Cryptage LUKS, en-tête sur une clé USB?
Je vais installer Linux à la manière de LUKS/LVM, afin d’avoir un disque chiffré.
De plus, j'aimerais placer l'en-tête et la phrase secrète dans une clé USB.
Ainsi, au lieu de saisir la phrase secrète, je ne branche que la clé électronique USB.
Est-ce possible et comment?
J'écris maintenant de la machine qui fonctionne exactement de cette façon.
- Tout d'abord, vous devrez placer le dossier entier
/bootsur le dongle. - Cryptez le disque avec le fichier de clé et placez également le fichier de clé dans le dongle de démarrage.
Editez
/etc/crypttab, ajoutez cette lignesda2_crypt UUID=14-88 /dev/disk/by-uuid/88-14:/rootfs.key luks,keyscript=/lib/cryptsetup/scripts/passdev
où sda2_crypt est un nom arbitraire, le premier UUID correspond à la partition racine chiffrée, le second à la partition de clé électronique et rootfs.key est le nom du fichier de clé.
- Puis mettez à jour votre
/etc/fstaben conséquence. - Montez le dongle comme
/bootet faitesupdate-initramfs
Cela devrait suffire. Différentes instructions vous suggèrent d'ajouter des arguments de démarrage du noyau, mais dans mon cas, cela fonctionnait sans. Si vous souhaitez utiliser un mot de passe à la place du fichier clé, éditez simplement /etc/crypttab et faites update-initramfs.