Activer le chiffrement du disque après l'installation

Question de suivi: quels sont les avantages et les inconvénients du disque complet par rapport à juste/à la maison?

Le chiffrement dans/home est effectué à l'aide d'un système de fichiers appelé espace utilisateur ( ecryptfs . Il est très bien fait et bien intégré dans le système d'authentification par défaut afin que vous n'ayez aucun inconvénient en termes de convivialité: lorsque vous entrez votre compte (depuis un shell distant ou depuis l'écran de connexion par défaut), votre mot de passe est utilisé pour dérouler une clé sécurisée. , qui est ensuite utilisé pour chiffrer/déchiffrer vos fichiers dans votre répertoire personnel à la volée (le système de fichiers monté résidera directement dans/home/nom d'utilisateur). Lorsque vous vous déconnectez,/home/nom d'utilisateur est démonté et seuls les fichiers chiffrés restent visibles dans le système (généralement dans /home/.ecryptfs/nomutilisateur/.Private/). Ils ressemblent à un tas de fichiers scrabbled/random puisque les noms de fichiers sont également cryptés. La seule fuite d'informations est la suivante: taille de fichier, horodatage et nombre de fichiers (avec chiffrement intégral du disque, ceux-ci sont également masqués).

Si votre système doit être partagé entre plusieurs utilisateurs, c’est une fonctionnalité très agréable à avoir même si vous décidez d’ajouter le cryptage intégral du disque: la sécurité du cryptage intégral du disque est désactivée lorsque la machine est en marche à la maison ( Le cryptage ecryptfs est activé aussi longtemps que vous êtes déconnecté.

Ainsi, le chiffrement intégral du disque et le chiffrement à domicile ne s’excluent pas nécessairement.

Voici une liste des configurations possibles, en fonction de différents besoins de sécurité:

• CHIFFREMENT À DISQUE COMPLET SEULEMENT: Si vous êtes le seul à utiliser votre ordinateur et que votre machine peut gérer le surdébit du chiffrement intégral du disque (tous les ordinateurs de bureau modernes peuvent le faire.) que, sans que l'utilisateur le remarque, les netbooks et les vieux ordinateurs portables ne le soient pas beaucoup), vous pouvez utiliser le chiffrement intégral du disque et mettre à la maison dans la même partition que votre système d'exploitation (/).
• CHIFFREMENT DE DISQUE COMPLET ET CHIFFREMENT D'ECRYPTFS HOME : Si vous craignez que vos données privées ne soient lire lorsque votre ordinateur est allumé ou que vous partagez votre ordinateur avec d'autres utilisateurs, vous pourriez alors disposer d'une partition différente de/et utiliser ecryptfs lors du chiffrement intégral du disque (le chiffrement de/via LUKS)
• Cryptage à la maison des cryptes uniquement : Si vous ne craignez pas que quelqu'un altère votre système pendant votre absence mais que vous souhaitiez tout de même protéger vos données personnelles puis ignorez le chiffrement intégral du disque et utilisez simplement ecryptfs (chiffrement de la maison). Un avantage supplémentaire de ce scénario est que c'est assez facile à configurer même après vous avez installé Ubuntu, en utilisant simplement ecryptfs-migrate-home . Cela a également été la configuration par défaut d’Ubuntu avant la modification de quelques versions, ajoutant la possibilité d’un chiffrement intégral du disque. Étant donné que la plupart des ordinateurs de bureau modernes peuvent gérer le chiffrement intégral du disque sans transpirer et que cela ajoute une couche de sécurité fine contre l’injection de code hors ligne, un chiffrement intégral du disque a été ajouté à l’installateur. Notez cependant que pour la plupart des utilisateurs, le simple fait de chiffrer leur maison avec ecryptfs suffira à couvrir leurs besoins: empêcher leurs amis et les voleurs d’ordinateurs portables communs de protéger leurs données personnelles. En outre, si vous avez été spécifiquement ciblé par une organisation disposant des moyens adéquats, un chiffrement intégral du disque ou simplement un chiffrement à domicile ne changera rien tant que vous n'aurez pas également créé de nombreux autres comportements paranoïaques (comme: garder le noyau dans une clé séparée qui est toujours sur vous, en vérifiant en permanence la falsification du matériel/les enregistreurs de frappe, etc.)

Si je n'ai pas activé le chiffrement de disque lors de l'installation, y a-t-il un moyen de l'activer après coup?

Oui, cela sera plus facile si vous utilisez actuellement LVM et que vous avez suffisamment d’espace sur votre système pour copier tous vos fichiers système non chiffrés sur une partition LUKS chiffrée. Pour le moment, je ne vais pas entrer dans les détails, car je ne sais pas si vous utilisez LVM et si vous préférez ne pas utiliser ecrypfs pour le moment et éviter le chiffrement intégral du disque jusqu'à la prochaine installation.

Eh bien, vous pouvez faire une sauvegarde de tous les répertoires importants et des logiciels installés. Assurez-vous que votre version 13.10 est entièrement mise à jour pour éviter les conflits de version. Habituellement, les choses à sauvegarder seraient:

• /boot
• /etc
• homename__
• varname__
• /usr/local
• logiciel installé via Synaptic/Software Center
• Si vous avez compilé un logiciel personnalisé, vous devrez peut-être inclure des dossiers supplémentaires dans votre sauvegarde (par exemple, /bin, /lib, lib64).

Après cela, vous réinstallez le système uniquement maintenant chiffré. Mettez-le à jour. Puis déplacez la sauvegarde sur le système crypté et installez tous les logiciels de la version précédente.

Veillez simplement à ne pas écraser les fichiers importants pour le cryptage. Lorsque vous restaurez la sauvegarde (par exemple, /etc/fstab, /etc/cryptab, certains éléments liés à grub et certains éléments de /boot ne doivent pas être remplacés par les fichiers sauvegardés).

Réponse simple: non.

Réponse compliquée:

Le cryptage d'un disque ou d'une partition effacera tout ce qui se trouve actuellement sur ce disque ou cette partition. Par conséquent, pour chiffrer un disque, vous devez également en supprimer le contenu. Vous devez effectuer les sauvegardes de données appropriées avant de commencer. Évidemment, cela signifie que vous devez réinstaller le système pour utiliser le chiffrement intégral du disque, sans autre moyen. En effet, des données aléatoires seront écrites sur tout le disque pour rendre plus difficile la récupération des données.

Mais, de nos jours, vous n'avez pas besoin de chiffrer votre partition racine. N'oubliez pas que si quelque chose se connecte, vous êtes hors de votre système sans possibilité de récupérer les données. Vous devez plutôt envisager uniquement de chiffrer vos informations personnelles.

Voir la question associée Comment chiffrer le disque complet après l’installation?

À partir d’Ubuntu 16.04, j’ai réussi à chiffrer la partition racine après l’installation, la partition racine contenant tout, à l’exception de/boot. Je mets/boot sur un usb amovible séparé. Je l'ai notamment fait avant de passer à Ubuntu 18, et la mise à niveau a bien fonctionné avec la version de disque chiffrée.

Le cryptage n'a pas été effectué "en place", ce qui me convenait parfaitement, car je ne voulais pas écraser la version opérationnelle tant que la nouvelle configuration ne fonctionnait pas.

Effectuer la procédure correcte est extrêmement simple et rapide. (Bien que déterminer la procédure correcte prenait énormément de temps, car je suivais de fausses pistes.)

CONTOUR

1. Créez un disque USB Linux en direct - il est pratique d’activer la persistance. Démarrez sur ce disque USB.
2. Créez un groupe de volumes chiffré luks sur une partition vide. (Dans mon cas, c'était sur le même disque que le linux d'origine, mais il pourrait s'agir d'un autre disque.) Créez/(racine) et échangez les volumes logiques sur cette partition chiffrée. Celles-ci serviront de partitions virtuelles en ce qui concerne Linux copié.
3. Copiez les fichiers de l'ancienne racine vers la nouvelle.
4. Configurez et partitionnez une autre clé USB pour qu’elle serve de disque de démarrage amovible.
5. Configurez des fichiers dans la nouvelle racine, faites un peu de magie et chrootez dans la nouvelle racine, puis installez grub sur le disque de démarrage à partir du nouvel environnement racine chroot'd.

DÉTAILS

1 - Démarrez avec un disque USB Linux en direct - il est pratique d'activer la persistance.

Ubuntu 16 installé sur un usb avec unetbootin. L'interface graphique permet de spécifier la "persistance", mais une autre étape est également nécessaire pour que la persistance fonctionne: modifiez /boot/grub/grub.cfg pour ajouter --- persistent comme suit:

menuentry "Try Ubuntu without installing" {
    set gfxpayload=keep
    linux   /casper/vmlinuz  file=/cdrom/preseed/ubuntu.seed boot=casper quiet splash --- persistent
    initrd  /casper/initrd
}

Démarrer avec le live USB

2- Créez un groupe de volumes luks sur une partition vide. Créez/(racine) et échangez des volumes logiques sur cette partition chiffrée.

Supposez que la partition non utilisée à chiffrer est /dev/nvme0n1p4.

Facultatif , si vous avez masqué les anciennes données sur la partition avant le cryptage et le formatage, vous pouvez nettoyer la partition de manière aléatoire. Voir la discussion ici .

dd if=/dev/urandom of=/dev/nvme0n1p4 bs=4096 status=progress

Configurez le cryptage.

cryptsetup -y -v luksFormat /dev/nvme0n1p4

Vous serez invité à définir un mot de passe.

cryptsetup luksOpen /dev/nvme0n1p4 crypt1

Vous serez invité à entrer le mot de passe. Notez que crypt1 est un nom choisi arbitrairement par l'utilisateur. Maintenant, créez les volumes et le format.

pvcreate /dev/mapper/crypt1
vgcreate crypt1-vg /dev/mapper/crypt1

lvcreate -L 8G crypt1-vg -n swap
mkswap /dev/crypt1-vg/swap

lvcreate -l 100%FREE crypt1-vg -n root
mkfs.ext4 /dev/crypt1-vg/root

Utilisez ces utilitaires pour afficher les volumes et comprendre la hiérarchie.

pvscan
vgscan
lvscan
ls -l /dev/mapper
ls -l /dev/crypt1

- Copier les fichiers de l'ancienne racine vers la nouvelle]

mkdir /tmp/old-root 
mount /dev/ubuntu-vg/root /tmp/old-root/
mkdir /tmp/new-root
mount /dev/crypt1-vg/root /tmp/new-root/
cp -a /tmp/old-root/. /tmp/new-root/

umount /tmp/old-root
umount /tmp/new-root

cp -a ... copie en mode archive, en préservant tous les modes de fichiers et les indicateurs.

4- Configurez et partitionnez une autre clé USB pour qu'elle serve de disque de démarrage amovible.

J'ai utilisé gparted pour cela. Configurez deux partitions. La première partition est vfat, la seconde ext2. Chacun faisait 512 Mo, vous pourriez vous en tirer avec moins. Supposons que l’appareil /dev/sdf.

# The first partition: (will be /dev/sdf1)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: fat32
Label: (leave)

# The second partition: (will be /dev/sdf2)
Free space preceding (leave default value)
New size 512 MiB
Free space following (leave default value)
Create as: Primary Partition
Partition Name: (leave)
File System: ext4
Label: (leave) 

5- Configurez des fichiers dans la nouvelle racine, faites un peu de magie et chrootez dans la nouvelle racine, puis installez grub sur le disque de démarrage à partir du nouvel environnement chroot'd.

Trouvez des UUID pour une utilisation ultérieure. Notez les résultats des commandes suivantes:

blkid /dev/sdf1
blkid /dev/sdf2
blkid /dev/nvme0n1p4

Montez la partition racine et les partitions de démarrage

Sudo mount /dev/mapper/crypt1--vg-root /mnt
Sudo mount /dev/sdf2 /mnt/boot
Sudo mount /dev/sdf1 /mnt/boot/efi

Configurez le fichier /mnt/etc/fstab

/dev/mapper/crypt1--vg-root /               ext4    errors=remount-ro 0       1
/dev/mapper/crypt1--vg-swap none    swap    sw              0       0
UUID=[uuid of /dev/sdf2] /boot           ext2    defaults        0       2
UUID=[uuid of /dev/sdf1]  /boot/efi       vfat    umask=0077      0       1

où "[uuid of ...]" est juste une combinaison lettre-nombre-trait d'union.

Créez le fichier /mnt/etc/cryptab

# <target name> <source device>     <key file>  <options>
crypt1 UUID=[uuid of /dev/nvme0n1p4] none luks,discard,lvm=crypt1--vg-root

Un peu de magie est nécessaire pour entrer dans l’environnement du répertoire racine:

Sudo mount --bind /dev /mnt/dev
Sudo mount --bind /proc /mnt/proc
Sudo mount --bind /sys /mnt/sys
chroot /mnt

Maintenant, configurez le disque USB de démarrage avec grub:

apt install --reinstall grub-efi-AMD64
grub-install --efi-directory=/boot/efi --boot-directory=/boot --removable
update-initramfs -k all -c
update-grub

Vous devriez maintenant pouvoir redémarrer et démarrer à l’aide du nouveau disque de démarrage USB.

Résolution de problèmes -

(a) Le réseau doit être connecté pour la commande apt install --reinstall grub-efi-AMD64. Si le réseau est connecté mais que le DNS échoue, essayez

echo "nameserver 8.8.8.8" | Sudo tee /etc/resolv.conf > /dev/null

(b) Avant d'appeler initramfs, le fichier vmlinuz... actuel utilisé dans le linux d'origine doit être présent dans le nouveau répertoire racine. Si ce n'est pas le cas, trouvez-le et placez-le là.

(c) La commande grub-install va rechercher par défaut tous les autres disques linux qu’elle peut trouver même s’ils ne sont pas mounted, et les placer dans le menu de démarrage du nouvel USB de démarrage. Généralement, cela n'est pas souhaité, vous pouvez donc l'éviter en ajoutant cette ligne à /boot/default/grub.cfg:

GRUB_DISABLE_OS_PROBER=true

NOTE: Un fichier texte avec la clé de cryptage peut être ajouté à la clé USB de démarrage amovible.