Je viens de suivre le processus d'installation en spécifiant "faire autre chose", puis de choisir ma partition à utiliser en tant que conteneur chiffré, puis d'utiliser ce conteneur pour être formaté avec un système de fichiers. Je n'ai pas vu une option pour utiliser le chiffrement de mon choix et j'ai remarqué que la valeur par défaut semble être sha256
.
Y a-t-il un moyen de dire ce que je veux utiliser?
Edit: cela utilisait l'iso 16.10 du bureau.
Edit2: Étant donné l'exemple de la table d'AlexP ci-dessous, je pensais que je listerais les valeurs par défaut après avoir parcouru le programme d'installation Ubuntu comme décrit ci-dessus.
Edit3: compléter par ce que je pense montre que recommandations d'Arch et les valeurs par défaut d'Ubuntu ne diffèrent peut-être pas du tout.
La seule chose qui se démarque est le décalage de la charge utile et, de façon anecdotique, je perçois que le lecteur Ubuntu s'ouvre plus rapidement. Je pense cela peut être dû à son option pour --iter-time
. La valeur par défaut est 2000
(millisecondes) et j'aurais spécifié 5000
manuellement. C’est combien de temps il faut pour arriver au résultat final si j’ai bien compris. Chaque fois que vous déverrouillez, vous devez le refaire pour obtenir le hachage de mot de passe correct (correct si faux). Autre que cela, les choses sont identiques.
### ubuntu default
$ Sudo cryptsetup luksDump
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
### Arch recommendation
$ Sudo cryptsetup luksDump
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 65535
MK bits: 512
### ubuntu default
$ Sudo cryptsetup status /dev/mapper/ubuntu
type: LUKS1
cipher: aes-xts-plain64
keysize: 512 bits
device: /dev/sdb2
offset: 4096 sectors
size: 487393280 sectors
mode: read/write
### Arch recommendation
$ Sudo cryptsetup status /dev/mapper/Arch
type: LUKS1
cipher: aes-xts-plain64
keysize: 512 bits
device: /dev/sda2
offset: 65535 sectors
size: 233262018 sectors
Le chiffre par défaut est aes-xts-plain64
avec clé de 256 bits et sommes de contrôle SHA-1. C'est un bon défaut. Un très bon défaut. Sauf si vous êtes un cryptographe qualifié, vous devriez le laisser tel quel. Les personnes compétentes ont choisi ce paramètre par défaut après avoir consacré beaucoup de temps et d'efforts.
Pour savoir quel chiffrement est utilisé pour votre conteneur chiffré, vous pouvez utiliser la commande Sudo cryptsetup status
et Sudo cryptsetup luksDump
. Par exemple:
$ Sudo lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 40G 0 disk
├─sda1 8:1 0 284M 0 part /boot
└─sda2 8:2 0 39.7G 0 part
└─Machinia 252:0 0 39.7G 0 crypt
├─Machinia-Swap 252:1 0 1.2G 0 lvm [SWAP]
├─Machinia-Home 252:2 0 9.5G 0 lvm /home
├─Machinia-System 252:3 0 20G 0 lvm /
└─Machinia-Srv 252:4 0 6G 0 lvm /srv
sr0 11:0 1 1024M 0 rom
$ Sudo cryptsetup status Machinia
/dev/mapper/Machinia is active and is in use.
type: LUKS1
cipher: aes-xts-plain64
keysize: 256 bits
device: /dev/sda2
offset: 4096 sectors
size: 83298304 sectors
mode: read/write
flags: discards
$ Sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
...
Ceux-ci étant dit, si vous voulez absolument spécifier un autre chiffre, vous pouvez. Le processus de base est bien décrit par les gens de ArchLinux dans Cryptage d’un système entier . Faites-le comme suit:
Démarrez à partir du support d'installation.
Choisissez "Essayez Ubuntu".
Ouvrez un terminal.
En utilisant fdisk
, parted
ou le graphique Gparted
, créez votre partition /boot
manuellement. (Cela suppose que vous utilisez un disque partitionné MBR. Si vous utilisez un disque au format GPT, vous devez créer également une partition système EFI.)
Créez votre partition à chiffrer manuellement. Disons que c'est /dev/sda2
.
Formatez-le en tant que conteneur LUKS. C'est ici que vous spécifiez le chiffre:
Sudo cryptsetup luksFormat /dev/sda2 --cipher=<cipherspec> --keysize=<size>
Par exemple,
Sudo crypsetup luksFormat /dev/sda2 --cipher=aes-cbc-essiv:sha256 --keysize=512
Permettez-moi de répéter que, sauf si vous avez des connaissances cryptographiques professionnelles, vous ne devriez pas le faire. Mais continuons.
Ouvrez votre partition chiffrée et donnez-lui un nom de conteneur:
Sudo cryptsetup luksOpen /dev/sda2 <name>
Pour un système informatique "animal", un bon choix consiste à utiliser le nom d'hôte avec une capitale initiale. Par exemple, si vous envisagez d’utiliser le nom d’hôte machinia
,
Sudo cryptsetup luksOpen /dev/sda2 Machinia
Formatez /dev/mapper/Machinia
(ou le nom que vous avez choisi à l'étape 7) en tant que volume physique LVM:
Sudo pvcreate /dev/mapper/Machinia # Use the name chosen in step 7
Créez un groupe de volumes LVM sur le volume physique:
Sudo vgcreate Machinia /dev/mapper/Machinia # Use the name chosen in step 7
Créez des volumes logiques pour /
, /home
, /srv
, /var
, échangez etc. dans le groupe de volumes LVM. Vous devez créer au moins un volume logique pour /
. Un volume séparé pour /home
est facultatif mais recommandé. La création de volumes distincts pour /var
, l’échange, etc. est facultative et dépend de vos projets.
Sudo lvcreate -L 20g -n System Machinia # /
Sudo lvcreate -L 3g -n Swap Machinia # swap
Sudo lvcreate -L 10g -n Home Machinia # /home
Vous souhaiterez peut-être laisser de l'espace non alloué afin de pouvoir utiliser les instantanés LVM. Votre choix.
Maintenant, lancez le programme d'installation et installez Ubuntu en choisissant "Quelque chose d'autre" et en sélectionnant /dev/sda1
(ou autre chose) pour /boot
, /dev/mapper/Machinia-System
(avec les noms que vous avez choisis, bien sûr) pour /
, /dev/mapper/Machinia-Swap
pour l’espace de permutation, /dev/mapper/Machinia-Home
pour /home
.
Utilisez la partition créée à l'étape 4 pour /boot
et les volumes logiques créés à l'étape 10 pour /
, permutez, /home
etc.
Si vous utilisez un disque partitionné MBR, vérifiez à nouveau et assurez-vous que GRUB doit être installé sur le disque physique, /dev/sda
(ou tout ce qui convient à votre système.)
Laissez l'installateur continuer jusqu'à la fin. Quand il a fini, choisissez "Continuer les tests" et retournez à votre terminal.
Montez votre futur volume racine sur /target
, montez des répertoires spéciaux, puis chroot
dans /target
:
Sudo mount /dev/mapper/Machinia-System /target
for d in dev proc run sys; do Sudo mount --bind /$d /target/$d; done
chroot /target
Vous êtes maintenant root dans votre futur volume racine. Allez à /etc
et éditez /etc/crypttab
:
cd /etc
echo Machinia UUID=$(cryptsetup luksUUID /dev/sda2) none luks,discard >crypttab
/etc/crypttab
devrait ressembler à ceci:
# cat /etc/crypttab
Machinia UUID=016193a0-8a79-416c-95f3-c94bd3745c5c none luks,discard
(Avec votre nom choisi à la place de Machinia et l'UUID renvoyé par cryptsetup luksUUID
.)
Mettez à jour le système de fichiers racine initial et GRUB:
update-initramfs
update-grub
Sortez de la chroot
:
exit
Démontez ce que vous avez monté à l'étape 13:
for d in dev proc run sys; do Sudo umount /target/$d; done
umount /target
Redémarrez et espérez le meilleur.