Comment chiffrer un disque dur avec une ouverture automatique de session ?

  • 20 mai 2024

Mini introduction : Vous avez séparé votre OS (ici Debian) en plusieurs partitions, que vous avez chiffré.

Mais vous ne souhaitez pas au démarrage de l'OS taper autant de mot de passe qu'il y a de partitions chiffrées. Voici la procédure à suivre.

Attention ! Cela baisse sensiblement la sécurité de votre OS, en effet, votre mot de passe de déchiffrement des partitions sera stocké en clair dans votre système.

C'est pour cela que je vous conseille d'ajouter le fichier de mot de passe dans votre partition "root", où ce dernier sera le plus sécurisé. Et de peser les pour et les contre de cette opération.


Source(au besoin).

Créer fichier dans le dossier root ou ailleurs :

touch keyluks

Puis le modifier et entre le mot de passe pour déchiffrer toutes les partitions :

nano keyluks

Mettre les droits de lecture sur le fichier et aucun autre droit :

chmod 0400 /root/keyluks

Ouverture de la session avec des partitions chiffrées n°1

Attention ! Bien lire les prochaines consignes, sinon vous devrez réinstaller votre OS. Si votre OS est déjà utilisé, pensez à faire vos sauvegardes.

Pour la suite, il faut lier toutes les partitions, sauf celle "/" (racine) permettant de déverouiller le tout ! Répéter auatant de fois l'opération qu'il y a de partition.

Pour éviter toute problématique de disque, lier le tout par le UUID. Pour ce faire, récupérer celui-ci via la commande :

cat /etc/crypttab

Ouverture de la session avec des partitions chiffrées n°2

Sur l'image ci-dessus, nous remarquons que la partition racine ne sera pas déverouillée via le mot de passe, comme expliqué au-dessus.


Puis lier la clé du fichier à la partition chiffré :

sudo cryptsetup luksAddKey /dev/disk/by-uuid/16ceb393-XXXX-XXXX-XXXX-d1f0d42891c6 /root/keyluks

Puis ajouter la phare secrète existante, celle mise pendant l'installation pour chiffrer les partitions et celle indiquée dans le fichier : "root/keyluks"


Maintenant, nous allons effectuer le montage automatique des partitions à l'ouverture de session :

sudo nano /etc/crypttab

Ouverture de la session avec des partitions chiffrées n°3

Pour être sur de ne pas vous tromper, vous pouvez effectuer des copier/coller.

Normalement, vous n'avez pas besoin de modifier le fichier "/etc/fstab". Vos partitions de chiffrement sont bien indiquées dedans.


Après mettre à jour les fichiers de démarrage de l'OS :

update-initramfs -u

Fini, redémarrer et le tout devrait bien fonctionner. J'ai testé le tout sur 3 installations avec quelques années d'écart.