Thursday Feb 03, 2022

Comment chiffrer le système de fichiers racine sur Linux

En tant qu’administrateur système, vous savez probablement déjà à quel point il est important de chiffrer vos disques.

Si votre ordinateur portable était volé, même un pirate novice serait capable d’extraire les informations contenues sur les disques.

Il suffit d’une simple clé USB avec un LiveCD dessus et tout serait volé.

Heureusement pour vous, il existe des moyens d’empêcher cela : en chiffrant les données stockées sur vos disques.

Dans ce tutoriel, nous allons voir les étapes nécessaires pour effectuer un chiffrement complet du système. Vous pouvez trouver d’autres tutoriels en ligne axés sur le cryptage d’un seul fichier ou de partitions domestiques par exemple.

Dans ce cas, nous cryptons l’ensemble du système, c’est-à-dire toute la partition racine et le dossier de démarrage. Nous allons crypter une partie du chargeur de démarrage.

Prêts ?

Table des matières

Prérequis

Pour effectuer toutes les opérations détaillées dans ce guide, vous devez évidemment avoir les droits d’administrateur système.

Pour vérifier que c’est le cas, assurez-vous que vous appartenez au groupe « sudo » (pour les distributions basées sur Debian) ou « wheel » (sur celles basées sur RedHat).

Si vous voyez la sortie suivante, vous devriez être prêt à partir.

Avant de continuer, il est important que vous sachiez que le cryptage de disques n’est pas sans risque.

Le processus implique le formatage de votre disque entier, ce qui signifie que vous perdrez des données si vous ne les sauvegardez pas. En conséquence, il pourrait être une bonne idée pour vous de sauvegarder vos fichiers, que vous choisissiez de le faire sur un disque externe ou dans un cloud en ligne.

Si vous n’êtes pas sûr des étapes nécessaires pour sauvegarder l’ensemble de votre système, je vous recommande de lire le tutoriel suivant qui l’explique en termes clairs.

Maintenant que tout est réglé, nous pouvons commencer à chiffrer l’ensemble de notre système.

Identifiez votre situation actuelle

Ce tutoriel est divisé en trois parties : une pour chaque scénario auquel vous pouvez être confronté.

Après avoir identifié votre situation actuelle, vous pouvez directement naviguer vers le chapitre qui vous intéresse.

Si vous voulez chiffrer un système qui contient déjà des données non chiffrées, vous avez deux choix :

  • Vous pouvez ajouter un disque supplémentaire à votre ordinateur ou serveur et le configurer pour qu’il devienne le disque de démarrage : vous pouvez passer à la première partie.
  • Vous ne pouvez pas ajouter un disque supplémentaire à votre ordinateur (un portable sous garantie par exemple) : vous trouverez les informations nécessaires dans la deuxième partie.

Si vous installez un tout nouveau système, c’est-à-dire que vous installez la distribution à partir de zéro, vous pouvez crypter votre disque entier directement à partir de l’installateur graphique. En conséquence, vous pouvez passer à la troisième partie.

Design Hard Disk Layout

Chaque fois que vous créez de nouvelles partitions, cryptées ou non, il est assez important de choisir le design du disque dur à l’avance.

Dans ce cas, nous allons concevoir notre disque en utilisant une disposition MBR : les premiers 512 octets du disque amorçable seront réservés à la première étape du GRUB (ainsi qu’aux métadonnées pour nos partitions).

La première partition sera une partition vide réservée aux systèmes utilisant EFI (ou UEFI) comme firmware d’amorçage. Si vous choisissez d’installer Windows 10 dans le futur, vous aurez une partition déjà disponible pour cela.

La deuxième partition de notre disque sera formatée comme une partition LUKS-LVM contenant un volume physique (la partition du disque elle-même) ainsi qu’un groupe de volumes contenant deux volumes logiques : un pour le système de fichiers racine et un autre pour une petite partition swap.

Comme vous pouvez le voir, la deuxième étape du GRUB sera également chiffrée : c’est parce que nous avons choisi d’avoir le dossier de démarrage stocké sur la même partition.

Bien sûr, vous n’êtes pas limité à la conception fournie ici, vous pouvez ajouter des volumes logiques supplémentaires pour vos journaux par exemple.

Cette conception sera notre feuille de route pour ce tutoriel : nous allons commencer à partir d’un tout nouveau disque et mettre en œuvre toutes les parties ensemble.

Cryptage des données au repos

Ce tutoriel se concentre sur le cryptage des données au repos. Comme son nom l’indique, le cryptage data-at-rest signifie que votre système est crypté, c’est-à-dire que personne ne peut le lire, lorsqu’il est au repos ou éteint.

Ce cryptage est très utile si votre ordinateur venait à être volé, les pirates ne pourraient pas lire les données sur le disque à moins qu’ils ne connaissent la phrase de passe que vous allez choisir dans les prochaines sections.

Cependant, il y aurait toujours un risque que vos données soient effacées pour toujours : ne pas avoir d’accès en lecture à un disque ne signifie pas qu’ils ne peuvent pas simplement supprimer les partitions sur celui-ci.

En conséquence, assurez-vous de conserver une sauvegarde de vos fichiers importants dans un endroit sûr.

Cryptage du système de fichiers racine sur un nouveau disque

Comme détaillé lors de l’introduction, nous allons crypter le système de fichiers racine à partir d’un nouveau disque qui ne contient aucune donnée. Ceci est assez important car le disque crypté sera formaté dans le processus.

Rendez-vous sur le système que vous voulez crypter et branchez le nouveau disque. Tout d’abord, identifiez votre disque actuel, qui est probablement nommé « /dev/sda » et le disque que vous venez de brancher (probablement nommé « /dev/sdb »).

Si vous avez des doutes sur la correspondance entre les noms et les numéros de série des disques, vous pouvez ajouter les vendeurs et les numéros de série avec l’option « -o » de lsblk.

$ lsblk -do +VENDOR,SERIAL

Dans ce cas, le disque avec les données est nommé « /dev/sda » et le nouveau est nommé « /dev/sdb ».

D’abord, nous devons créer le layout que nous avons spécifié dans l’introduction, c’est-à-dire une partition qui va être une EFI et une partition LUKS-LVM.

Création de la disposition de base du disque

La première étape de notre voyage vers le chiffrement complet du disque commence avec deux partitions simples : une EFI (même si nous utilisons MBR, au cas où vous voudriez changer à l’avenir) et une pour notre LVM.

Pour créer de nouvelles partitions sur votre disque, utilisez la commande « fdisk » et spécifiez le disque à formater.

$ sudo fdisk /dev/sdb

Comme expliqué dans l’introduction, la première partition sera une partition de 512 Mo et l’autre prendra l’espace restant sur le disque.

Dans l’utilitaire « fdisk », vous pouvez créer une nouvelle partition avec l’option « n » et spécifier une taille de 512 mégaoctets avec « +512M ».

Assurez-vous de changer le type de partition en W95 FAT32 en utilisant l’option « t » et en spécifiant « b » comme type.

Awesome, maintenant que vous avez votre première partition, nous allons créer celle qui nous intéresse.

Créer la deuxième partition est encore plus simple.

Dans l’utilitaire fdisk, utilisez « n » afin de créer une nouvelle partition et de coller aux valeurs par défaut, ce qui signifie que vous pouvez appuyer sur « Enter » à chaque étape.

Quand vous avez terminé, vous pouvez simplement appuyer sur « w » afin d’écrire les changements sur le disque.

Maintenant, exécuter à nouveau la commande « fdisk » vous donnera une bonne idée des changements que vous avez effectués sur le disque.

$ sudo fdisk -l /dev/sdb

Génial !

Votre deuxième partition est prête à être formatée, alors dirigeons-nous vers elle.

Création de partitions LUKS &LVM sur le disque

Pour chiffrer les disques, nous allons utiliser LUKS, abréviation du projet Linux Unified Key Setup.

LUKS est une spécification pour plusieurs backends implémentés dans certaines versions du noyau Linux.

Dans ce cas, nous allons utiliser le sous-module « dm-crypt » de la pile de stockage Linux.

Comme ses noms l’indiquent, « dm-crypt » fait partie du module device mapper qui vise à créer une couche d’abstraction entre vos disques physiques et la façon dont vous choisissez de concevoir votre pile de stockage.

Diagramme de thomas-krenn.com

Cette information est assez importante car elle signifie que vous pouvez chiffrer à peu près tous les périphériques en utilisant le backend « dm-crypt ».

Dans ce cas, nous allons chiffrer un disque, contenant un ensemble de partitions LVM, mais vous pouvez choisir de chiffrer une clé USB ou une disquette.

Pour interagir avec le module « dm-crypt », nous allons utiliser la commande « cryptsetup ».

Evidemment, vous devrez peut-être l’installer sur votre serveur si vous ne l’avez pas déjà.

$ sudo apt-get instal cryptsetup$ which cryptsetup

Maintenant que le cryptsetup est disponible sur votre ordinateur, vous allez créer votre première partition formatée en LUKS.

Pour créer une partition LUKS, vous allez utiliser la commande « cryptsetup » suivie de la commande « luksFormat » qui formate la partition (ou le disque) spécifiée.

 $ sudo cryptsetup luksFormat --type luks1 /dev/sdb2

Note : alors pourquoi spécifions-nous le type de formatage LUKS1 ? À partir de janvier 2021, GRUB (notre chargeur de démarrage) ne prend pas en charge le chiffrement LUKS2. Assurez-vous de laisser un commentaire si vous remarquez que LUKS2 est maintenant libéré pour le bootlader GRUB.

Comme vous pouvez le voir, vous êtes informé que cette opération effacera toutes les données stockées sur le disque. Vérifiez une dernière fois le disque que vous formatez, et tapez « OUI » lorsque vous êtes prêt.

Directement après, on vous demande une phrase de passe. LUKS utilise deux méthodes d’authentification : une basée sur une phrase de passe qui est essentiellement un mot de passe que vous entrez lors du décryptage.

LUKS peut également utiliser des clés. En utilisant des clés, vous pouvez par exemple le stocker sur une partie de votre disque et votre système pourra s’en occuper automatiquement.

Choisissez une phrase de passe forte, entrez-la à nouveau et attendez que le chiffrement du disque soit terminé.

Quand vous avez terminé, vous pouvez vérifier avec la commande « lsblk » que votre partition est maintenant chiffrée comme une partition LUKS.

Awesome ! Vous avez maintenant une partition chiffrée.

$ lsblk -f

Pour vérifier que votre partition est correctement formatée, vous pouvez utiliser la commande « cryptsetup » suivie de l’option « luksDump » et spécifier le nom du périphérique chiffré.

$ sudo cryptsetup luksDump /dev/sdb2

Votre version devrait être définie sur « 1 » pour le format « LUKS1 » et vous devriez voir ci-dessous la phrase de passe chiffrée dans l’un des keyslots.

Création de LVM chiffré sur le disque

Maintenant que votre partition chiffrée LUKS est prête, vous pouvez l' »ouvrir ». « Ouvrir » une partition chiffrée signifie simplement que vous allez accéder aux données sur le disque.

Pour ouvrir votre périphérique chiffré, utilisez la commande « cryptsetup » suivie de « luksOpen », du nom du périphérique chiffré et d’un nom.

$ sudo cryptsetup luksOpen <encrypted_device> <name>

Dans ce cas, nous avons choisi de nommer le périphérique « cryptlvm ».

En conséquence, en utilisant à nouveau la commande « lsblk », vous pouvez voir qu’un nouveau périphérique a été ajouté à la liste des périphériques existants. La deuxième partition contient maintenant un périphérique nommé « cryptlvm » qui est votre partition déchiffrée.

Maintenant que tout est prêt, nous pouvons commencer à créer nos deux LVM : un pour notre partition racine et un pour le swap.

En premier lieu, nous allons créer un volume physique pour notre nouveau disque en utilisant la commande « pvcreate ».

# Optional, if you don't have LVM commands : sudo apt-get install lvm2$ sudo pvcreate /dev/mapper/cryptlvm

Maintenant que votre volume physique est prêt, vous pouvez l’utiliser pour créer un groupe de volume nommé « cryptvg ».

$ sudo vgcreate cryptvg /dev/mapper/cryptlvm

Maintenant que votre groupe de volume est prêt, vous pouvez créer vos deux volumes logiques.

Dans ce cas, la première partition est une partition de 13Go et la partition swap prendra l’espace restant. Assurez-vous de modifier ces chiffres pour votre cas spécifique.

Afin d’héberger notre système de fichiers racine, nous allons créer un système de fichiers EXT4 sur le volume logique.

$ sudo lvcreate -n lvroot -L 13G cryptvg$ sudo mkfs.ext4 /dev/mapper/cryptvg-lvroot

La création de la partition swap peut être réalisée en utilisant les mêmes étapes, en utilisant le « lvcreate » et le « mkswap ».

$ sudo lvcreate -n lvswap -l 100%FREE cryptvg$ sudo mkswap /dev/mapper/cryptvg-lvswap

Awesome ! Maintenant que vos partitions sont créées, il est temps pour vous de transférer votre rootfilesystem existant sur celui nouvellement créé.

Transférer le système de fichiers entier sur le disque crypté

Avant de transférer votre système de fichiers entier, il pourrait être une bonne idée de vérifier que vous avez assez d’espace sur le disque de destination.

$ df -h 

Afin de transférer votre système de fichiers entier sur votre partition nouvellement créée, vous allez utiliser la commande « rsync ».

Montez votre volume logique nouvellement créé et commencez à copier vos fichiers et dossiers de manière récursive sur le lecteur de destination.

$ sudo mount /dev/mapper/cryptvg-lvroot /mnt$ sudo rsync -aAXv / --exclude="mnt" /mnt --progress

Ce processus peut prendre un certain temps en fonction de la quantité de données que vous avez à transférer.

Après un certain temps, l’ensemble de votre système de fichiers devrait être copié sur votre lecteur crypté. Maintenant que le « /boot » est crypté, vous devrez réinstaller l’étape 1 du GRUB en conséquence.

Installer et configurer le chargeur de démarrage GRUB

Alors, pourquoi auriez-vous besoin de réinstaller et de reconfigurer votre GRUB en conséquence ?

Pour répondre à cette question, vous devez avoir une idée de base de la façon dont votre système démarre lorsque vous utilisez un processus de démarrage conventionnel BIOS/MBR.

Comme expliqué dans l’introduction, GRUB est divisé en deux (parfois trois) parties : GRUB stage 1 et GRUB stage 2. L’étage 1 ne cherchera que l’emplacement de l’étage 2, souvent situé dans le dossier « /boot » de votre système de fichiers.

L’étage 2 est responsable de nombreuses tâches : chargement des modules nécessaires, chargement du noyau en mémoire et démarrage du processus initramfs.

Comme vous l’avez compris, l’étage 2 est ici crypté, nous devons donc dire à l’étage 1 (situé dans les premiers 512 octets de votre disque) qu’il doit d’abord être décrypté.

Réinstaller l’étage 1 de GRUB & 2

Pour réinstaller le premier étage de GRUB, vous devez d’abord activer le « cryptomount » qui permet l’accès aux périphériques chiffrés dans l’environnement GRUB.

Pour cela, vous devez éditer le fichier « /etc/default/grub » et ajouter l’option « GRUB_ENABLE_CRYPTODISK=y ».

Cependant, vous êtes actuellement assis sur le système que vous essayez de chiffrer. En conséquence, vous devrez chrooter dans votre nouveau lecteur afin d’exécuter les commandes correctement.

Chrooter dans le lecteur crypté

Pour chrooter dans votre lecteur crypté, vous devrez exécuter les commandes suivantes.

Maintenant que vous avez exécuté ces commandes, vous devriez maintenant être dans le contexte de votre lecteur crypté.

$ vi /etc/default/grub

GRUB_ENABLE_CRYPTODISK=y

Comme indiqué dans la documentation GRUB, cette option configurera le GRUB pour rechercher les périphériques cryptés et ajouter des commandes supplémentaires afin de les décrypter.

Maintenant que le stage 1 est configuré, vous pouvez l’installer sur votre MBR en utilisant la commande grub-install.

$ grub-install --boot-directory=/boot /dev/sdb

Note : attention, vous devez spécifier « /dev/sdb » et non « /dev/sdb1 ».

Comme vous l’avez probablement remarqué, en ne fournissant aucune option pour l’installation de GRUB, vous avez par défaut une installation « i386-pc » (qui est conçue pour un firmware basé sur le BIOS).

Réinstaller l’étape 2 de GRUB

En utilisant les étapes détaillées ci-dessus, l’étape 1 a été mise à jour mais nous devons également dire à l’étape 2 qu’elle a affaire à un disque crypté.

Pour y parvenir, dirigez-vous vers le « /etc/default/grub » et ajoutez une autre ligne pour votre étape 2 de GRUB.

GRUB_CMDLINE_LINUX="cryptdevice=UUID=<encrypted_device_uuid> root=UUID=<root_fs_uuid>"

Cette ligne est importante car elle indique à la deuxième étape du GRUB où se trouve le lecteur crypté et où se trouve la partition racine.

Pour identifier les UUID nécessaires, vous pouvez utiliser la commande « lsblk » avec l’option « -f ».

$ lsblk -f 

En utilisant ces UUID, nous ajouterions la ligne suivante au fichier de configuration GRUB.

Pour mettre à jour votre installation GRUB actuelle, vous pouvez utiliser la commande « update-grub2 » dans votre environnement chrooté.

$ sudo update-grub2

Maintenant que vous avez mis à jour votre installation GRUB, votre menu GRUB (c’est-à-dire l’étape 2) devrait être modifié et vous devriez voir le contenu suivant en inspectant le fichier « /boot/grub/grub.cfg ».

Comme vous pouvez le voir, le fichier de configuration GRUB a été modifié et votre système utilise maintenant « cryptomount » afin de localiser le lecteur crypté.

Pour que votre système démarre correctement, vous devez vérifier que :

  • Vous chargez les bons modules tels que cryptodisk, luks, lvm et autres;
  • L’instruction « cryptomount » est correctement définie;
  • Le noyau est chargé en utilisant l’instruction « cryptdevice » que nous venons de définir dans la section précédente.
  • Les UUID spécifiés sont corrects : celui de « cryptdevice » pointe vers la partition chiffrée LUKS2 et celui de « root » vers le système de fichiers racine ext4.

Modifier les fichiers crypttab et fstab

Une des premières étapes d’initramfs sera de monter vos volumes en utilisant les fichiers « /etc/crypttab » et « /etc/fstab » du système de fichiers.

En conséquence, et parce que vous créez de nouveaux volumes, vous devrez peut-être modifier ces fichiers afin d’y mettre le bon UUID.

Tout d’abord, dirigez-vous vers le fichier « /etc/crypttab » (vous pouvez le créer s’il n’existe pas déjà) et ajoutez le contenu suivant

$ nano /etc/crypttab# <target name> <source device> <key file> <options> cryptlvm UUID=<luks_uuid> none luks

Si vous n’êtes pas sûr de l’UUID de votre périphérique crypté, vous pouvez utiliser le « blkid » pour obtenir l’information.

$ blkid | grep -i LUKS 

Maintenant que le fichier crypttab est modifié, il ne vous reste plus qu’à modifier le fstab en conséquence.

$ nano /etc/fstab# <file system> <mount point> <type> <options> <dump> <pass>UUID=<ext4 uuid> / ext4 errors=remount-ro 0 1

De nouveau, si vous n’êtes pas sûr de l’UUID de votre système de fichiers ext4, vous pouvez utiliser à nouveau la commande « blkid ».

$ blkid | grep -i ext4

Presque terminé !

Maintenant que votre GRUB et vos fichiers de configuration sont correctement configurés, il ne nous reste plus qu’à configurer l’image initramfs.

Reconfigurer l’image initramfs

Parmi tous les scripts de démarrage, initramfs cherchera le système de fichiers racine que vous avez spécifié dans le chapitre précédent.

Cependant, afin de décrypter le système de fichiers racine, il devra invoquer les modules initramfs corrects, à savoir celui de « cryptsetup-initramfs ». Dans votre environnement chrooté, vous pouvez exécuter la commande suivante :

$ apt-get install cryptsetup-initramfs 

Pour inclure les modules cryptsetup dans votre image initramfs, assurez-vous d’exécuter la commande « update-initramfs ».

$ update-initramfs -u -k all

C’est tout !

Vous avez réussi à assembler toutes les pièces nécessaires afin de créer un disque entièrement crypté sur votre système. Vous pouvez maintenant redémarrer votre ordinateur et jeter un coup d’œil à votre nouveau processus de démarrage.

Boot on Encrypted Device

Lorsque vous démarrez, le premier écran que vous verrez est la première étape du GRUB essayant de décrypter la deuxième étape du GRUB.

Si vous voyez cette invite de mot de passe, cela signifie que vous n’avez pas d’erreurs dans votre configuration d’étape 1.

Note : sachez que cet écran peut ne pas suivre la disposition habituelle de votre clavier. En conséquence, si vous avez une invite de mot de passe incorrect, vous devriez essayer de prétendre que vous avez un clavier US ou un AZERTY par exemple.

En fournissant le mot de passe correct, vous serez présenté avec le menu GRUB.

Si vous voyez cet écran, cela signifie que votre étape 1 a pu ouvrir l’étape 2. Vous pouvez sélectionner l’option « Ubuntu » et démarrer sur votre système.

Sur l’écran suivant, il vous est demandé de fournir à nouveau la phrase de passe.

Ceci est tout à fait normal car votre partition de démarrage est cryptée. En conséquence, vous avez besoin d’une phrase de passe pour déverrouiller l’étage 2 et d’une autre pour déverrouiller l’ensemble du système de fichiers racine.

Heureusement, il existe un moyen d’éviter cela : en ayant un fichier clé intégré dans l’image initramfs. Pour cela, les contributeurs d’ArchLinux ont écrit un excellent tutoriel sur le sujet.

Dans ce cas, nous allons juste fournir la phrase de passe et appuyer sur Entrée.

Après un moment, lorsque le processus d’init est terminé, vous devriez être présenté avec l’écran de verrouillage de votre interface utilisateur !

Félicitations, vous avez réussi à crypter un système entier sous Linux !

Cryptage du système de fichiers racine sur un disque existant

Dans certains cas, vous pouvez avoir à crypter un disque existant sans avoir la possibilité de supprimer l’un des disques de votre ordinateur. Ce cas peut se produire si vous avez un disque sous garantie par exemple.

Dans ce cas, le processus est assez simple :

  • Faire une USB bootable (ou un périphérique amovible) contenant un ISO de la distribution de votre choix ;
  • Utiliser le périphérique afin de démarrer et de se connecter à un LiveCD de votre distribution ;
  • À partir du LiveCD, identifier le disque dur contenant votre distribution racine et en faire une sauvegarde ;
  • Montez la partition primaire sur le dossier de votre choix et suivez les instructions du chapitre précédent;

Alors pourquoi devez-vous utiliser un LiveCD si vous voulez chiffrer un disque non amovible ?

Si vous deviez crypter votre disque principal primaire, vous devriez le démonter. Cependant, comme il s’agit de la partition racine de votre système, vous ne pourriez pas la démonter, par conséquent, vous devez utiliser un LiveCD.

Cryptage du système de fichiers racine depuis l’assistant d’installation

Dans certains cas, certains distributeurs intègrent le processus de cryptage directement dans l’assistant d’installation.

Si vous ne cherchez pas à transférer un système de fichiers existant d’un système à un autre, vous pourriez être tenté d’utiliser cette option.

Prenant Ubuntu 20.04 comme exemple, le processus d’installation suggère le chiffrement du disque dans l’assistant de configuration du disque.

Si vous sélectionnez cette option, vous aurez une configuration similaire à celle faite dans les sections précédentes. Cependant, la plupart des distributions choisissent de ne pas chiffrer le dossier « /boot ».

Si vous souhaitez chiffrer le dossier « /boot », nous vous recommandons de lire la première section de ce tutoriel.

Dépannage

Comme l’open-source change constamment, il y a une chance que vous ne puissiez pas démarrer votre système, même si vous avez suivi attentivement les étapes de ce tutoriel.

Cependant, comme les sources d’erreur sont probablement infinies et spécifiques à chaque utilisateur, il serait inutile d’énumérer tous les problèmes que vous pouvez encouter.

Cependant, la plupart du temps, il est assez important de savoir à quelle étape du processus de démarrage vous échouez.

Si vous voyez un écran avec une invite « grub rescue », cela signifie probablement que vous êtes bloqué à l’étape 1, donc que le chargeur de démarrage n’a pas pu localiser le disque contenant la deuxième étape.

Si vous êtes dans une invite initramfs, cela signifie probablement que quelque chose de mal s’est produit pendant le processus d’init :

  • Etes-vous sûr d’avoir spécifié les systèmes de fichiers à monter dans les fichiers crypttab et fstab ?
  • Etes-vous sûr que tous les modules étaient actuellement chargés dans votre image initramfs ? Ne vous manque-t-il pas les modules cryptsetup ou lvm par exemple ?

Vous trouverez ci-dessous quelques ressources que nous avons trouvées intéressantes lors de la rédaction de ce tutoriel, elles peuvent avoir des réponses à vos problèmes :

  • Crypter un système entier : un tutoriel similaire pour ArchLinux;
  • Cryptage manuel du système sur Ubuntu : étapes utilisées afin de chrooter dans un système de fichiers racine.

Conclusion

Dans ce tutoriel, vous avez appris comment vous pouvez chiffrer un système de fichiers racine entier, avec le dossier « /boot », en utilisant la spécification LUKS.

Vous avez également appris le processus de démarrage de Linux et les différentes étapes par lesquelles votre système passe pour lancer votre système d’exploitation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Back to Top