4 votes

Victor Lamoine avatar

Comment monter une partition LUKS de manière sécurisée lors de la connexion ?

Demandé el 1 de Août, 2016
Quand la question a-t-elle été
3349 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je veux accéder à une partition de données chiffrée avec LUKS après la connexion, de préférence sans avoir à taper un mot de passe, évidemment de manière sécurisée.

Mon répertoire personnel est également chiffré avec LUKS.

J'ai trouvé ce tutoriel : https://ubuntuforums.org/showthread.php?t=837416.

Cela me semble totalement insécurisé car n'importe qui bootant sur un live cd peut accéder au répertoire root, donc à la clé, et ainsi déchiffrer les données de l'autre partition.

Voici ce que j'ai fait jusqu'à présent,

Créer une nouvelle clé :

sudo dd if=/dev/urandom of=$HOME/.data_crypt_keyfile bs=1024 count=4

Rendre cette clé en lecture seule pour root :

sudo chmod 0400 $HOME/.data_crypt_keyfile

Ajouter cette nouvelle clé aux slots de clés LUKS :

sudo cryptsetup luksAddKey /dev/sdc1 $HOME/.data_crypt_keyfile

Comment puis-je ouvrir automatiquement cette partition après la connexion, et la fermer en me déconnectant ?

Demandé el 1 de Août, 2016 par Victor Lamoine

Réponses

Trop de publicités?

2voto

Kaz Wolfe avatar
Kaz Wolfe Points 32777

Si votre dossier personnel est lui-même crypté par LUKS, il ne devrait pas y avoir moyen de lire la clé sans que le dossier personnel ne soit décrypté (ce qui n'arrive que lorsque vous êtes connecté).

Tant que le fichier de clé est réellement lu depuis votre répertoire utilisateur (/home/) et pas depuis /root, vous devriez être en sécurité.

Quant à l'auto-montage à la connexion, vous pouvez utiliser un script simple dans votre liste d'applications de démarrage (exécuté après une connexion réussie, donc il fonctionnera tant que vous montez ce lecteur dans l'espace utilisateur). Pour la déconnexion, vous pouvez le configurer pour démonter lorsque vous terminez votre session X.

En bref, vous feriez ce qui suit:

  1. Créez un petit script qui démontera le lecteur chiffré d'où qu'il soit monté
  2. Ajoutez ceci à session-cleanup-script dans /etc/lightdm/lightdm.conf. Ceci s'exécutera à chaque fois qu'une session est terminée, donc cela pourrait ne pas être la meilleure option.

Limitations

  • Comme mentionné précédemment, le script d'auto-déconnexion s'exécute lorsque n'importe quelle session X est terminée, il est donc probable que votre lecteur soit accidentellement démonté lorsque qu'un autre utilisateur se déconnecte de votre session concurrente. Cependant, cela ne posera pas de problème si vous êtes le seul utilisateur qui ne garde qu'une seule session X en cours.
  • De même, VOUS DEVEZ garder une session X ouverte, même dans une TTY, à moins que vous ne vouliez monter/démonter manuellement le périphérique.
Répondu el 30 de Août, 2016 par Kaz Wolfe (32777 Points )

1voto

Nick avatar
Nick Points 11

Vous pouvez utiliser "pam_mount".

Vous aurez besoin du même mot de passe pour votre utilisateur et votre partition. Et aussi, il ne démontera pas la partition après la déconnexion.

Voici l'explication qui m'a aidé à obtenir ce dont j'avais besoin pour ma configuration.

Répondu el 31 de Décembre, 2016 par Nick (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X