web-dev-qa-db-fra.com

Comment monter la partition LUKS en toute sécurité lors de la connexion?

Je souhaite accéder à une partition de données cryptée LUKS après la connexion, idéalement sans saisir de mot de passe, de manière évidemment sécurisée.

Mon répertoire personnel est également chiffré avec LUKS.

J'ai trouvé ce tutoriel: https://ubuntuforums.org/showthread.php?t=837416 .

Cela ne me semble absolument pas sûr, car toute personne démarrant un cd en direct peut accéder au répertoire root, donc à la clé, et ainsi décrypter les données de l'autre partition.

Voici ce que j'ai fait jusqu'à présent,

Créer une nouvelle clé:

Sudo dd if=/dev/urandom of=$HOME/.data_crypt_keyfile bs=1024 count=4

Faites-le en lecture seule à la racine:

Sudo chmod 0400 $HOME/.data_crypt_keyfile

Ajoutez cette nouvelle clé aux emplacements de clé LUKS:

Sudo cryptsetup luksAddKey /dev/sdc1 $HOME/.data_crypt_keyfile

Comment puis-je ouvrir automatiquement cette partition après la connexion et la fermer lors de la déconnexion?

4
Victor Lamoine

Si votre dossier de base est lui-même chiffré par LUKS, la clé ne doit en aucun cas être lue sans déchiffrer le dossier de départ (ce qui ne se produit que lorsque vous êtes connecté).

Tant que le fichier de clés est réellement lu dans votre répertoire utilisateur (/home/<whatever>) et non pas /root, tout devrait bien se passer.

En ce qui concerne le montage automatique lors de la connexion, vous pouvez utiliser un simple script dans votre liste d’applications de démarrage (s’exécutant une fois la connexion établie, il fonctionnera donc tant que vous monterez ce lecteur sur l’espace utilisateur). Pour vous déconnecter, vous pouvez le configurer pour démonter lorsque vous tuez votre session X .

En bref, vous feriez ce qui suit:

  1. Créez un petit script qui démontera le lecteur crypté, où qu'il soit monté
  2. Ajoutez ceci à session-cleanup-script dans /etc/lightdm/lightdm.conf. Cela s'exécutera chaque fois qu'une session sera supprimée, ce qui pourrait ne pas être la meilleure option.

Mises en garde

  • Comme mentionné précédemment, le script de déconnexion automatique s'exécute lorsque une session X est terminée. Il est donc probable que votre lecteur soit démonté accidentellement lorsqu'un autre utilisateur se déconnecte. de votre session simultanée. Cependant, cela ne sera pas un problème si vous êtes un utilisateur unique qui ne conserve qu'une seule session X en cours d'exécution.
  • De même, vous DEVEZ garder une session X ouverte, même dans un téléscripteur, à moins que vous ne souhaitiez monter/démonter manuellement le périphérique.
2
Kaz Wolfe

Vous pouvez utiliser "pam_mount".

Vous aurez besoin du même mot de passe pour votre utilisateur et votre partition. Et aussi, il ne sera pas démonter la partition après la déconnexion.

Voici le explication qui m'a aidé à obtenir ce dont j'avais besoin pour ma configuration.

0
Nick