Activer le chiffrement du disque après l'installation


61

Je cours 13.10 Saucy. Si je n'ai pas activé le chiffrement de disque lors de l'installation, y a-t-il un moyen de l'activer après coup?

J'ai trouvé ceci , qui indique que le cryptage doit être effectué au moment de l'installation, mais il fait également référence à Fedora. Je peux facilement démarrer sur un disque live s'il existe un moyen de le faire à partir de là.


Cryptage intégral du disque ou simplement votre dossier / home?
Joren

Disque complet. (Question suivante: quels sont les avantages et les inconvénients du disque complet par rapport à juste / à la maison? :))
Isaac Dontje Lindell

Le cryptage de disque / home n'inclut pas l'espace d'échange. Les données sensibles peuvent être écrites dans un échange non crypté, si seulement / home est crypté. Cela peut être récupéré. Ubuntu a le déchiffrement automatique de / home lors de la connexion. Le chiffrement intégral du disque nécessite un mot de passe à la fois au démarrage et à la connexion. Redimensionner un lecteur crypté est un processus fastidieux. Si vous avez un lecteur externe, il est facile de chiffrer après l’installation dans 13.10 Saucy Salamander: sauvegardez vos données, lancez des «disques» à partir du tableau de bord, sélectionnez votre lecteur externe, cliquez sur le cog, sélectionnez Crypter, déverrouillez votre lecteur nouvellement crypté. , recopiez les données.
user75798

Réponses:


57

Si vous souhaitez activer le cryptage de votre dossier de base, vous devez installer et utiliser ces packages: ecryptfs-utilset cryptsetup. Vous aurez également besoin d'un autre compte utilisateur avec des privilèges d'administrateur (sudo). La documentation complète est ici:

Si vous souhaitez activer le chiffrement intégral du disque après l'installation, la réponse courte pour le moment est probablement: non, vous ne pouvez pas . Quoi qu'il en soit, si cela vous intéresse, votre question est la suivante:


8
Veuillez inclure au moins les étapes de base de votre lien howto ici. Juste au cas où votre lien se déconnecte, change ou est temporairement inaccessible.
con-f-use

1
@ con-f-use Si vous lisez attentivement (sans confusion), les étapes de base sont incluses dans la réponse.
Radu Rădeanu

1
Que se passe-t-il si vous avez un partage samba dans votre dossier personnel qui est crypté? Les utilisateurs du réseau ne peuvent-ils plus lire les fichiers ou sont-ils déchiffrés via le partage?
Rush Frisby

21

Question de suivi: quels sont les avantages et les inconvénients du disque complet par rapport à juste / à la maison?

Le cryptage dans / home est effectué à l'aide d'un système de fichiers de l'espace utilisateur appelé ecryptfs.. C’est très bien fait et bien intégré dans le système d’authentification par défaut afin que vous n’ayez aucun inconvénient en termes d’utilisabilité: lorsque vous entrez votre compte (depuis un shell distant ou depuis l’écran de connexion par défaut), votre mot de passe est utilisé pour dérouler une clé sécurisée. , qui est ensuite utilisé pour chiffrer / déchiffrer vos fichiers dans votre répertoire personnel à la volée (le système de fichiers monté résidera directement dans / home / nomutilisateur). Lorsque vous vous déconnectez, / home / nom d'utilisateur est démonté et seuls les fichiers chiffrés restent visibles dans le système (généralement dans /home/.ecryptfs/nomutilisateur/.Private/). Ils ressemblent à un tas de fichiers scrabbled / random puisque les noms de fichiers sont également cryptés. La seule fuite d'informations est la suivante: taille du fichier, horodatage et nombre de fichiers (avec chiffrement intégral du disque, ceux-ci sont également masqués).

Si votre système doit être partagé entre plusieurs utilisateurs, c’est une fonctionnalité très intéressante, même si vous décidez d’ajouter le cryptage intégral du disque: la sécurité du cryptage intégral du disque est désactivée lorsque la machine est en marche à la maison ( Le cryptage ecryptfs est activé aussi longtemps que vous êtes déconnecté.

Ainsi, le chiffrement intégral du disque et le chiffrement à domicile ne s’excluent pas nécessairement.

Voici une liste des configurations possibles, en fonction de différents besoins de sécurité:

  • Cryptage complet du disque uniquement: Si vous êtes le seul à utiliser votre ordinateur et que votre ordinateur peut supporter le surcoût du chiffrement intégral du disque (tous les ordinateurs de bureau modernes peuvent le faire sans que l'utilisateur ne le remarque, les netbooks et les vieux ordinateurs portables chiffrement du disque et placez-vous dans la même partition que votre système d'exploitation (/).
  • CHIFFREMENT DE DISQUE COMPLET ET Cryptage ECRYPTFS : Si vous craignez que vos données personnelles ne soient lues pendant que votre ordinateur est allumé ou si vous partagez votre ordinateur avec d'autres utilisateurs, vous pourriez avoir votre maison dans une partition différente de / et utiliser ecryptfs avec le disque complet. chiffrement (c'est-à-dire chiffrement de / via LUKS)
  • Cryptage à la maison des cryptes uniquement : Si vous n’êtes pas trop inquiet à l’idée que quelqu'un altère votre système en votre absence mais que vous souhaitiez tout de même protéger vos données personnelles, ignorez le cryptage intégral du disque et utilisez simplement ecryptfs (cryptage de la maison). Un avantage supplémentaire de ce scénario est qu’il est assez facile à mettre en place même aprèsvous avez installé Ubuntu, en utilisant simplement ecryptfs-migrate-home. Cela a également été la configuration par défaut d’Ubuntu avant la modification de quelques versions, ajoutant la possibilité d’un chiffrement intégral du disque. Étant donné que la plupart des ordinateurs de bureau modernes peuvent gérer le chiffrement intégral du disque sans problème et qu’il ajoute une couche de sécurité fine contre l’injection de code hors ligne, un chiffrement intégral du disque a été ajouté à l’installateur. Notez cependant que pour la plupart des utilisateurs, le simple fait de chiffrer leur maison avec ecryptfs suffira à répondre à leurs besoins: empêcher leurs amis et les voleurs d’ordinateurs portables communs de protéger leurs données privées. De plus, si vous avez été ciblé par une organisation disposant des moyens adéquats, le chiffrement intégral du disque ou simplement le chiffrement à domicile ne changera rien tant que vous n'aurez pas également créé de nombreux autres comportements paranoïaques (comme: garder le noyau dans une clé séparée qui est toujours sur vous; vérifiant constamment pour la falsification de matériel / keyloggers et ainsi de suite)

Si je n'ai pas activé le chiffrement de disque lors de l'installation, y a-t-il un moyen de l'activer après coup?

Oui, ce sera plus facile si vous utilisez actuellement LVM et que vous avez suffisamment d’espace sur votre système pour copier tous vos fichiers système non chiffrés sur une partition LUKS chiffrée. Pour le moment, je ne vais pas entrer dans les détails, car je ne sais pas si vous utilisez LVM et si vous préférez ne pas utiliser ecrypfs pour le moment et éviter le chiffrement intégral du disque jusqu'à la prochaine installation.


3

Eh bien, vous pouvez faire une sauvegarde de tous les répertoires importants et des logiciels installés. Assurez-vous que votre 13.10 est entièrement mis à jour pour éviter les conflits de version. Habituellement, les choses à sauvegarder seraient:

  • /boot
  • /etc
  • home
  • var
  • /usr/local
  • Logiciel installé via Synaptic / Software Center
  • Si vous avez compilé un logiciel personnalisé que vous pourriez avoir à inclure des dossiers supplémentaires dans votre sauvegarde (par exemple /bin, /lib, lib64).

Après cela, vous ne réinstallez le système que maintenant chiffré. Mettez-le à jour. Déplacez ensuite la sauvegarde sur le système crypté et installez tous les logiciels de la version précédente.

Juste être sûr de ne pas écraser les fichiers importants du cryptage, lors de remettre la sauvegarde (par exemple /etc/fstab, /etc/cryptab, des trucs liés grub et quelques trucs en /bootne doivent pas être remplacés par les fichiers sauvegardés).


1

À partir d’une Ubuntu 16.04 opérationnelle, j’ai réussi à chiffrer la partition racine après l’installation, la partition racine contenant tout, à l’exception de / boot. Je mets / boot sur un usb amovible séparé. Je l'ai notamment fait avant de passer à Ubuntu 18, et la mise à niveau a bien fonctionné avec la version de disque chiffrée.

Le cryptage n'a pas été effectué "en place", ce qui me convenait parfaitement, car je ne voulais pas écraser la version opérationnelle tant que la nouvelle configuration ne fonctionnait pas.

Effectuer la procédure correcte est extrêmement simple et rapide. (Bien que déterminer la procédure correcte prenait énormément de temps, car je suivais de fausses pistes.)

CONTOUR

  1. Créez un disque USB Linux en direct - il est pratique d’activer la persistance. Démarrez sur ce disque USB.
  2. Créez un groupe de volumes chiffré luks sur une partition vide. (Dans mon cas, il se trouvait sur le même disque que le linux d'origine, mais il pourrait s'agir d'un autre disque.) Créez / (racine) et échangez les volumes logiques sur cette partition chiffrée. Celles-ci serviront de partitions virtuelles en ce qui concerne Linux copié.
  3. Copiez les fichiers de l'ancienne racine vers la nouvelle.
  4. Configurez et partitionnez une autre clé USB pour qu’elle serve de disque de démarrage amovible.
  5. Configurez des fichiers dans la nouvelle racine, faites un peu de magie et chrootez dans la nouvelle racine, puis installez grub sur le disque de démarrage à partir du nouvel environnement racine chroot'd.

DÉTAILS

1 - Démarrez avec un disque USB Linux en direct - il est pratique d’activer la persistance.

Ubuntu 16 installé sur un usb avec unetbootin. L’interface graphique permet de spécifier la "persistance", mais une autre étape est également nécessaire pour que la persistance fonctionne: modifiez /boot/grub/grub.cfgpour ajouter --- persistentcomme suit:

menuentry "Try Ubuntu without installing" {
    set gfxpayload=keep
    linux   /casper/vmlinuz  file=/cdrom/preseed/ubuntu.seed boot=casper quiet splash --- persistent
    initrd  /casper/initrd
}

Démarrer avec le live USB

2- Créez un groupe de volumes luks sur une partition vide. Créez / (racine) et permutez les volumes logiques sur cette partition chiffrée.

Supposons que la partition inutilisée à chiffrer est /dev/nvme0n1p4.

En option , si vous avez des anciennes données sur la partition que vous voulez cacher avant le cryptage et le formatage, vous pouvez essuyer au hasard la partition. Voir la discussion ici .

dd if=/dev/urandom of=/dev/nvme0n1p4 bs=4096 status=progress

Configurez le cryptage.

cryptsetup -y -v luksFormat /dev/nvme0n1p4

Vous serez invité à définir un mot de passe.

cryptsetup luksOpen /dev/nvme0n1p4 crypt1

Vous serez invité à entrer le mot de passe. Notez qu'il crypt1s'agit d'un nom d'utilisateur arbitraire. Maintenant, créez les volumes et le format.

pvcreate /dev/mapper/crypt1
vgcreate crypt1-vg /dev/mapper/crypt1

lvcreate -L 8G crypt1-vg -n swap
mkswap /dev/crypt1-vg/swap

lvcreate -l 100%FREE crypt1-vg -n root
mkfs.ext4 /dev/crypt1-vg/root

Utilisez ces utilitaires pour afficher les volumes et comprendre la hiérarchie.

pvscan
vgscan
lvscan
ls -l /dev/mapper
ls -l /dev/crypt1

3- Copier les fichiers de l'ancienne racine vers la nouvelle racine

mkdir /tmp/old-root 
mount /dev/ubuntu-vg/root /tmp/old-root/
mkdir /tmp/new-root
mount /dev/crypt1-vg/root /tmp/new-root/
cp -a /tmp/old-root/. /tmp/new-root/

umount /tmp/old-root
umount /tmp/new-root

cp -a ... copies en mode archive, en préservant tous les modes de fichiers et les indicateurs.

4- Configurez et partitionnez une autre clé USB pour qu'elle serve de disque de démarrage amovible.

J'ai utilisé gparted pour cela. Configurez deux partitions. La première partition est vfat, la seconde ext2. Chacun faisait 512 Mo, vous pourriez vous en tirer avec moins. Suppose que l'appareil /dev/sdf.

# The first partition: (will be /dev/sdf1)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: fat32
Label: (leave)

# The second partition: (will be /dev/sdf2)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: ext4
Label: (leave) 

5- Configurez des fichiers dans la nouvelle racine, faites un peu de magie et chrootez dans la nouvelle racine, puis installez grub sur le disque de démarrage à partir du nouvel environnement racine chrooté.

Trouvez des UUID pour une utilisation ultérieure. Notez les résultats des commandes suivantes:

blkid /dev/sdf1
blkid /dev/sdf2
blkid /dev/nvme0n1p4

Montez la partition racine et les partitions de démarrage

sudo mount /dev/mapper/crypt1--vg-root /mnt
sudo mount /dev/sdf2 /mnt/boot
sudo mount /dev/sdf1 /mnt/boot/efi

Configurer le fichier /mnt/etc/fstab

/dev/mapper/crypt1--vg-root /               ext4    errors=remount-ro 0       1
/dev/mapper/crypt1--vg-swap none    swap    sw              0       0
UUID=[uuid of /dev/sdf2] /boot           ext2    defaults        0       2
UUID=[uuid of /dev/sdf1]  /boot/efi       vfat    umask=0077      0       1

où "[uuid of ...]" est juste une combinaison lettre-nombre-trait d'union.

Créer le fichier /mnt/etc/cryptab

# <target name> <source device>     <key file>  <options>
crypt1 UUID=[uuid of /dev/nvme0n1p4] none luks,discard,lvm=crypt1--vg-root

Un peu de magie est nécessaire pour entrer dans l’environnement du répertoire racine:

sudo mount --bind /dev /mnt/dev
sudo mount --bind /proc /mnt/proc
sudo mount --bind /sys /mnt/sys
chroot /mnt

Maintenant, configurez le disque USB de démarrage avec grub:

apt install --reinstall grub-efi-amd64
grub-install --efi-directory=/boot/efi --boot-directory=/boot --removable
update-initramfs -k all -c
update-grub

Vous devriez maintenant pouvoir redémarrer et démarrer à l’aide du nouveau disque de démarrage USB.

Le dépannage

(a) Le réseau doit être connecté pour la apt install --reinstall grub-efi-amd64commande. Si le réseau est connecté mais que le DNS échoue, essayez

echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf > /dev/null

(b) Avant d'appeler initramfs, le vmlinuz...fichier actuel utilisé dans le linux d'origine doit être présent dans le nouveau répertoire racine. Si ce n'est pas le cas, trouvez-le et placez-le là.

(c) La grub-installcommande par défaut rechercher tous les autres disques de Linux , il peut trouver même si elles ne sont pas mounted, et les mettre dans le menu de démarrage sur le nouveau USB de démarrage. Généralement, cela n'est pas souhaité, vous pouvez donc l'éviter en ajoutant cette ligne à /boot/default/grub.cfg:

GRUB_DISABLE_OS_PROBER=true

REMARQUE: Un fichier texte avec la clé de cryptage peut être ajouté à la clé USB de démarrage amovible.


0

Réponse simple: non

Réponse compliquée:

Le chiffrement d'un disque ou d'une partition effacera tout ce qui se trouve actuellement sur ce disque ou cette partition. Par conséquent, pour chiffrer un disque, vous devez également en supprimer le contenu. Vous devez effectuer les sauvegardes de données appropriées avant de commencer. Évidemment, cela signifie que vous devez réinstaller le système pour utiliser le chiffrement intégral du disque, sans autre moyen. Cela est dû au fait que des données aléatoires seront écrites sur tout le disque pour rendre plus difficile la récupération des données.

Mais, de nos jours, vous n'avez pas besoin de chiffrer votre partition racine. N'oubliez pas que si quelque chose se connecte, vous êtes hors de votre système sans possibilité de récupérer les données. Vous devriez plutôt envisager uniquement de chiffrer vos informations personnelles.

Voir la question associée. Comment chiffrer le disque complet après l’installation?


"Sont hors de votre système sans possibilité de récupérer les données" <--- C'est incorrect. Tant que l'on dispose de la clé de cryptage, les données peuvent être récupérées avec un support en direct.
con-f-use

@ con-f-use prend en compte le fait qu'il y avait une condition "si quelque chose se connecte" ce qui signifie que si quelque chose d'incroyablement grave arrive sur le lecteur / partition, il est crypté.
Braiam

Eh bien oui, si vous êtes nerveux, vous devez également conserver une sauvegarde récente de l'en-tête LUKS sur le disque crypté. Mais j'inclurais cela dans "clé de cryptage". En dehors de cela, le chiffrement complet ne présente aucun inconvénient du point de vue de la récupération des données. Cependant, le fait de savoir quelle version d'Ubuntu est présente, quels programmes sont installés et ainsi de suite fournit un vecteur d'attaque possible sur des disques non entièrement chiffrés. Les SSD le font aussi généralement. Donc, pour les paranoïaques, le chiffrement intégral du disque n’est toujours pas possible.
con-f-use

"Mais, de nos jours, vous n'avez pas besoin de chiffrer votre partition racine." S'il vous plaît parlez pour vous-même, je suis complètement en désaccord. "Le chiffrement d'un disque ou d'une partition effacera tout ce qui se trouve actuellement sur ce disque ou cette partition. Par conséquent, pour chiffrer un disque, vous devez également en supprimer le contenu." Encore une fois, pas d'accord. Truecrypt est un très bel exemple de la création de FDE sous Windows avec des disques existants. En fait, il s’agit de la méthode d’installation de facto: non chiffrée et, une fois cela fait, chiffrez-la. Cela ne change pas la réponse dans le sens où cela n’est pas possible sur Ubuntu, mais vos déclarations sont très catégoriques et incorrectes.
Cookie

@ Cookie, pourquoi crypteriez-vous une partition contenant des éléments que vous pourrez installer ultérieurement? (et s'il vous plaît, je parle de système utilisateur courant, rien à voir avec les serveurs d'entreprise / d'entreprise sur lesquels des éléments pourraient être installés) 2) de ce dont vous parlez est une fonctionnalité de TrueCrypt uniquement disponible pour Windows à jour et si vous ne trouvez pas un système de chiffrement Linux capable de chiffrer une partition après l'installation, mes instructions sont correctes, car, pour le moment, ce n'est pas possible.
Braiam
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.