Une clé de contact pour votre portable chiffré : Mise à jour
Par Petaramesh le dimanche 11 mai 2008, 09:46 - Informatique non-duelle - Lien permanent
Ce billet est là uniquement pour signaler une importante mise à jour de mon précédent billet Une clé de contact pour votre portable chiffré
et du script bootkeyscript[1] qu'il propose.
En effet, ce script s'est avéré dans sa version précédente pouvoir très mal fonctionner avec une clé non chiffrée sur une clé USB formatée en FAT. Le voici maintenant bien débuggé, partiellement réécrit et enrichi, ainsi que les explications qui vont avec.
Que demande le peuple ? ;-)
Instructions de mise-à-jour :
Si vous utilisiez la précédente version de mon script bootkeyscript, il vous suffit d'installer la nouvelle à la place de la précédente (typiquement dans /usr/local/sbin) et de régénérer votre initramfs avec "update-initramfs -u". C'est tout.
Bon c'est pas tout ça, faut qu'on va aller pique-niquer ;-))
(Rectificatif : Ah non, tiens, le programme de la journée a l'air plutôt réglé sur "Monstre engueulade familiale et hurlements uxoriens"... Soyons zen...)
Notes
[1] (Signature GnuPG, licence GPL)
Commentaires
Comme je remarque que personne n'a mis de commentaire, je tiens a préciser que même si ca ne se voit pas, cet article est digne d'intérêt !
Ceci dit une "page" compilatoire reprenant l'intégrale de cette saga de cryptage de portable ne serait pas du luxe pour celui (ou celle) qui voudrait tout refaire depuis le début.
C'est + ca moi que j'dis !
@Le Joker :
Beh, y'en n'a pas tant que ça ;-)
Un moyen facile, allez : Le CD Ubuntu/Kubuntu "Alternate Install" permet de faire automatiquement l'installation sur une LVM chiffrée, donc d'avoir une machine entièrement chiffrée (sauf
/boot).Si on veut ensuite ajouter la fonction "clé de contact", il doit suffire de faire cette dernière étape après avoir fait l'install chiffrée "automatique" comme un bon gros bourrin :-}
L'intérêt de mes articles précédents est essentiellement de décortiquer le mécanisme, proposer des solutions alternatives et expliquer la conversion d'une machine d'une installation non chiffrée vers une installation chiffrée.
"Un moyen facile, allez : Le CD Ubuntu/Kubuntu "Alternate Install" permet de faire automatiquement l'installation sur une LVM chiffrée, donc d'avoir une machine entièrement chiffrée (sauf /boot)."
C'est ce que j'ai fait sur un vieux portable, c'est facile en effet.
Une question sinon, est-ce possible d'installer cette lvm chiffrée sur un volume raid c'est à dire en combinant raid, lvm, luks/dm-crypt et ext3 pour installer le système ? Parce qu'avec l'alternate cd, une fois qu'on a configuré le volume raid on a plus accès à l'option chiffrement intégral (qui est plutôt rassurante pour un non spécialiste comme moi).
C'est ce que j'ai en tête pour ma prochaine machine : 3 ou 4 disques identiques en raid5, et faire l'installation sur lvm chiffrée. Mais bon, je mets peut être les pieds dans qqchose de trop technique.
@mitch : La dernière Ubuntu 8.04 que j'ai installée, je l'ai faite avec l'alternate install CD en LVM par-dessus du RAID-1 soft, et ça le fait bien. Mais je n'ai pas tenté le coup "LVM chiffrée" sur celle-là, par contre... Je ne vois pas trop pourquoi ça ne le ferait pas ?
J'ai simplement remarqué à cette occasion (c'était la première fois que je jouais avec le CD alternate) qu'il était beaucoup plus long de le faire ainsi en suivant les systèmes de menus à la con que de préparer tout ça à la main en ligne de commande vite-fait bien-fait mdadm / fdisk / cryptsetup / lvm / mke2fs en utilisant le CD-live ordinaire avant de balancer l'install ordinaire par-dessus...
Donc je continuerai sans doute de tailler mes prochaines machines à la main avec le CD d'install live bête et con ;-)