Re: micro-howto: crypter un système de fichiers avec dm-crypt sous Debian Sarge
Le dim, 28/03/2004 à 20:46 +0200, mike dentifrice a écrit :
> HOWTO
>
> - réserver une partition pour /home lors du partitionnement du disque
> dur. Par la suite, il est plus simple de ne pas la monter avant
> d'avoir mis en place le mécanisme de crypto, et d'utiliser un /home
> temporaire situé sur la partition racine.
>
> - télécharger les sources du noyau Linux 2.6.4 sur kernel.org (`wget
> http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.4.tar.bz2`).
Pourquoi ne pas le prendre depuis les sources debian, puisque tu
proposes d'utiliser en partie la méthode debian pour le compiler
(apt-get install kernel-source-2.6.4).
A moins que les divers patchs appliqués ne posent problèmes, si ?
> - configurer le noyau (`make menuconfig`), en prenant soin d'intégrer le
> support de device-mapper et dm-crypt, ainsi que l'algorithme de
> chiffrement AES, en dur (pas en modules): dans
> "Device Drivers" -> "Multi-device support (RAID and LVM)",
> sélectionner "Device mapper support" puis "Crypt target support"; dans
> "Cryptographic Options", sélectionner "AES cipher algorithms".
De même, le kernel-image-2.6.4-1-* n'a-t-il pas déjà tout ceci en module
d'office ? Ceci éviterait la compilation inutile d'un 2.6.4 vanilla...
Ah oui, j'y suis: le 2.6.4 n'est pas encore présent dans la testing !
Il faudrait donc le tester pour une debian unstable.
> - compiler le noyau (`make-kpkg kernel_image`) et l'installer (`dpkg -i
> ../kernel-image-2.6.4_10.00.Custom_powerpc.deb` dans mon cas).
[...]
> - télécharger les sources de cryptsetup (`wget
> http://www.saout.de/misc/dm-crypt/cryptsetup-0.1.tar.bz2`), le
> compiler et l'installer (`./configure ; make ; sudo make install`). Le
> script 'configure' indiquera probablement des librairies manquantes.
> Dans ce cas, installer les paquetages correspondants (libgcrypt7-dev,
> libcppopt-dev, notamment).
Dommage que le lien ne soit pas accessible sur la version HTML.
> - télécharger les sources de hashalot (sur
> http://www.paranoiacs.org/~sluskyb/hacks/hashalot/), le compiler et
> l'installer (là encore, avec le trio classique `./configure ; make ;
> sudo make install`).
Hummm, il faudrait des RFP pour ces deux outils ;-)
> - adapter lilo ou grub, et rebooter sur le noyau 2.6.4.
>
> - vérifier que le périphérique de contrôle de device-mapper existe (`ls
> -l /dev/mapper/control`), et que l'algo de chiffrement AES est
> supporté (`cat /proc/crypto`).
>
> - créer un volume 'home' associé à la partition à crypter (dans mon cas,
> '/dev/hda4'): `sudo cryptsetup -y create home /dev/hda4`. Entrer une
> phrase de passe, et la confirmer (confirmation demandée par le
> paramètre -y). Si tout se passe bien, '/dev/mapper/home' permet
> désormais d'écrire/crypter et lire/décrypter sur '/dev/hda4', avec
> l'algorithme AES (sélectionné par défaut, -c pour changer), une clef
> de 256 bit (taille par défaut, -s pour changer) hashée avec ripemd160
> (par défaut si hashalot est installé, -h pour changer).
>
> - créer un système de fichiers sur '/dev/mapper/home' (`sudo mkfs.ext3
> /dev/mapper/home`), puis le monter (`sudo mount /dev/mapper/home
> /mnt`). Un répertoire 'lost&found' devrait apparaître dans '/mnt'.
Pourquoi dans '/dev/mapper' ? Est-ce vraiment obligatoire ?
Mes 2¢.
--
Raphaël 'SurcouF' Bordet
surcouf@choranche.grotte.org
Reply to: