Crypter sa partition home avec Ubuntu Gutsy

Voilà un petit tutoriel en complément de celui du numéro de Gnu Linux Magazine France de ce mois-ci pour savoir comment crypter votre partition home et votre swap.

Ce tuto n’a pas vocation a créer un bunker sur votre PC, mais juste de rendre vos données inaccessibles en cas de vol.

entree_interdite_yves_gu_01.png

ATTENTION: Ce tuto est risqué pour vos données. En cas d’erreur dans le choix de la partition ou d’oubli du mot de passe, vous perdrez vos données. cela dit, il faut bien s’amuser non ? 🙂

La première étape est d’installer les packages nécessaires.

sudo apt-get install cryptsetup
sudo apt-get install libpam-mount

Ensuite, par simplicité, créer un mot de passe pour le compte root afin de pouvoir vous connecter lorsque votre partition home sera indisponible.

 sudo su - passwd

Quittez X puis tapez ALT + CTRL + F1 pour aller sur une console. logguez vous en root, nous allons nous occuper du swap.

 swapon -s

relevez le nom de votre partition de swap (ici /dev/xxxx)

 swapoff /dev/xxxx
cryptsetup -c aes -d /dev/random -s 256 create c_swap /dev/xxxx
mkswap /dev/mapper/c_swap
swapon /dev/mapper/c_swap

Dans le fichier /etc/cryptab

ajoutez:

 c_swap         /dev/sda3 /dev/urandom size=256,swap

Dans le fichier /etc/fstab remplacez la ligne montant votre ancien swap par celle-ci:

 /dev/mapper/c_swap none            swap    sw              0       0

Voilà, votre swap est crypté avec une clef périmant à chaque redémarrage. Attention, ce système vous empêche d’utiliser l’hibernation (la clef étant perdue au redémarrage, le swap est formaté à chaque boot). Cependant une petite recherche sur internet vous permettra de trouver des solutions pour contourner ce problème.

Pour ce qui est de la partition home, le problème est le formatage de la partition. Vous êtes obligés de copier le contenu de /home vers un autre support (partion, DVD, disque usb…) puis de tout restaurer à la fin de la manip. Évidemment, le /home doit être sur une partition indépendante. Toujours en dehors de X,

Notez le nom de votre partition home

 mount

Ensuite démontez /home (ici /dev/sda4)

 umount /home
cryptsetup luksFormat /dev/sda4

Choisissez un mot de passe (compatible avec pam)

cryptsetup luksOpen /dev/sda4 c_home
mkfs.ext3 /dev/mapper/c_home

vi /etc/fstab, remplacez la ligne concernant votre /home par celle-ci:

 /dev/mapper/c_home /home           ext3    defaults,noauto        0       0

Maintenant, nous allons utiliser un module pam, pam_mount, qui va automatiquement décrypter votre partition home au moment du login (ca prend ~ 2sec)

vi /etc/security/pam_mount.conf Ajoutez la ligne suivante:

 volume * crypt - /dev/sda4 /home - - -

Ajoutez la ligne suivante @include common-pammount à tous les modules pam que vous êtes susceptibles d’utiliser pour vous connecter. Gdm et login doivent suffire pour une utilisation normale.

 vi /etc/pam.d/gdm
 ajoutez
@include common-pammount
vi /etc/pam.d/login
ajoutez
@include common-pammount

Rebootez votre PC. Lorsque vous taperez votre mot de passe, la partition sera décryptée à la volée. Dès que vous vous déconnectez, celle-ci est verrouillée. Certes, ce système est moins sur qu’une clef stockée par exemple sur un support externe, mais elle a le mérite d’être peu contraignante. Il suffit juste d’utiliser un mot de passe fort.

Si j’ai oublié des choses, n’hésitez pas à me le signaler.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.