Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 09/06/2023, à 12:50

Arp

Chiffrement post installation - Ubuntu 22.04

Bonjour,

J'essaye depuis quelques jours de reproduire le chiffrement de disque qui se fait lors de l'installation d'Ubuntu 22.04 (avec LVM).
En fait, mon but est de chiffrer le disque d'un Ubuntu non chiffré déjà installé (avec LVM).

Situation de départ (Ubuntu installé non chiffré) :
sda                       8:0    0   476,9G  0 disk 
├─sda1               8:1    0   512M    0 part
└─sda2               8:2    0   474,8G  0 part
    ├─vgubuntu-root         253:0    0   472,8G  0 lvm
    └─vgubuntu-swap_1   253:1    0   1,9G  0 lvm   [SWAP]

Situation souhaitée à l'arrivée :
sda                       8:0    0   476,9G  0 disk 
├─sda1               8:1    0   512M    0 part
└─sda2               8:2    0   474,8G  0 part
  └─sda2_crypt   253:0    0   474,8G  0 crypt
    ├─vgubuntu-root        253:1    0   472,8G  0 lvm
    └─vgubuntu-swap_1  253:2    0   1,9G  0 lvm   [SWAP]

Ce que j'ai tenté :
J'ai booté ma machine sur une clé USB avec Ubuntu 22.04, et je suis allé dans "Essayer Ubuntu".
J'ai effectué toutes les étapes suivantes depuis cette clé en sudo (je me suis basé en grande partie sur https://sudonull.com/post/130720-Encryp … data-loss) :

(pour gagner de la place)
e2fsck -f /dev/vgubuntu/root
dumpe2fs /dev/vgubuntu/root | grep 'Block count'
---> j'obtiens un nombre de blocs
resize2fs /dev/vgubuntu/root <nombre obtenu réduit de 1024>

(pour chiffrer)
lvchange -an /dev/vgubuntu/root
lvchange -an /dev/vgubuntu/swap_1
cryptsetup reencrypt -c serpent-xts-plain64 -s 256 -N --reduce-device-size 4M /dev/sda2

RESULTAT : ça ne fonctionne pas, la swap n’apparaît plus, et quand je démarre, j’arrive dans le grub

Variation :
J’ai aussi essayé de faire la procédure ci-dessus mais en supprimant au préalable le LV swap, puis en le recréant après le chiffrement (avec lvcreate + mkswap). Rien ne change, j’arrive toujours dans le grub au démarrage…

J’ai l’impression de ne pas être loin de la solution, mais il me manque un élément. Quelqu’un aurait une idée pour me débloquer ? Merci !

Hors ligne

#2 Le 09/06/2023, à 12:57

geole

Re : Chiffrement post installation - Ubuntu 22.04

Bonjour
Tu devrais créer une partition de boot standard qui restera non chiffrée et lancer un boot-repair.
En théorie la partition de boot EFI devrait lancer la partition chiffrée mais je ne sais pas comment lui faire codifier et je ne suis pas certain que cela soit pris en compte dans boot-repair Mais tu peux essayer avant de faire la partition de boot  indépendante.

Dernière modification par geole (Le 09/06/2023, à 13:00)


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

En ligne

#3 Le 09/06/2023, à 14:26

jplemoine

Re : Chiffrement post installation - Ubuntu 22.04

Oui (de mémoire) pour la partition de boot (point de montage : /boot) non chiffré.
A voir s'il ne faut pas aussi une partition /boot/efi non chiffré.
Idem pour le swap :


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Déconnecté jusqu’à nouvel ordre

Hors ligne

#4 Le 09/06/2023, à 17:55

geole

Re : Chiffrement post installation - Ubuntu 22.04

A mon avis, "sda1               8:1    0   512M    0 part"  est la partition de boot EFI non chiffrée et qui doit le rester car utilisée par le bios EFI.
Je pense que créer un fichier swap sera plus pratique

Dernière modification par geole (Le 09/06/2023, à 17:56)


Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit,  utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir  https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248

En ligne

#5 Le 10/06/2023, à 08:36

Nuliel

Re : Chiffrement post installation - Ubuntu 22.04

Bonjour,
Quelques précisions:
Il est possible de chiffrer /boot mais c'est relativement pénible à faire (je l'avais fait sur un centOS, et j'avais bien galéré, si besoin je peux tenter de retrouver le lien salvateur)
Il faut chiffrer le swap. Si par exemple la clé de chiffrement de disque venait à être dans une partition swap non chiffrée, le chiffrement tombe.
Il n'est pas possible de chiffrer la partition EFI pour la simple et bonne raison qu'il faut bien démarrer sur quelque chose pour déchiffrer. Le secure boot peut être intéressant si tu souhaites contrôler l'authenticité des fichiers efi.
Chiffrer après l'installation en LUKS n'est à mon avis pas ce que fait l'installateur ubuntu. Normalement on crée un conteneur LUKS (on peut faire un effacement sécurisé avant), on met les partitions dedans, et on les remplit (l'install à proprement parler).
Je pense que réduire la partition avant le chiffrement permet de connaître la structure de ta partition chiffrée, puisqu'il y a des restes d'infos après ta partition chiffrée. C'est donc à mon avis une mauvaise idée.
Je comprends pas à quel moment tu crées le conteneur LUKS.
Sinon je pense que ta manip va être bien plus compliquée que de réinstaller.

Pour tes tests, une vm avec une snapshot avant les diverses tentatives de chiffrement serait préférable, car plus simple.

Dernière modification par Nuliel (Le 10/06/2023, à 08:36)

Hors ligne