Chiffrage système VS home

[Nerva]

Bonjour.

J'envisage sérieusement de chiffrer Linux. Ce qui m'a décidé, c'est la facilité déconcertante à pourvoir accéder au home à partir d'un Live CD ou la technique de récupération d'un mot de passe administrateur expliquée récemment dans un sujet sur ce forum. Et après presque quatre années sur Mint, tout ça, je l’ignorais encore.

Après avoir lu plusieurs articles, on peut donc chiffrer soit l'ensemble du système, soit la partition home (dans un cas comme dans l'autre, je compte procéder à une réinstallation complète). Comme indiqué, le chiffrage de home est source de baisse de performances. Mais à quel niveau et dans quelles proportions ? Cet article très complet donne des graphiques mais il date de 2014 et concerne Ubuntu :

https://www.phoronix.com/review/ubuntu_1404_encryption

Néanmoins les chiffres sont sans équivoque.

Il semble donc plus judicieux de chiffrer l'intégralité du système. Mais le tutoriel officiel d'installation Mint indique qu'il peut y avoir des dysfonctionnements avec certains pilotes Nvidia, ce que j'ai dans le PC concerné.

Comme inconvénients décrits, j'ai pu retenir que la restauration d'un système était quasiment impossible lorsqu'il est chiffré, mais sauvegardant quotidiennement mon home sur disques externes, mes données seraient disponibles si le système crashait. Il y a d'autres inconvénients, plus techniques, que je n'ai pas bien saisis, et c'est la raison de ce sujet.

Merci.

[Raromatai]

Les techniques d'accès au /home (en live) et de changement de mot de passe demandent un accès physique à la machine sauf erreur. C'est quand même un cas particulier (vol ou personne déterminée et mail intentionnée dans son entourage).
Est-ce qu'une alternative "raisonnablement paranoïaque" ne serait pas ce cas l'utilisation d'un répertoire chiffré pour y déposer les seuls documents dont l'accès par un tiers poserait vraiment problème ?

[Nerva]

C'est justement ce cas particulier, l'accès physique et le vol, qui m'inquiète.

Pour ce qui est du cryptage d'un dossier, c'est quand même contraignant. Ça ne me gêne pas avec mes disques externes, tous cryptés avec VeraCrypt, mais si à chaque fois que l'ordinateur sort de veille il faut saisir un mot de passe particulier pour accéder à si ou à ça.......... De plus, est-ce qu'un dossier crypté n'est pas ralenti de la même manière que le chiffrage du /home l'est une fois défini à l'installation ?

[Raromatai]

Pour le cryptage d'un dossier, je viens d'essayer ecryptfs. Manifestement, par défaut, le dossier sécurisé est monté (déchiffré) au démarrage de la session, ce qui semble correspondre (au moins partiellement) à ton besoin. Paradoxalement, pas au mien (n'ayant qu'un besoin occasionnel de placer des documents dans un endroit sécurisé, je préfère que par défaut le dossier reste chiffré : je regarderai les options à l'occasion).

Maintenant, s'il faut a minima que le home soit chiffré, désolé pour le hors-sujet et je m'arrête là avec cette suggestion

edit : correction d'une maladresse sur le "dossier chiffré non chiffré" (j'ai pourtant rien bu, j'vous jure Monsieur l'agent)

[Nerva]

J'avais lu cet article, très intéressant : https://doc.ubuntu-fr.org/ecryptfs

Mais n'est-ce pas ce logiciel qui est utilisé par Mint pour le chiffrage du /home à l'installation ? Dans le cas contraire, pourquoi pas...

Alors évidemment je pourrais chiffrer juste un dossier spécifique. Mais si admettons j'ai des fichiers "sensibles" dans chaque dossier principal (Documents, Images...) et en plus dans des dossiers que j'ai rajoutés, ça va être le chantier.

[philosophedesetoiles]

HS:

Si jamais on te "hack" ton systeme tu pourra toujours chanter :

https://watch.thekitty.zone/watch?v=jRDtL02c_7w

[Nerva]

Alors j'ai peut-être trouvé comment faire, mais pour l'instant en partie seulement, en utilisant LUKS.

Un premier tutoriel clair et précis qui contrairement aux autre décrit l'opération en mode graphique : https://tails.boum.org/doc/encryption_a ... ex.fr.html

J'ai testé la chose avec une clé USB, tout fonctionne parfaitement.

Maintenant il faut que je paramètre mon système. J'ai donc 2 SSD (120 et 1000 GO théoriques). Je prends comme hypothèse la configuration suivante (sachant que / contient actuellement environ 14 GO de données, tous programmes installés) :

sda
/ 48 GO
/home 72 GO

sdb
Le disque chiffré avec LUKS

/home ne contiendra donc que les fichiers utilisateurs et il restera de l'espace pour les éventuels fichiers d'invités.

Le disque chiffré contiendra tous mes fichiers (documents, photos, etc). Comme j'ai pu le lire, un chiffrage avec LUKS n'a aucun impact sur les performances de lecture/écriture des fichiers (espérons que ça se révélera exact), contrairement au chiffrage de /home à l'installation. Le système en lui-même n'étant pas chiffré, aucun problème spécifique au chiffrage "full encryption disk" n'apparaîtra.

Mais le tutoriel ne décrit pas le montage automatique. À ce stade, le mot de passe utilisateur ET celui de décryptage doivent être saisis à chaque ouverture de session. J'ai cherché comment faire pour exécuter les deux opérations en "auto-mount", mais les tutos que j'ai trouvés sont en ligne de commande mais non seulement je ne suis pas à l'aise avec ce genre d'opération, mais en plus, il y a des choses qui ne sont pas claires.

1) Le mot de passe administrateur et celui du déchiffrage doivent-ils être identiques ?
2) Si le montage automatique est opérationnel, le montage va-t-il se faire avec un autre utilisateur, quel qu'il soit ?

https://averagelinuxuser.com/auto-mount ... ns-at-boot

https://kifarunix.com/encrypt-drives-with-luks-in-linux

Merci.

[Nerva]

Je pense avoir compris le truc.

Pour que le montage soit automatique à l'ouverture de la session, il faut ajouter une ligne dans /etc/fstab :

Code : Tout sélectionner

/dev/mapper/sdb1 /mnt/encrypted_sdb1 ext4

Ça j'avais compris.

Mais pour que le déchiffrage soit automatique après le montage, il faut créer un fichier clé contenant le mot de passe (en clair !) dans /etc. Or, cela n'est concrètement viable que si la partition système est elle-même cryptée. Sinon, un accès avec un Live CD fait s'effondrer l'édifice. On peut en fait placer ce fichier là où on veut, le planquer parmi d'autres dans un répertoire bien chargé, mais c'est quand même risqué.

À moins qu'il y ait quelque chose que je n'ai pas bien compris, avec ce cryptage, il faut donc saisir deux mots de passe à l'ouverture de chaque session si on compte accéder aux fichiers...

[Nerva]

Je remonte le sujet parce que j'aurais besoin d'une aide "généraliste"...

Je n'ai pas avancé, les tutoriaux trouvés n'ont pas été concluants mais il reste une possibilité. Refaire une installation avec / et /home sur sda, chiffrer sdb (le futur /home), copier le /home de sda sur le nouveau et le déclarer pour que le système le reconnaisse, avant de supprimer l'ancien et de redistribuer l'espace à /

Mais je ne sais pas comment déplacer un /home.

[Nerva]

Alors après de nombreuses prises de tête et essais sur clé USB, le problème est enfin réglé, de manière somme toute assez simple mais il fallait le savoir. Plutôt que de se perdre dans les commandes du terminal (il n'y a pas deux tutoriaux qui donnent les mêmes !), voici la procédure, accessible à tous.

La configuration est de deux SSD. C'est également faisable avec un seul mais c'est moins souple.

1) Installation : le système sur sda1, home sur sda2 et sda3 pour le boot efi ou bios.

2) En passant par l'utilitaire Disques, chiffrage LUKS et formatage de sdb au format ext4. On définit un mot de passe. On note ensuite l'UUID de /dev/sdb1 (Volumes, partie haute, Partition 1). Ici l'UUID est 429180f3-b68c-4bac-aee0-a0cb9b2d946a et le périphérique /dev/mapper/luks-429180f3-b68c-4bac-aee0-a0cb9b2d946a

3) Copie du contenu de /home à l'intérieur.

4) Redémarrage sur un Live CD (peut-être qu'on peut procéder à la suite directement dans la session mais je n'ai pas essayé).

5) Accès au dossier /etc de sda1 et passage en mode super-utilisateur.

6) Édition du fichier fstab.

Recherche de la ligne du /home :

Code : Tout sélectionner

UUID=19b6ac0b-b7b2-4617-bd9b-fad4c0e68f44 /home           ext4    defaults        0       2

Que l'on remplace par :

Code : Tout sélectionner

/dev/mapper/luks-429180f3-b68c-4bac-aee0-a0cb9b2d946a   /home   ext4   defaults   0   2

6) Toujours dans /etc création d'un fichier nommé crypttab dans lequel on insère cette ligne :

Code : Tout sélectionner

luks-429180f3-b68c-4bac-aee0-a0cb9b2d946a   UUID=429180f3-b68c-4bac-aee0-a0cb9b2d946a   none   luks

Après enregistrement des deux fichiers, il suffit de redémarrer. Le fichier crypttab est chargé en premier ; il demande le mot de passe de déchiffrage. Ensuite, le chargement est classique ; mot de passe d'ouverture de session.

Une fois la session ouverte, il ne reste plus qu'à supprimer l'ancien /home (sda2) et à réaffecter l'espace libre à / (sda1).

Voilà...