Voilà un petit tutoriel en complément de celui du numéro de Gnu Linux Magazine France de ce mois-ci pour savoir comment crypter votre partition home et votre swap.
Ce tuto n’a pas vocation a créer un bunker sur votre PC, mais juste de rendre vos données inaccessibles en cas de vol.
ATTENTION: Ce tuto est risqué pour vos données. En cas d’erreur dans le choix de la partition ou d’oubli du mot de passe, vous perdrez vos données. cela dit, il faut bien s’amuser non ? 🙂
La première étape est d’installer les packages nécessaires.
sudo apt-get install cryptsetup
sudo apt-get install libpam-mount
Ensuite, par simplicité, créer un mot de passe pour le compte root afin de pouvoir vous connecter lorsque votre partition home sera indisponible.
sudo su - passwd
Quittez X puis tapez ALT + CTRL + F1 pour aller sur une console. logguez vous en root, nous allons nous occuper du swap.
swapon -s
relevez le nom de votre partition de swap (ici /dev/xxxx)
swapoff /dev/xxxx
cryptsetup -c aes -d /dev/random -s 256 create c_swap /dev/xxxx
mkswap /dev/mapper/c_swap
swapon /dev/mapper/c_swap
Dans le fichier /etc/cryptab
ajoutez:
c_swap /dev/sda3 /dev/urandom size=256,swap
Dans le fichier /etc/fstab remplacez la ligne montant votre ancien swap par celle-ci:
/dev/mapper/c_swap none swap sw 0 0
Voilà, votre swap est crypté avec une clef périmant à chaque redémarrage. Attention, ce système vous empêche d’utiliser l’hibernation (la clef étant perdue au redémarrage, le swap est formaté à chaque boot). Cependant une petite recherche sur internet vous permettra de trouver des solutions pour contourner ce problème.
Pour ce qui est de la partition home, le problème est le formatage de la partition. Vous êtes obligés de copier le contenu de /home vers un autre support (partion, DVD, disque usb…) puis de tout restaurer à la fin de la manip. Évidemment, le /home doit être sur une partition indépendante. Toujours en dehors de X,
Notez le nom de votre partition home
mount
Ensuite démontez /home (ici /dev/sda4)
umount /home
cryptsetup luksFormat /dev/sda4
Choisissez un mot de passe (compatible avec pam)
cryptsetup luksOpen /dev/sda4 c_home
mkfs.ext3 /dev/mapper/c_home
vi /etc/fstab, remplacez la ligne concernant votre /home par celle-ci:
/dev/mapper/c_home /home ext3 defaults,noauto 0 0
Maintenant, nous allons utiliser un module pam, pam_mount, qui va automatiquement décrypter votre partition home au moment du login (ca prend ~ 2sec)
vi /etc/security/pam_mount.conf Ajoutez la ligne suivante:
volume * crypt - /dev/sda4 /home - - -
Ajoutez la ligne suivante @include common-pammount à tous les modules pam que vous êtes susceptibles d’utiliser pour vous connecter. Gdm et login doivent suffire pour une utilisation normale.
vi /etc/pam.d/gdm
ajoutez
@include common-pammount
vi /etc/pam.d/login
ajoutez
@include common-pammount
Rebootez votre PC. Lorsque vous taperez votre mot de passe, la partition sera décryptée à la volée. Dès que vous vous déconnectez, celle-ci est verrouillée. Certes, ce système est moins sur qu’une clef stockée par exemple sur un support externe, mais elle a le mérite d’être peu contraignante. Il suffit juste d’utiliser un mot de passe fort.
Si j’ai oublié des choses, n’hésitez pas à me le signaler.