Comment créer Live USB Ubuntu crypté avec LUKS?
Je vais créer un disque flash USB Ubuntu amorçable et je veux savoir s'il est possible de crypter ce disque flash USB avec LUKS , donc quand je le démarre pour l'exécuter Linux, avant de saisir mon mot de passe utilisateur, il demande le mot de passe pour décrypter l'intégralité du disque flash
- boot usb
- déchiffrer le mot de passe
- mot de passe de l'utilisateur
- connecté.
Veuillez noter qu'il doit être live chargé dans le ram à chaque démarrage de l'OS, je ne souhaite pas l'installer sur un lecteur USB externe. Merci d'avance!
p.s Si c'est impossible, puis-je laisser ./boot non crypté et crypter le système de fichiers avec tous les répertoires système
Ceci est impossible car si le volume de démarrage est crypté, le BIOS/UEFI ne pourra pas exécuter le secteur de démarrage/l'application de démarrage.
Cependant, vous pouvez utiliser Ubuntu Live Installer pour installer Ubuntu sur une autre clé USB comme disque système, avec le cryptage LUKS. L'inconvénient sera que vous perdrez la capacité d'hibernation car Ubiquity crée actuellement des partitions de swap beaucoup trop petites et randomise également la clé de cryptage à chaque démarrage, ce qui efface l'état de la partition de swap.
Dans le deuxième scénario, la partition de démarrage ne sera pas chiffrée, elle peut donc toujours être falsifiée, c'est-à-dire qu'un enregistreur de frappe pourrait y être écrit. Vous pouvez contourner cela en signant le volume de démarrage et en utilisant le démarrage sécurisé, mais vous devez ensuite demander à Microsoft de signer votre volume de démarrage ou de vous donner une clé de signature. Bonne chance avec ça.
Si vous vous inquiétez vraiment des enregistreurs de frappe, alors emportez votre propre PC, n'utilisez pas de clavier/souris sans fil, activez le démarrage sécurisé, démarrez une image LiveCD qui ne conserve aucun état, utilisez un VPN pour connecter un client VNC/RDP sur SSL sur la machine avec laquelle vous gardez votre état, utilisez un mot de passe fort et mémorable que vous n'enregistrez jamais nulle part (voir https://xkcd.com/936/ pour comprendre ce que cela signifie.)
Cela vous protégera de l'accès physique, vous protégera de l'accès à distance et vous épargnera de la force brute. Ce ne sera pas pratique car vous n'aurez pas toujours accès au réseau, vous devrez toujours emporter le matériel avec vous et vous ne pourrez pas obtenir une bonne valeur du matériel que vous transportez car vous ne l'utilisez que comme client léger, sans tenir compte de ses capacités supplémentaires de mémoire/traitement/stockage.
Même tout cela ne vous protégera pas d'une caméra CCTV verrouillée sur votre clavier pendant que vous tapez, vous devrez donc également être conscient de votre environnement.
Cela peut également vous faire payer une facture de données mobile importante.
Donc, à moins que vous ne soyez vraiment une cible exceptionnellement grasse et juteuse qui sera probablement ciblée par des gens qui sont prêts à investir les ressources pour vous pirater, je pense que vous feriez mieux d'éviter simplement d'utiliser des terminaux Internet publics, de transporter votre propre appareil bon marché, le sécuriser avec LUKS, utiliser un VPN ou au moins TORBrowser pour garantir que votre navigation n'est pas espionnée. Ensuite, votre plus grande inquiétude devrait être de savoir si vous laissez votre appareil quelque part et qu'il soit volé, mais ne vous inquiétez pas s'il a accès à vos données.