Déverrouillage automatique de LUKS Encrypted
Pour réaliser ce tuto il est nécessaire d'avoir au préalable créé une partition chiffrée avec LUKS.
L'automatisation du déverrouillage d'une partition chiffrée au démarrage peut-être mis en place en suivant les étapes suivantes :
- Création d'un fichier de clé random
- Ajouter le fichier de clé à la partition LUKS
- Créer le mapper
- Monter la partition
Création d'un fichier de clé random
la commande suivante créera un fichier au contenu aléatoire d'une taille de 4096 bits (mieux qu'un mot de passe de 20/30 caractères....). Vous pouvez utiliser n'importe quel fichier comme fichier clé, mais je pense qu'un fichier de 4kb avec un contenu aléatoire convient bien.
sudo dd if=/dev/urandom of=/root/keyfile bs=1024 count=4Comme vous pouvez le voir avec l'arrtibut of , le fichier sera généré dans le dossier /root avec le nom keyfile.
Avant d'utiliser la nouvelle clé, rendre le fichier clé accessible en lecture seule à root
sudo chmod 0400 /root/keyfileCela rendra le fichier clé lisible uniquement par root. Si quelqu'un accède à ce fichier clé, vous avez de toute façon un problème plus important sur votre ordinateur.
Une autre solution consiste à attribuer à root:root le droit d'accès au fichier clé souhaité et à le placer dans le dossier /root.
Ajouter le fichier à LUKS
Les dispositifs LUKS/dm_crypt peuvent contenir jusqu'à 10 fichiers clés/mots de passe différents. Ainsi, en plus du mot de passe déjà configuré, nous allons ajouter ce fichier clé comme méthode d'autorisation supplémentaire.
sudo cryptsetup luksAddKey /dev/sdX /root/keyfileIl vous sera d'abord demandé d'entrer un mot de passe (existant) pour déverrouiller le lecteur. Si tout se passe bien, vous devriez obtenir un résultat comme celui-ci :