n'étant chiffré.
Il faut penser à activer le flag "boot" sur cette partition, si grub est placé sur /dev/sda1 et non pas sur /dev/sda, pour le multiboot par exemple.

• Chiffrer le reste du Disque à l'aide de l'outil de chiffrement
• Plein d'options sont possibles, celles par défaut sont bien suffisantes, et ce sont celles qui nécessitent le moins de ressources.
• Choisir une bonne passphrase rajouter un lien

• Utiliser comme volume Physique PV la partition chiffrée
• Faire un groupe de volumes VG dans le PV puis des volumes logiques LV dans ce VG
• Un LV-slash (20Go max)
• Un LV-swap (4Go, selon la quantité de mémoire vive)
• Un LV-home (le reste)

• Une ext3 sur LV-slash pour /
• Une ext3 sur LV-home pour /home
• Le Swap sur LV-swap

Dans le schéma suivant, /boot (sda1) est une partition primaire, le maximum de partition de ce type étant à 4, il est possible de ne pas utiliser de partition étendue, mais une seconde partition primaire. Mais utiliser directement des partitions étendues permet de s'assurer de ne pas tomber sur ce maximum de 4, si l'on souhaite ne pas chiffrer de cette manière tout le disque. Par exemple dans le cas d'un multiboot ou d'un espace non chiffré sur le disque.

Normalement en mettant grub2 sur la MBR de /dev/sda

Cette méthode permet de s'assurer un bon niveau de sécurité, même si rien n'est infaillible.
L'usage de dm-crypt permet de respecter les recommandations qui peuvent être faites à ce sujet.

• LVM
• cryptsetup

Contributeurs principaux : Ool