Dernière mise à jour : 02/03/2023 à 17h42
Table des matières
Toutes les commandes se font en root (ou avec sudo).
Création d'une clé
Cette clé permet d'ouvrir un conteneur luks sans avoir à entrer de mot de passe.
On va créer une clé aléatoire à l'aide de la commande suivante :
Code BASH :
dd if=/dev/urandom of=/root/.keyfile_luks bs=1024 count=4
On rend ensuite cette clé illisible pour le commun des mortels :
Code BASH :
chmod 400 /root/.keyfile_luks
Association de la clé au conteneur
On associe ensuite cette clé au conteneur luks :
Code BASH :
cryptsetup luksAddKey /dev/mapper/datavg-sauvegardelv /root/.keyfile_luks
Test de la clé
On peut ensuite tester l'ouverture manuelle du conteneur à l'aide de cette clé :
Code BASH :
cryptsetup --key-file /root/.keyfile_luks luksOpen /dev/mapper/datavg-sauvegardelv cryptsauvegarde
Montage du conteneur
Code BASH :
mount /dev/mapper/cryptsauvegarde /mnt/cryptWD
Tout en une commande
On peut également ouvrir le conteneur et monter le système de fichier en une commande :
cryptsetup --key-file /root/.keyfile_luks luksOpen /dev/mapper/datavg-sauvegardelv cryptsauvegarde && wait && mount /dev/mapper/cryptsauvegarde /mnt/cryptWD
Automatisation
On va maintenant automatiser cette manip. au démarrage du système via fstab et crypttab
A l'instar du fichier fstab qui automatise les montages de partitions, crypttab automatise l'ouverture de conteneurs sécurisés.
On modifie le fichier /etc/crypttab en ajoutant la ligne suivante :
Code BASH :
nom_du_conteneur_ouvert chemin_vers_le_conteneur chemin_vers_le_fichier_de_clé
Dans mon cas, pour exemple :
Code BASH :
cryptsauvegarde /dev/mapper/datavg-sauvegardelv /root/.keyfile_luks
Ensuite, on modifier le fichier fstab en aoutant la ligne suivante :
Code BASH :
chemin_conteneur_ouvert point_de_montage type options 0 0
Par exemple, dans mon cas :
Code BASH :
/dev/mapper/cryptsauvegarde /mnt/cryptWD ext4 defaults 0 0
Vous pouvez rebooter et vérifier que cela fonctionne !