Comment déverouiller automatiquement un volume encrypté LUKS au démarrage de LinuxMint?

Dans un article précédent, je vous ai parlé sur comment faire en sorte qu’un volume LUKS soit monté automatiquement lors du lancement de LinuxMint. Ceci vous permettait d’avoir le mot de passe demandé lors du lancement de LinuxMint, plutôt qu’une fois le système d’exploitation tout initialisé.

L’article présent, vous montrera comment créer un fichier clef, qui sera utilisé au lieu du mot de passe lors du lancement, afin que le volume soit automatiquement déverrouillé.

Ce qui suit ne fonctionne pas pour un volume « root » « / », mais seulement pour des volumes secondaires, tel des disques USB ou SATA de données.

Pourquoi?

La grande question ici est pourquoi!? Après tout, nous avons encrypté notre volume pour le protéger en cas de vol, pour que nos données soient protégées. Il y a quelques raisons que j’ai vu sur Internet, mais laissez-moi vous en donner que deux que j’ai trouvé très bien.

a) Si votre volume se trouve sur un disque USB, il est plus probable que votre disque dur soit volé plus rapidement et facilement, que votre tour d’ordinateur. Si vous êtes confiant de ne jamais vous faire voler votre ordinateur, vous n’avez pas besoin d’un volume « root » « / » encrypté en plus.

b) Si vous avez plusieurs volumes LUKS, ça fait beaucoup de mots de passes à entrer à l’ouverture de l’ordinateur, c’est chiant. C’est ma situation, mon « root » « / » est encrypté, en plus de quelques autres disques durs. Ça fait beaucoup de mots de passes à entrer au démarrage.

Pour ces deux raisons, nous allons créer un fichier clef, un par volume LUKS, qui permettra de déverrouiller ces derniers. Ce fichier clef sera entreposé sur votre disque « root » « / ».

Veuillez noter que la manipulation suivante, ne supprime pas l’option de déverouiller votre volume par un mot de passe. Ce qui veut dire que tant que l’ordinateur détecte le fichier, ou, le mot de passe, votre volume sera décrypté. Si par malheur votre fichier devait être détruit ou perdu, vous pourrez toujours avec le mot de passe déverrouiller votre volume LUKS lors du démarrage.

Création du fichier clef

sudo dd if=/dev/urandom of=/root/clef1 bs=1024 count=4

Ceci vient de créer un fichier de texte mélangé dont la taille est de 4Ko nommé clef1 à l’emplacement /root/.

sudo chmod 0400 /root/clef1

Nous venons de faire en sorte que seule l’utilisateur « root » puisse lire le fichier clef1, et qu’il ne puisse pas le modifier.

Configurer l’utilisation du fichier lors du déverouillage

Nous allons dire à LUKS que ce fichier peut être utilisé à la place du mot de passe pour déverrouiller le volume.

sudo cryptsetup luksAddKey /dev/sdX /root/clef1

Remplacez sdX par la partition correspondante. Dans mon cas, le tout est sur un volume RAID « md127 », j’ai donc écrit /dev/md127.

Enter any LUKS passphrase:

Entrez votre mot de passe LUKS pour ce volume. Le terme « any » porte à confusion, puisqu’ici nous voulons absolument entrer notre mot de passe déjà existant pour déverrouiller ce volume.

Configurer l’utilisation du fichier du montage

Nous allons maintenant aller jouer dans le fichier /etc/crypttab pour dire d’utiliser le fichier clef1 lors du montage.

sudo gedit /etc/crypttab

Remplacez « none » par « /root/clef1 » sur la ligne concernant le volume désiré.

Et voilà c’est terminé! Au prochain redémarrage, vous ne serez pas invité à entrer votre mot de passe pour ce volume LUKS. Cependant, si votre volume « root » « / » est encrypté, vous serez invité à entrer le mot de passe de ce dernier.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *