Comment chiffrer un système de fichiers avec la phrase secrète LUKS
Un périphérique de stockage peut être chiffré avec LUKS selon 2 méthodes différentes :
Cryptage à base de clé
Une clé de cryptage (stockée dans un fichier) est utilisée pour crypter le périphérique de stockage. Pour décrypter le périphérique de stockage, la clé de cryptage est requise. Si un périphérique est chiffré de cette manière, vous pouvez automatiquement déchiffrer le périphérique de stockage au démarrage et le monter. Cette méthode est bonne pour les serveurs.
Cryptage basé sur la phrase de passe
Le périphérique de stockage sera chiffré avec une phrase de passe. Vous devrez saisir la phrase de passe chaque fois que vous souhaitez déchiffrer le périphérique de stockage et l'utiliser. Si vous cryptez votre périphérique de stockage système de cette manière, la phrase secrète vous sera demandée à chaque démarrage de votre ordinateur. Vous ne pourrez pas décrypter et monter automatiquement le périphérique de stockage au démarrage. Donc, cette méthode est bonne pour les ordinateurs de bureau.
Vous pouvez également utiliser cette méthode de cryptage pour vos périphériques de stockage externes (disques durs/SSD externes et clés USB). Comme ces périphériques ne seront pas connectés en permanence à votre ordinateur et que vous n'aurez pas besoin de les monter automatiquement, cette méthode est très appropriée pour ces types de périphériques de stockage.
Dans cet article, je vais vous montrer comment installer cryptsetup sur votre ordinateur et chiffrer un système de fichiers avec le chiffrement par phrase secrète LUKS. Pour le chiffrement par clé, consultez l'article Comment chiffrer un système de fichiers Btrfs. Alors, commençons.
Installation de cryptsetup sur Ubuntu/Debian
cryptsetup est disponible dans le dépôt de paquets officiel d'Ubuntu/Debian. Ainsi, vous pouvez l'installer facilement sur votre ordinateur. Tout d'abord, mettez à jour le cache du référentiel de packages APT avec la commande suivante :
Ensuite, installez cryptsetup avec la commande suivante :
Pour confirmer l'installation, appuyez sur Y puis appuyez sur <Entrée>.
cryptsetup doit être installé.
Installation de cryptsetup sur CentOS/RHEL 8 :
cryptsetup est disponible dans le référentiel de packages officiel de CentOS/RHEL 8. Vous pouvez donc l'installer facilement sur votre ordinateur. Tout d'abord, mettez à jour le cache du référentiel de packages DNF avec la commande suivante :
Pour installer cryptsetup, exécutez la commande suivante :
cryptsetup doit être installé.
Dans mon cas, il est déjà installé.
Installation de cryptsetup sur Fedora 34 :
cryptsetup est disponible dans le référentiel de packages officiel de Fedora 34. Vous pouvez donc l'installer facilement sur votre ordinateur. Tout d'abord, mettez à jour le cache du référentiel de packages DNF avec la commande suivante :
Exécutez la commande suivante pour installer cryptsetup :
cryptsetup doit être installé.
Dans mon cas, il est déjà installé.
Installation de cryptsetup sur Arch Linux :
cryptsetup est disponible dans le référentiel de packages officiel d'Arch Linux. Ainsi, vous pouvez facilement l'installer sur votre ordinateur. Tout d'abord, mettez à jour le cache du référentiel de packages Pacman avec la commande suivante :
Exécutez la commande suivante pour installer cryptsetup :
Pour confirmer l'installation, appuyez sur Y puis appuyez sur <Entrée>.
cryptsetup doit être installé.
Trouver le nom de votre périphérique de stockage :
Pour chiffrer un périphérique de stockage, vous devez connaître le nom ou l'ID de ce périphérique de stockage.
Pour trouver le nom ou l'ID du périphérique de stockage, exécutez la commande suivante :
Tous les périphériques de stockage installés sur votre ordinateur doivent être répertoriés comme vous pouvez le voir dans la capture d'écran ci-dessous. Vous devriez trouver le nom ou l'ID du périphérique de stockage que vous souhaitez chiffrer à partir d'ici.
Dans cet article, je chiffrerai le périphérique de stockage sdb pour la démonstration.
Chiffrement des périphériques de stockage avec LUKS :
Pour chiffrer le périphérique de stockage sdb avec la phrase secrète LUKS, exécutez la commande suivante :
Tapez OUI(doit être en majuscules) et appuyez sur <Entrée>.
Saisissez une phrase de passe LUKS et appuyez sur <Entrée>.
Retapez la phrase de passe LUKS et appuyez sur <Entrée>.
Votre périphérique de stockage sdb doit être chiffré avec LUKS et votre mot de passe LUKS souhaité doit être défini.
Ouverture du périphérique de stockage crypté :
Une fois que votre périphérique de stockage sdb est chiffré, vous pouvez le déchiffrer et le mapper en tant que données sur votre ordinateur avec l'une des commandes suivantes :
Ou,
Saisissez la phrase de passe LUKS que vous avez définie précédemment pour déchiffrer le périphérique de stockage sdb.
Le périphérique de stockage sdb doit être déchiffré et mappé en tant que périphérique de stockage de données sur votre ordinateur.
Comme vous pouvez le voir, un nouveau périphérique de stockage de données est créé et il est de type crypt.
Création d'un système de fichiers sur le périphérique de stockage déchiffré :
Une fois que vous avez déchiffré le périphérique de stockage sdb et l'avez mappé en tant que périphérique de stockage de données, vous pouvez utiliser les données du périphérique de stockage mappé comme d'habitude.
Pour créer un système de fichiers EXT4 sur les données déchiffrées du périphérique de stockage, exécutez la commande suivante :
Un système de fichiers EXT4 doit être créé sur les données déchiffrées du périphérique de stockage.
Monter le système de fichiers déchiffré :
Une fois que vous avez créé un système de fichiers sur les données de votre périphérique de stockage décrypté, vous pouvez le monter sur votre ordinateur comme d'habitude.
Tout d'abord, créez un point de montage /data comme suit :
Ensuite, montez les données du périphérique de stockage déchiffré sur le répertoire /data comme suit :
Comme vous pouvez le voir, les données déchiffrées du périphérique de stockage sont montées dans le répertoire /data.
Démontage du système de fichiers déchiffré :
Une fois que vous avez fini de travailler avec les données déchiffrées du périphérique de stockage, vous pouvez le démonter avec la commande suivante :
Comme vous pouvez le voir, les données déchiffrées du périphérique de stockage ne sont plus montées dans le répertoire /data.
Fermeture du périphérique de stockage déchiffré :
Vous pouvez également fermer les données décryptées du périphérique de stockage de votre ordinateur. La prochaine fois que vous voudrez utiliser le périphérique de stockage, vous devrez le décrypter à nouveau si vous le fermez.
Pour fermer les données décryptées du périphérique de stockage de votre ordinateur, exécutez l'une des commandes suivantes :
Ou,
Les données décryptées du périphérique de stockage doivent être fermées.
Comme vous pouvez le constater, les données décryptées du périphérique de stockage ne sont plus disponibles.
Modification de la phrase de passe LUKS pour le périphérique de stockage chiffré :
Vous pouvez également modifier la phrase secrète LUKS de vos périphériques de stockage chiffrés LUKS.
Pour modifier la phrase secrète LUKS du périphérique de stockage chiffré sdb, exécutez la commande suivante :
Saisissez votre phrase de passe LUKS actuelle et appuyez sur <Entrée>.
Maintenant, saisissez une nouvelle phrase de passe LUKS et appuyez sur <Entrée>.
Retapez la nouvelle phrase de passe LUKS et appuyez sur <Entrée>.
La nouvelle phrase de passe LUKS doit être définie comme vous pouvez le voir dans la capture d'écran ci-dessous.
Conclusion
Dans cet article, je vous ai montré comment installer cryptsetup sur Ubuntu/Debian, CentOS/RHEL 8, Fedora 34 et Arch Linux. Je vous ai également montré comment chiffrer un périphérique de stockage avec la phrase secrète LUKS, ouvrir/déchiffrer le périphérique de stockage chiffré, le formater, le monter, le démonter et le fermer. Je vous ai également montré comment modifier la phrase secrète LUKS.
Les références:
[1] cryptsetup(8) – page de manuel Linux