Encrypted swap, tmp and home partition in Ubuntu 9.04

Source : Lars Strand Blog

Encrypted swap, tmp and home partition in Ubuntu 9.04

I really would like to have an encrypted swap, tmp and home partition on my laptop. In case it gets stolen or if I should forget it somewhere, I can be sure that no-one would be able to read my private files. In this mini-howto I set my home partition using LVM, but using a regular partition should work just fine. This howto should also work, with minor modification, if you use another distribution than Ubuntu.

Updated:
May 2009: Updated for Ubuntu 9.04. Added encrypted /tmp.
May 2008: Init for Ubuntu 8.04.

Note! Both the "server" and "alternate" Ubuntu ISO-images provide the option to encrypt your home directory (but in a different way using eCryptfs. Swap and /tmp are not encrypted). It might be an easier solution if you find this page too hard to follow. The difference? They are two different implementations. eCryptfs is file level encryption, LUKS is block device (/dev/sda3). Think of it like SSL vs. IPSec. Both have their advantages and drawbacks. Read more here and here

By using Linux Unified Key Setup (LUKS) setting up encrypted partition in Linux is done in no time.

Prerequisites

Install required packages:

# apt-get install lvm2 cryptsetup libpam-mount

The device-mapper should be active (if not, reboot):

$ ls -l /dev/mapper/

total 0

crw-rw---- 1 root root  10, 61 2009-05-19 15:39 control

..with support for crypto:

# dmsetup targets | grep crypt

crypt            v1.6.0

Good. Now we're ready.

Part I: Setting up encrypted swap

Step 1: Disable your current swap partition.

 # swapoff /dev/sda2

Step 2: Fill your swap with random data.

# dd if=/dev/urandom of=/dev/sda2 bs=1M

1954+0 records in

1953+0 records out

2048094208 bytes (2.0 GB) copied, 529.177 s, 3.9 MB/s

As you see, this might take some time depending on your swap size. So go grab a coffe.

Step 3: Configure encrypted swap.

Add this to your /etc/crypttab

# cat /etc/cryptab

...

cryptoswap /dev/sda2 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,hash=sha256,swap

Why /dev/urandom and not /dev/random? The latter blocks until it got enough entropy to continue, urandom don't. So if you use random instead urandom you might have to wait during boot until enough entropy is collected. (It does help to type your keyboard and move the mouse.) Use /dev/random if you're really paranoid.

Next, change your swap entry in /etc/fstab to this:

# cat /etc/fstab

...

/dev/mapper/cryptoswap /tmp swap sw 0 0

For every time we boot, swap will be encrypted with a different encryption key.

Step 4: Test it.

Reboot to test.

We now have an encrypted swap:

# cat /proc/swaps

Filename    Type  Size Used Priority

/dev/mapper/cryptoswap                  partition 2000084 0 -1



# cryptsetup status cryptoswap

/dev/mapper/cryptoswap is active:

cipher:  aes-cbc-essiv:sha256

keysize: 256 bits

device:  /dev/sda2

offset:  0 sectors

size:    4000185 sectors

mode:    read/write

Good. Now we're safe right?

Part II: Dealing with /tmp

To protect /tmp, we have two choices. 1) we can encrypt it like we did with swap or 2) we can create a ramdisk. The content of a ramdisk don't survive a reboot and /tmp rarely is used for any big files, its is also a good option. But, paranoid as we are, we choose option 1)

The setup is almost identical as for swap:

Step 1: Setting up a tmp partition using LVM.

If you use a regular partition, you can easily skip this step.

# pvcreate /dev/sda3

Physical volume "/dev/sda3" successfully created

# vgcreate vg_storage /dev/sda3

Volume group "vg_storage" successfully created

# vgchange -a y vg_storage

0 logical volume(s) in volume group "vg_storage" now active

# lvcreate -L500M -nlv_tmp vg_storage

Logical volume "lv_tmp" created

For more details on how to use LVM, please check out the excellent LVM HOWTO.

Step 2: Fill the partition with random data.

# dd if=/dev/urandom of=/dev/vg_storage/lv_tmp

1024001+0 records in

1024000+0 records out

524288000 bytes (524 MB) copied, 139.983 s, 3.7 MB/s

Step 3: Add entry in /etc/crypttab

# cat /etc/cryptab

...

cryptotmp /dev/vg_storage/lv_tmp /dev/random cipher=aes-cbc-essiv:sha256,size=256,hash=sha256,tmp

Now, since /tmp is encrypted with a new key every time, the filsystem must be created every time as well. The option "tmp" fixes that for us and calls mkfs before mount. Since it is created with filesystem ext2, we add in fstab:

# cat /etc/fstab

...

/dev/mapper/cryptotmp none ext2 defaults 0 0

Step 4: Test it.

Reboot to test.

We now have an encrypted /tmp partition as well. Great!

# cryptsetup status cryptotmp

/dev/mapper/cryptotmp is active:

cipher:  aes-cbc-essiv:sha256

keysize: 256 bits

device:  /dev/mapper/vg_storage-lv_tmp

offset:  0 sectors

size:    1024000 sectors

mode:    read/write

Part III: Creating and setting up an encrypted home partition

Step 1: Setting up a home partition using LVM.

If you use a regular partition, you can easily skip this step.

# lvcreate -L20G -nlv_home vg_storage

Logical volume "lv_home" created

Step 2: Fill your soon-to-be home partition with random data.

 # dd if=/dev/urandom of=/dev/vg_storage/lv_home

20481+0 records in

20480+0 records out

21474836480 bytes (21 GB) copied, 5554.23 s, 3.9 MB/s

This will take even longer than the swap partition. So go for lunch or something.

Step 3: Initialize the partition and set initial key.

Remember, if you use a weak password, your screwed. If you forget the password, its game over.

# cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/vg_storage/lv_home



WARNING!

========

This will overwrite data on /dev/vg_storage/lv_home irrevocably.



Are you sure? (Type uppercase yes): YES

Enter LUKS passphrase:

Verify passphrase:

Command successful.

We use cipher "aes-cbc-essi", since the default is vulnerable to Watermarking attack.

Step 4: Create a device mapping.

# cryptsetup luksOpen /dev/vg_storage/lv_home cryptohome

Enter LUKS passphrase:

key slot 0 unlocked.

Command successful.

This will create a device mapping, as can bee see under:

$ ls -l /dev/mapper/

total 0

crw-rw---- 1 root root  10, 61 2009-05-19 15:39 control

brw-rw---- 1 root disk 252,  4 2009-05-19 15:52 cryptohome

brw-rw---- 1 root disk 252,  1 2009-05-19 15:39 cryptoswap

brw-rw---- 1 root disk 252,  2 2009-05-19 15:39 cryptotmp

brw-rw---- 1 root disk 252,  3 2009-05-19 15:52 vg_storage-lv_home

brw-rw---- 1 root disk 252,  0 2009-05-19 15:39 vg_storage-lv_tmp

Note that LVM also uses the device-mapper (that is why LVM volumes also are listed).

Or, you can use the command dmsetup ls to list the mapped devices:

$ dmsetup ls

cryptoswap (252, 1)

vg_storage-lv_tmp (252, 0)

cryptotmp (252, 2)

vg_storage-lv_home (252, 3)

cryptohome (252, 4)

Step 5: Create a filesystem.

We now have an encrypted partition. To use it, we need to create a filesystem on it:

# mkfs.ext4 -j -m 1 -O dir_index,filetype,sparse_super /dev/mapper/cryptohome

mke2fs 1.41.4 (27-Jan-2009)

Filesystem label=

OS type: Linux

Block size=4096 (log=2)

Fragment size=4096 (log=2)

1310720 inodes, 5242623 blocks

52426 blocks (1.00%) reserved for the super user

First data block=0

Maximum filesystem blocks=0

160 block groups

32768 blocks per group, 32768 fragments per group

8192 inodes per group

Superblock backups stored on blocks:

 32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,

 4096000



Writing inode tables: done

Creating journal (32768 blocks): done

Writing superblocks and filesystem accounting information: done



This filesystem will be automatically checked every 28 mounts or

180 days, whichever comes first.  Use tune2fs -c or -i to override.

Step 6: Testing!

We start by closing and reopen the encrypted partition before we mount it:

# cryptsetup luksClose cryptohome

# cryptsetup luksOpen /dev/vg_storage/lv_home cryptohome

Enter LUKS passphrase:

key slot 0 unlocked.

Command successful.

# mkdir -p /mnt/cryptohome

# mount /dev/mapper/cryptohome /mnt/cryptohome

# touch /mnt/cryptohome/testfile

# ls /mnt/cryptohome/

lost+found   testfile

We can also confirm that it works by issuing the command:

# cryptsetup status cryptohome

/dev/mapper/cryptohome is active:

cipher:  aes-cbc-essiv:sha256

keysize: 256 bits

device:  /dev/mapper/vg_storage-lv_home

offset:  2056 sectors

size:    41940984 sectors

mode:    read/write

Now would be a good time to move your current home to this partition.

Finally we umount:

 # umount /mnt/cryptohome

# cryptsetup luksClose cryptohome

Step 7: Cryptohome mounted at boot or at login?

Now you have to take a choice. You can enable the partition at boot time, but then the boot sequence is interrupted asking you for the LUKS password. If you want the partition automatically mounted when you login, skip to the next section.

Instead of manually typing in password, you can have the key stored externally - for instance on a usb-stick. Read more about that here.

You want to enable mounting at boot time? Then update /etc/crypttab:

# cat /etc/crypttab

...

cryptohome /dev/vg_storage/lv_home none luks

And /etc/fstab:

# cat /etc/fstab

...

/dev/mapper/cryptohome /home/ ext4 relatime,errors=remount-ro 0 2

When you now reboot, the boot process is interrupted asking you for the LUKS password. If you type it correctly, the home partition is mounted. When you now log in, you will have an encrypted home partition ready waiting for you.

Part IV: Automatically mount when logging in.

A more elegant solution would be to automatically mount the home partition the same time you log in. This require that you use the same password for login as for the encrypted partition. (Actually that is not entirely true. You may have the password stored on file somewhere. But in this howto, we assume you have the same password for both.)

Step 1: Remove home partition from /etc/fstab

If there is an entry to your (encrypted) home partition in /etc/fstab, remove it

# cat /etc/fstab

...

/dev/mapper/cryptohome /home ext4 relatime,errors=remount-ro 0 2 # this gotta go

Step 2: Update /etc/crypttab

Make sure the you have a line in /etc/crypttab that reads as follows:

# cat /etc/crypttab

...

cryptohome /dev/vg_storage/lv_home noauto luks

Step 3: Configure pam_mount

Add the following entry in /etc/security/pam_mount.conf.xml. This file is heavily commented, and it may be useful to read the comments.

# cat /etc/security/pam_mount.conf.xml

...

Step 4: Configure PAM

No longer necessary. As of 9.04 all options already included.

Step 5: Test!

Log out and back in. You should now have an encrypted home:

$ df -h

...

/dev/mapper/_dev_mapper_vg_storage-lv_home

                     20G  296M   20G   2% /home

Congratulation, you now have an encrypted swap, tmp and home partition!

A final advice: Take regular backups.

Useful links:

• "dm-crypt: a device-mapper crypto target": http://www.saout.de/misc/dm-crypt/
• "dm-crypt HOWTO for Debian unstable and testing": http://www.saout.de/tikiwiki/tiki-index.php?page=HOWTO

What's Related

• eCryptfs
• here
• here
• LVM HOWTO
• Watermarking attack
• here
• http://www.saout.de/mis...
• http://www.saout.de/tik...
• More by lars
• More from Security

Story Options

• Mail Story to a Friend
• Printable Story Format

Trackback

Trackback URL for this entry: http://blog.gnist.org/trackback.php?id=EncryptedSwapAndHomeUbuntu

Here's what others have to say about 'Encrypted swap, tmp and home partition in Ubuntu 9.04':

The prattlings of Steve Crook » Blog Archive » Encrypted Filesystems Revised
Tracked on Friday, 16 May 2008 @ 13:53 CEST

Jason L. Froebe: Ramblings of a Geek » Blog Archive » Encrypting your /home and swap on Ubuntu Linux v8.0
Tracked on Wednesday, 28 May 2008 @ 16:30 CEST

Perfect dual boot crypted hard disk setup with Truecrypt and LUKS | Redi for Life
Tracked on Tuesday, 15 July 2008 @ 2:31 CEST

How To: Encriptar particiones swap y Home en Ubuntu 8.04 (Eng) from meneame.net
Un sencillo tutorial para encriptar las particiones swap y home en Ubuntu, manteniendo tus datos seguros de miradas ajenas. Está en inglés pero no requiere mucho conocimiento para entenderlo. [read more]
Tracked on Tuesday, 02 September 2008 @ 12:31 CEST

[Howto] Encriptar las particiones Home y Swap en Ubuntu 8.04 | el tecnicida
Tracked on Tuesday, 02 September 2008 @ 13:20 CEST

Coredump » Setting up encrypted swap on Ubuntu 7.10 (Gutsy Gibbon)
Tracked on Saturday, 20 September 2008 @ 17:17 CEST

carrierdetect.com » Migrating a MacBook Pro to GNU/Linux
Tracked on Wednesday, 17 December 2008 @ 0:25 CET

Encrypted swap, tmp and home partition in Ubuntu 9.04 | 17 comments | Create New Account

Newest First Oldest First Flat Nested No Comments Threaded

The following comments are owned by whomever posted them. This site is not responsible for what they say.

Encrypted swap and home partition in Ubuntu 8.04

Authored by: Anonymous on Wednesday, 18 June 2008 @ 21:47 CEST

Thanks for posting this HowTo.
I'm using LUKS encrypted home+swap with unencrypted root for some months now, or years? works like a charm :-)

some comments (especially for part III):
with pam-mount you do not need the /etc/crypttab entry. I do only have the cryptswap-entry.

ubuntus pam-mount installs a common-pammount file in /etc/pam.d/ you can use:
I added "@include common-pammount" to my common-auth and common-session instead of loading pam_mount.so directly.
this way you'll benefit from changes the package maintainer grants to you ;-) but nevertheless if dpkg updates common-auth/session ... you know...

and at least:
why do you use lvm to create only one volume in it? ;-)

[ Reply to This | # ]

Encrypted swap and home partition in Ubuntu 8.04

Authored by: Anonymous on Thursday, 19 June 2008 @ 4:05 CEST

I successfully used your post to encrypt the /home and swap partitions on my laptop running LinuxMint. Mint, unfortunately, does not have an alternative install CD so if one wants LVM and/or encryption one has to do the setup manually.

A minor correction in the line for the swap in /etc/fstab, the mount point should be "none" instead of "swap":

/dev/mapper/cryptoswap none swap sw 0 0

Thank you for the post,
Peter

[ Reply to This | # ]

• Encrypted swap and home partition in Ubuntu 8.04 - Authored by: lars on Sunday, 22 June 2008 @ 15:40 CEST

Encrypted swap and home partition in Ubuntu 8.04

Authored by: Anonymous on Friday, 20 June 2008 @ 8:45 CEST

while encrypting a previously unencrypted swap, there remains a "resume"-entry in /etc/initramfs-tools/conf.d/resume. You can delete or comment out (#) the "RESUME=" line. Otherwise the splash screen (usplash) will show the console while boot i.e. the splash won't show the full booting time.
don't forget to rewrite the initrd: e.g. with "dpkg-reconfigure [yourkernelimage, e.g. linux-image-2.6.24-19-generic]" or use aptitude/synaptic or even update-initramfs directly.

[ Reply to This | # ]

• Encrypted swap and home partition in Ubuntu 8.04 - Authored by: Anonymous on Saturday, 01 November 2008 @ 21:59 CET

Encrypted swap and home partition in Ubuntu 8.04

Authored by: Anonymous on Saturday, 05 July 2008 @ 6:28 CEST

for those who might not have known: the 'alternate' install disc gives you the option to set up a fully encrypted system, so if you're doing a fresh install and don't mind having system files encrypted as well, using the install option is probably easier.

[ Reply to This | # ]

Encrypted swap and home partition in Ubuntu 8.04

Authored by: Anonymous on Wednesday, 10 September 2008 @ 10:07 CEST

I found that following the directions posted here for modifying PAM, I was asked for a second password from the GDM.

I added only "@include common-pammount" in both /etc/pam.d/common-auth and /etc/pam.d/common-session and the login unencryption worked correctly with a single password.

[ Reply to This | # ]

Encrypted swap and home (or /tmp?) partition in Ubuntu 8.04

Authored by: Anonymous on Monday, 15 September 2008 @ 19:04 CEST

Hello, Lars!

You have written a very useful article.

If one wanted to encrypt /tmp instead of /home, what should one do differently? The big difference is that /tmp should be encrypted with a throw-away key because I prefer NOT to be asked for a password at the boot time for opening up /tmp. It is because of this that I haven't been able to encrypt /tmp. :-/ Maybe, or hopefully, you could help?

Much oblige!

Tuomas

[ Reply to This | # ]

• Encrypted swap and home (or /tmp?) partition in Ubuntu 8.04 - Authored by: Anonymous on Tuesday, 14 October 2008 @ 16:36 CEST

Turkish Translation

Authored by: Anonymous on Saturday, 27 September 2008 @ 0:14 CEST

Hi Lars,

Here is your document's Turkish translation: http://docs.comu.edu.tr/howto/encrypted-swap-howto.html

Best regards

Necdet Yucel

[ Reply to This | # ]

Encrypted swap and home partition in Ubuntu 8.04

Authored by: Anonymous on Thursday, 04 December 2008 @ 18:23 CET

Thank you, Lars. I worked for three days trying various approaches (dmsetup, truecrypt) to get an encrypted /home on boot up and it wasn't until I tried your steps that I met with success. I did have one difference on my ubuntu 8.10 setup from what you show (the encrypted swap didn't 'engage' after the initial boot in Step 4.; that is, running cryptsetup status cryptoswap showed nothing at first; it wasn't until I continued on with the rest of the steps that the swap was automagically enabled after one of the reboots, but I couldn't tell you exactly when). Otherwise, it appears to be workng well! Many, many thanks. It's folks like you that help make the Linux world work (god knows I couldn't figure it out on my own and I work in IT for pete's sake :-)


[11:18:35] ~> sudo cryptsetup status _dev_sda3
/dev/mapper/_dev_sda3 is active:
cipher: aes-cbc-essiv:sha256
keysize: 256 bits
device: /dev/sda3
offset: 2056 sectors
size: 220377614 sectors
mode: read/write
[11:18:45] ~> sudo cryptsetup status cryptoswap
/dev/mapper/cryptoswap is active:
cipher: aes-cbc-essiv:sha256
keysize: 256 bits
device: /dev/sda5
offset: 0 sectors
size: 9847719 sectors
mode: read/write


Best regards,

Guy S.

[ Reply to This | # ]

Encrypted swap, tmp and home partition in Ubuntu 9.04

Authored by: Anonymous on Wednesday, 27 May 2009 @ 7:26 CEST

It seems to me that in Part 3 step 3 concerning the entry for /etc/fstab you don't want none listed as the mount point, you want /tmp. Otherwise no data will be put into the newly created encrypted space that is desired for tmp. Could be wrong though. Thanks for the great article.

[ Reply to This | # ]

• Encrypted swap, tmp and home partition in Ubuntu 9.04 - Authored by: lars on Thursday, 28 May 2009 @ 12:56 CEST

Encrypted swap, tmp and home partition in Ubuntu 9.04

Authored by: Anonymous on Sunday, 07 June 2009 @ 21:40 CEST

I tried following your tutorial while using an existing ext4 partition, everything seemed fine until I tried:

sudo cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sda8

I got this error:

pam_mount(pam_mount.c:100): unknown pam_mount option "use_first_pass"
WARNING!
========
This will overwrite data on /dev/sda8 irrevocably.
Are you sure? (Type uppercase yes): YES
Command failed: Can not access device

Could you please tell me if I did something wrong?

[ Reply to This | # ]

• Encrypted swap, tmp and home partition in Ubuntu 9.04 - Authored by: Anonymous on Monday, 08 June 2009 @ 13:14 CEST

• Encrypted swap, tmp and home partition in Ubuntu 9.04 - Authored by: Anonymous on Tuesday, 16 June 2009 @ 22:22 CEST

Encrypted swap, tmp and home partition in Ubuntu 9.04

Authored by: Anonymous on Wednesday, 24 June 2009 @ 23:49 CEST

Hi Lars

It is possible to set up Luks from the 9.04 alternate CD/DVD. I've done it on my laptop.

Just set up the whole disk as encrypted LVM, and say no to the question about encrypted home directory ( it's the eCryptfs thing ).

Then I made a backdoor for it which transmit my LUKS phassphrase using the leds on my X61 as a covert channel.... but that's another story.

Espen G

[ Reply to This | # ]

Jump

gnist.org
gnist.org/~lars

Topics

Home
Security (10/0)
Tech (20/0)
Private (1/0)

Older Stories

Wednesday07-Nov

• RHEL5 SELinux: A benchmark (0)

Saturday03-Nov

• Holiday cracking - redux (0)
• Bash prompt with exit status (0)

Friday12-Oct

• Bash prompt (on RedHat) (0)

Wednesday01-Aug

• Old classical PC games on Nintendo DS (0)

Friday27-Jul

• Linux on Nintendo DS (2)
• Memory card "DS-Xtreme" (DSX) for the Nintendo DS (NDS) (1)

Wednesday25-Jul

• Less typing with enviroment variable CDPATH (0)

Tuesday24-Jul

• Fork bomb, or how to take down a Linux server in matter of seconds (0)

Sunday24-Jun

• Netdump (0)

Monday18-Jun

• Magical SysRq (0)

Sunday13-May

• SELinux presentation (0)

Monday09-Apr

• Holiday cracking (80)

Thursday15-Mar

• Synergy - two screens, two OSes (1)

Monday12-Mar

• Log and disabling Ctrl+Alt+Del (0)

Top | Terms | Privacy
Created this page in 0.15 seconds

Copyright © 2009 Lars Strand
All trademarks and copyrights on this page are owned by their respective owners.

Chiffrage & Partitions V

Source: Blog de Swâmi Petaramesh

Sécurisation d'une Ubuntu: Chiffrement du swap

Par Petaramesh le samedi 27 octobre 2007, 12:21 - Informatique non-duelle - Lien permanent

• chiffrement
• cryptographie
• geekerie
• informatique
• Linux
• Ubuntu

Un billet technique, un !

Il existe une palanquée de HowTos expliquant diverses méthodes de chiffrement d'un système de fichiers sous Ubuntu, mais ceux-ci sont généralement complexes et s'adressent à des utilisateurs plutôt expérimentés.

Celui-ci, dont je me suis inspiré pour ce billet, donne à son début de très intéressantes et abordables informations de base sur le principe du chiffrement, je vous y renvoie donc pour de plus amples informations.

Je vais vous indiquer ici une méthode très simple permettant de chiffrer uniquement l'espace de swap, pour commencer...

Un disque dur peut se révéler très indiscret, et un examen "forensic" de celui-ci peut le plus souvent exhumer des fichiers temporaires effacés depuis longtemps, des morceaux de documents dont on penserait "qu'ils n'ont jamais été sauvegardés", des mots de passe...

Protéger un système contre la présence de tels "restes mortels" constitue un projet long et complexe, mais on peut commencer par le plus simple et le plus nécessaire : le swap et les répertoires de fichiers temporaires.

Nous nous intéresserons aujourd'hui au seul swap.

Le swap est une partition spéciale qui est toujours créée automatiquement et séparément des autres lors de l'installation d'une distribution GNU/Linux. Le swap peut être vu comme une extension sur le disque dur de la mémoire vive (RAM) du système, c'est-à-dire que dès que le système manque de mémoire, il copie automatiquement sur le disque dur, dans l'espace de swap, non pas des fichiers, mais des blocs de sa mémoire vive dont "il n'a pas besoin pour l'instant", de manière à libérer de la place en mémoire centrale. Ces éléments copiés sur le swap y demeurent jusqu'à ce qu'ils soient écrasés par d'autres, et on peut y trouver absolument n'importe quoi : Bouts de documents ouverts ou en cours de rédaction, pages web en cours de visite, morceaux de programmes, mots de passe... Leur exploitation est difficile, mais accessible à un spécialiste doté d'outils ad hoc.

Comme Linux optimise en permanence son utilisation de la mémoire, en pratique, dès qu'une machine a été allumée quelques dizaines de minutes, des données inutilisées sont swappées même si le système ne manque pas de mémoire.

Pour éviter la présence rémanente sur son disque dur de telles indiscrétions rémanentes, la plus sûre solution est de chiffrer le swap en utilisant un mot de passe aléatoire généré automatiquement au boot de la machine, et définitivement perdu dès que la machine est éteinte ou rebootée. Ainsi, tout ce qui demeure sur le swap est définitivement inexploitable dès la machine éteinte.

Or, ceci est extrêmement facile à mettre en oeuvre. Voici comment procéder sur une Ubuntu 7.04 Feisty ou 7.10 Gutsy.

=> Dans la suite de ce document, je parle de "console root". Une "console root" est un terminal dans lequel on est passé en mode root (administrateur) en tapant la commande "sudo -s". On peut aussi exécuter chaque commande root à partir d'une console "ordinaire", mais il faut à ce moment-là précéder chaque commande de "sudo" pour l'exécuter en tant que root.

Si l'on a fait "sudo -s", on peut ensuite ressortir en mode "utilisateur ordinaire" en tapant "exit" ou [Ctrl]-D (fin du fichier d'entrée).

Pour chiffrer le swap, donc, la première chose à faire est d'installer le paquetage cryptsetup, soit au moyen de l'outil graphique adéquat, soit en console root par la simple commande :

aptitude install cryptsetup

Une fois ceci fait, il faut s'assurer de la partition de disque sur laquelle se trouve le swap.

ATTENTION : Dans la suite de ce processus, toute erreur ou faute de frappe dans le nom de la partition sur laquelle on travaille provoquera irrémédiablement la destruction des données du disque dur ! Il faut donc vérifier à chaque commande qu'on travaille bien sur la bonne partition, exclusivement celle du swap !

Tapons la commande :

root@totor:/etc# swapon -s
Filename                                Type            Size    Used    Priority
/dev/sda4                               partition       4200884 34072   -1

...Notre partition de swap active est /dev/sda4 (4ème partition principale de notre premier disque dur SATA ou SCSI).

Dans la suite de ce document, à chaque fois que vous verrez /dev/sda4, pensez à le remplacer par votre partition de swap telle que cette commande vous l'aura montrée !

Si vous avez un processeur de classe i586 ou supérieur (c'est-à-dire tout le monde, sauf les possesseurs de très vieilles machines), nous utiliserons le module de chiffrement "aes_i586" (les plus vieux utiliseront "aes" tout court.

• Chargeons les modules de noyau dont nous avons besoin pour le chiffrement :

modprobe aes_i586
modprobe dm_mod
modprobe dm_crypt

• Désactivons notre partition de swap (fermez auparavant les applications dont vous n'avez pas besoin, de manière à vous assurer que vous ne consommez pas plus de mémoire vive que la mémoire RAM réelle de votre système)

swapoff /dev/sda4

• Assurons-nous que le swap n'est plus utilisé :

root@totor:/etc# swapon -s
Filename                                Type            Size    Used    Priority

(On ne doit plus rien voir dans la liste)

Maintenant, nous allons effacer "écraser" complètement le contenu de la partition de swap (si vous écrasez la mauvaise partition, vous êtes mal !)

• Si nous avons du temps devant nous (ça peut prendre plusieurs dizaines de minutes), nous remplirons cette partition de données pseudo-aléatoires, pour rendre son contenu présent et futur complètement indiscernable de données aléatoires :

dd if=/dev/urandom of=/dev/sda4 bs=1M

...L'opération se poursuivra jusqu'à donner une "erreur d'entrée-sortie" quand la partition sera pleine.

(Si nous sommes pressés et voulons aller beaucoup plus vite, nous pouvons utiliser "/dev/zero" à la place de "/dev/urandom" pour écraser toute la partition avec des zéros, mais cela donnera une protection d'un peu moins bonne qualité.)

• La partition une fois effacée, créons un volume chiffré à partir de celle-ci :

cryptsetup -s 128 -d /dev/urandom create cswap /dev/sda4

(N'utilisez en aucun cas "/dev/zero" ici !)

Si cela a fonctionné, nous devons maintenant voir un péripérique bloc appelé /dev/mapper/cswap :

root@totor:/etc# ls -l /dev/mapper
total 0
crw-rw 1 root root  10, 63 2007-10-27 10:37 control
brw-rw 1 root disk 254, 41 2007-10-27 10:37 cswap

...Et nous pouvons vérifier que cswap est bien une partition chiffrée :

root@totor:/etc# cryptsetup status cswap
/dev/.static/dev/mapper/cswap is active:
cipher:  aes-cbc-plain
keysize: 128 bits
device:  /dev/sda4
offset:  0 sectors
size:    8401790 sectors
mode:    read/write

• Créons maintenant un espace de swap sur cette nouvelle partition chiffrée :

mkswap /dev/mapper/cswap

• Activons maintenant cet espace de swap :

swapon /dev/mapper/cswap

• Vérifions qu'il est bien actif :

root@totor:/etc# swapon -s
Filename                                Type            Size    Used    Priority
/dev/mapper/cswap                       partition       4200884 34272   -1

Et voilà ! Notre swap est désormais chiffré !

Il nous faut maintenant nous assurer que ceci sera fait automatiquement à chaque boot. Nous avons pour cela quelques fichiers de configuration à éditer (toujours en mode root) :

• Editons le fichier /etc/modprobe.d/aliases, et ajoutons à la fin de celui-ci une ligne :

alias aes aes_i586

• Editons le fichier /etc/modules, et ajoutons vers le début de celui-ci les lignes :

aes_i586
dm_mod
dm_crypt

• Editons le fichier /etc/crypttab, comme suit :

#                 
cswap                  /dev/sda4                   /dev/urandom  size=128,swap

• Editions le fichier /etc/fstab, cherchons la ligne concernant le swap et qui doit probablement commencer par un long "UUID=blablabla" suivi quelque part de "swap", et être précédé d'une ligne de commentaire indiquant "# /dev/sda4". Modifions cette ligne en supprimant "UUID=blablabla" et en le remplaçant pour donner à la ligne l'aspect suivant :

/dev/mapper/cswap none           swap    sw              0       0

Voilà, nous avons terminé !

Il ne reste plus qu'à redémarrer le système pour s'assurer que ceci a "survécu au reboot" et que le système sait désormais configurer tout seul son swap chiffré à chaque boot. Après le reboot, on vérifiera simplement que...:

root@totor:/etc# swapon -s
Filename                                Type            Size    Used    Priority
/dev/mapper/cswap                       partition       4200884 34272   -1

root@totor:/etc# cryptsetup status cswap
/dev/.static/dev/mapper/cswap is active:
cipher:  aes-cbc-plain
keysize: 128 bits
device:  /dev/.static/dev/mapper/swap
offset:  0 sectors
size:    8401790 sectors
mode:    read/write

Voilà, notre "swap" est désormais définitivement chiffré. Dans un prochain article, nous verrons comment faire la même chose, sur le même principe, pour la partition de fichiers temporaires "/tmp".

Chiffrage & Partitions IV

Source: Forum Ubuntu

Ce tuto se compose de quatre parties :

• crypter une partition, sur ce poste #1.
• crypter une partition en utilisant les LUKS, ICI
• crypter une partition déjà utilisée tout en conservant les données présentes : ICI
• Crypter un fichier créé pour la circonstance. Ce fichier crypté sera ensuite utilisé comme une partition, y compris sur une clé usb ou un autre pc disposant de cryptsetup : ICI
  

Voir aussi le poste de traaf qui a ajouté une règle udev pour régler un problème de changement de position du disque crypté.
----------

J'ai réduit au maximum les commentaires.
Pour plus de détails, voir Le Wiki Ubuntu

On va utiliser dm-crypt et donc cryptsetup pour crypter une partition avec AES.

On s'assure que l'on a les moyens de contrôler le device-mapper, où tout sera "fait à la volée" :

cep@casa:~$ ls -l /dev/mapper/control
crw-rw---- 1 root root 10, 63 2005-12-08 14:23 /dev/mapper/control

On regarde quelles sont les possibilités d'encryption inclues dans le kernel d'ubuntu :

cep@casa:~$ /sbin/modinfo /lib/modules/`uname -r`/kernel/crypto/* |grep description
description: Anubis Cryptographic Algorithm
description: ARC4 Cipher Algorithm
description: Blowfish Cipher Algorithm
description: Cast5 Cipher Algorithm
description: Cast6 Cipher Algorithm
description: CRC32c (Castagnoli) calculations wrapper for lib/crc32c
description: Null Cryptographic Algorithms
description: Deflate Compression Algorithm for IPCOMP
description: DES & Triple DES EDE Cipher Algorithms
description: Khazad Cryptographic Algorithm
description: MD4 Message Digest Algorithm
description: Michael MIC
description: Serpent and tnepres (kerneli compatible serpent reversed) Cipher Algorithm
description: SHA1 Secure Hash Algorithm
description: SHA256 Secure Hash Algorithm
description: SHA-512 and SHA-384 Secure Hash Algorithms
description: Quick & dirty crypto testing module
description: TEA & XTEA Cryptographic Algorithms
description: Tiger Message Digest Algorithm
description: Twofish Cipher Algorithm
description: Whirlpool Message Digest Algorithm

cep@casa:~$ /sbin/modinfo /lib/modules/`uname -r`/kernel/arch/i386/crypto/* |grep description
description: Rijndael (AES) Cipher Algorithm, i586 asm optimized

On se donne les droits root pour ne pas avoir à entrer sudo à chaque ligne :
cep@casa:~$ sudo -s
Password:

On installe cryptsetup, qui est l'interface de chiffrement :

root@casa:~# apt-get install cryptsetup
Lecture des listes de paquets... Fait
...
...etc.etc.
puis le processus d'installation se termine par:
Paramétrage de cryptsetup (1.0.1-0ubuntu4) ...
Adding system startup for /etc/init.d/cryptdisks ...
/etc/rc0.d/S48cryptdisks -> ../init.d/cryptdisks
/etc/rc6.d/S48cryptdisks -> ../init.d/cryptdisks
/etc/rcS.d/S28cryptdisks -> ../init.d/cryptdisks

On ajoute aes, dm_mod et dm_crypt dans /etc/modules (vérifiez s'ils n'y sont pas déjà) :

root@casa:~# echo aes >> /etc/modules
root@casa:~# echo dm_mod >> /etc/modules
root@casa:~# echo dm_crypt >> /etc/modules

On vérifie :
root@casa:~# cat /etc/modules
lp
mousedev
psmouse
aes
dm_crypt
dm_mod

On vérifie que la partition sur laquelle on va travailler n'est pas montée :

root@casa:~# mount
...

J'ai choisi de crypter la partition hdb7 et de nommer le volume "crypt".
On crée donc le volume "crypt"

root@casa:~# cryptsetup -y create crypt /dev/hdb7
Enter passphrase:
Verify passphrase:

On a entré le mot de passe ou la phrase secrète.

On ajoute "crypt /dev/hdb7" dans /etc/crypttab

root@casa:~# echo "crypt /dev/hdb7" >> /etc/crypttab

On modifie /etc/fstab afin d'y ajouter /dev/mapper/crypt pour qu'il soit monté au boot dans /crypt :

root@casa:~# echo "/dev/mapper/crypt /crypt ext2 defaults 0 1" >> /etc/fstab

On vérifie :

root@casa:~# cat /etc/fstab
# /etc/fstab: static file system information.
#
#
proc /proc proc defaults 0 0
/dev/hda1 / ext3 defaults,errors=remount-ro 0 1
...
/dev/mapper/crypt /mnt/crypt ext2 defaults 0 1

On crée le système de fichiers sur /dev/mapper/crypt. En ce qui me concerne, j'ai choisi ext2 :

root@casa:~# mkfs.ext2 /dev/mapper/crypt
mke2fs 1.38 (30-Jun-2005)
Étiquette de système de fichiers=
Type de système d'exploitation: Linux
Taille de bloc=1024 (log=0)
Taille de fragment=1024 (log=0)
26104 inodes, 104388 blocs
5219 blocs (5.00%) réservé pour le super usager
Premier bloc de données=1
13 bloc de groupes
8192 blocs par groupe, 8192 fragments par groupe
2008 inodes par groupe
Archive du superbloc stockée sur les blocs:
8193, 24577, 40961, 57345, 73729

Écriture des tables d'inodes: complété
Écriture des superblocs et de l'information de comptabilité du système de fichiers: complété

Le système de fichiers sera automatiquement vérifié tous les 32 montages ou après
180 jours, selon la première éventualité. Utiliser tune2fs -c ou -i pour écraser la valeur.

On crée le point de mount /crypt :

root@casa:~# mkdir /crypt

Pensez à attribuer le répertoire à votre user et à lui donner les droits 700 par exemple.

On monte tout :

root@casa:~# mount -a

On vérifie :

root@casa:~# mount
/dev/hda1 on / type ext3 (rw,errors=remount-ro)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs (rw)
usbfs on /proc/bus/usb type usbfs (rw)
tmpfs on /lib/modules/2.6.12-10-386/volatile type tmpfs (rw,mode=0755)
tmpfs on /dev type tmpfs (rw,size=10M,mode=0755)
/dev/mapper/crypt on /crypt type ext2 (rw)

/dev/mapper/crypt est bien monté sur /crypt.

root@casa:~# exit
exit
cep@casa:~$

Maintenant on redémarre la machine pour voir comment tout se déroule.

Àu moment de lancer le processus de cryptographie et de mount de la partition, le usplash s'interrompt et il est demandé d'entrer le mot de passe. D'ou la nécessité d'être devant sa machine.
Si vous entrez le mot de passe, tout se déroule normalement, la partition est montée et décryptée / encryptée à la volée.
Par contre, si vous n'entrez pas le mot de passe, le lancement de la machine s'interrompt avec un message de mauvais filesystème et fsck failed. Normal.
On vous propose de lancer un fsck manuel. Inutil d'accepter, il ne servira à rien. Taper simplement : exit et le processus reprend et votre système démarre.
Par contre, lorsque vous essayerez de monter la partition cryptée par un : sudo mount -a ou un : sudo mount -a -o remount, cela n'aboutira pas et vous aurez le message :

mount: wrong fs type, bad option, bad superblock on /dev/mapper/crypt,
missing codepage or other error
In some cases useful info is found in syslog - try
dmesg | tail or so

ce qui encore une fois est normal.
Pour pouvoir monter la partiton, il faudra refaire le "mapping" avec les deux commandes suivantes :

cep@casa:~$ sudo cryptsetup remove crypt
cep@casa:~$ sudo cryptsetup create crypt /dev/hdb7
Enter passphrase:

Et vous entrerez votre mot de passe choisi initialement.
À ce stade, n'essayez pas de mettre un autre mot de passe, ou penser utiliser cette commande pour monter une partition dont vous n'auriez pas le mot de passe, ça ne parchera pas :-)

Ensuite vous pourrez monter votre partition :

cep@casa:~$ sudo mount /dev/mapper/crypt -t ext2 /crypt

Une autre solution serait de commenter ou supprimer la ligne de /dev/mapper/ dans fstab. Ainsi, si vous avez d'autres users sur la machine, mais qui ne doivent pas accéder à cette partition, le boot pourra se faire normalement. Il suffira qu'ils tapent sur la touche Enter lorsqu'on demande un mot de passe. Et vous ferez la procédure décrite plus haut pour monter la partition.

Certains conseillent de crypter le /home, et parfois tout le système.
N'oubliez pas que si vous avez un jour un problème et que votre système ne se lance pas, il vous sera difficile de réparer avec un live cd ou autre. Il faudra utiliser d'autres moyens.

Il me reste maintenant à pousser un peu plus l'utilisation de cette partition et à étudier les systèmes de sauvegarde restauration sur une partition cryptée.
Mais, surtout, à appliquer cela sur un disque usb (udev et compagnie), ce qui est l'interêt principal.

Pour cette page, je me suis inspiré de :
https://wiki.ubuntu.com//EncryptedFilesystemHowto
Vous pourrez le consulter pour tous les détails techniques et un usage plus poussé.

cep

Dernière modification par cep (Le 05/11/2007, à 15:12)

---

Quelques tutos et astuces :

http://www.cepcasa.info/divers/

Chiffrage & Partitions III

Source : Blog de ChMD

Comment crypter vos partitions sous ubuntu

Avant, pour me voler mes données, il suffisait d’extraire le disque dur de mon pc et d’explorer celui-ci. À cette époque, les chiens aboyaient sur mon passage, les gens m’évitaient et mes spams se moquaient de moi en me proposant un sexe plus gros. Aujourd’hui, les toutous me lèchent la main, tout le monde veut être mon pote et mes spams m’annoncent que j’ai trouvé l’amour : c’est normal, je suis passé aux partitions cryptées!

Bon ok, crypter ça fait parano, mais je vous assure que ça vaut le coup. D’abord, vous apprenez plein de trucs. Ensuite, la sécurité ne fait jamais de mal. Et enfin, moi, ça me fait enfin un article à mettre sur ce blog

Introduction

D’abord, la mauvaise nouvelle : tout ça ne servira à rien si on vous vole votre ordinateur allumé, même verrouillé. C’est assez récent, mais il a été montré, vidéos à l’appui, que dans ce cas on pouvait casser hyper facilement ces beaux mécanismes de protection avec un tournevis, une bombe à froid, un autre ordinateur et 10 minutes devant soi. Vous ne pourrez donc pas vous amuser à laisser trainer votre matos n’importe où sans surveillance (sans blague, me direz-vous). D’autre part, sachez que cela fait perdre la possibilité d’utiliser le mécanisme de veille prolongée (Argl). Eh oui, c’est le prix à payer pour la sécurité

la fameuse vidéo, la voilà :

C’est contraignant?

Non. Ça impose juste de taper un mot de passe à chaque démarrage. Après, vous pouvez utiliser votre système normalement : le mécanisme est totalement transparent et l’encryptage/décryptage se fait à la volée. Au passage, pour les accrocs de l’économie CPU, l’algo est apparemment assez intelligemment codé et je n’ai constaté aucune baisse de performances perceptible.

Les manips

On va se crypter /home et /swap. Pour cela, vous aurez besoin d’une partition libre (votre futur /home).

Commencez par installer dm-crypt :

sudo apt-get install dm-crypt

Partons du principe que vous avez choisi d’utiliser /dev/sda3 pour votre nouvelle partition cryptée. Démontez-le.

sudo umount /dev/sda3

Le wiki en anglais d’ubuntu suggère de vérifier que votre partition se porte bien, puis de la remplir de données aléatoires. Comme c’est vachement long, si vous êtes sûr que votre disque marche bien et que cette partition n’a rien contenu de secret avant, laissez tomber et passez direct à la creation de votre nouvelle partition LUKS :

sudo cryptsetup
   --verify-passphrase\
   --verbose --hash=sha256\
   --cipher=aes-cbc-essiv:sha256\
   --key-size=256 luksFormat\
   /dev/sda3

Ensuite, faites ouvrir votre volume par cryptsetup :

sudo cryptsetup luksOpen /dev/hda3 home

Puis créez-y le système de fichiers :

sudo mke2fs\
   -j -O dir_index,filetype,sparse_super\
   /dev/mapper/home

On va temporairement monter cette partition cryptée (sur /mnt), pour y copier votre ancien home.

sudo mount -t ext3 /dev/mapper/home /mnt

À ce moment là, plusieurs choix. Première possibilité, vous pourriez recopier tout votre /home dans cette nouvelle partition :

sudo cp -axv /home/* /mnt/

Moi, je m’y prend autrement : j’ai fait le choix de continuer à me servir de l’ancien /home pour y stocker toutes les données non confidentielles (films, musiques, fonds d’écrans…).
Si vous voulez faire comme moi, créez d’abord le futur répertoire pour votre /home/user et attribuez vous les droits :

sudo mkdir /mnt/user && sudo chown user:user /mnt/user

Puis copiez tout, sauf les répertoires que vous voulez garder sur l’ancienne partition.

for i in `ls --almost-all /home/user
                             --ignore videos\
                             --ignore images\
                             --ignore musique`;\
do\
   sudo cp -avx $i /mnt/user/;
done

Note pour ceux qui veulent appliquer la commande : ‘ls –almost-all /home/user’ va lister tous les fichiers de /home/user, sauf les répertoires spéciaux ‘.’ et ‘..’. Je rajoute l’option ‘–ignore nomdefichier’ lorsque je veux éviter qu’un fichier nommé ‘nomdefichier’ apparaisse dans la liste résultante. Ainsi, en français, cela donne : “pour i appartenant à l’ensemble des fichiers de /home/user, sauf ceux qui s’appellent ‘images’, ‘musique’ ou ‘videos’ (i.e. les répertoires dans lesquels je conserve ma musique, mes images, mes vidéos), copier i dans /mnt/user/ ( -avx : récursivement, en préservant au maximum les droits, liens, propriétaires, dates, contexte de sécurité, etc; en explicitant ce qui est copié; en gardant le même système de fichier)”
C’est bon! Vous effacerez les données cryptées une fois que vous serez certain que ça marche. Démontez moi ça :

sudo umount /mnt

Éditez /etc/fstab pour un montage automatique de votre nouveau /home crypté au démarrage : ajoutez y la ligne suivante (et commentez celle de l’ancien home).

/dev/mapper/home /home ext3 defaults 1 2

Éditez /etc/crypttab ajoutez-y cette ligne :

home /dev/hda3 none luks

C’est fini! Vous pouvez redémarrer.

Cryptage du swap

Vous allez être déçu, ça se fait en deux secondes : ouvrez /etc/fstab, commentez la ligne du swap. Celle-ci devrait être de la forme :

/dev/sda5 none swap sw 0 0

Maintenant faites un simple remplacement de /dev/sda5 par /dev/mapper/cswap :

/dev/mapper/cswap none swap sw 0 0

Et ouvrez /etc/cryptab pour lui dire de crypter aléatoirement le swap à chaque démarrage en y ajoutant la ligne :

cswap /dev/sda5 /dev/random swap

Voilà! C’est fini!

Conclusion

Vous faites désormais partie des personnes magnifiquement intelligentes qui cryptent leurs données. Savourez cet instant…

Si vous voulez des références sur le cryptage de partition, il existe aussi une liste de tutos faits par cep sur le forum d’ubuntu-fr.org…

Tags: libre, ubuntu

Chiffrage & Partitions II

Source : Doc FreeBSD

18.16. Chiffrer les partitions d'un disque

Contribution de Lucky Green.

FreeBSD offre d'excellentes protections contre un accès non autorisé aux données par l'intermédiaire du réseau. Les permissions sur les fichiers et le contrôle d'accès obligatoire -- ``Mandatory Access Control'' (MAC) (voir Chapitre 16) empêchent l'accès aux données pour des tiers non autorisés quand le système d'exploitation est actif et l'ordinateur en fonctionnement. Cependant, des permissions renforcés sont inutiles si l'attaquant a un accès physique à un ordinateur et peut simplement déplacer le disque dur sur un autre système pour copier et analyser les données sensibles.

Indépendamment de la manière dont une personne malveillante s'est trouvé en possession d'un disque dur ou a arrêté un ordinateur, le chiffrage de disque basé sur GEOM (gbde) (``GEOM Based Disk Encryption'') et le système de chiffrage geli de FreeBSD sont en mesure de protéger les données des systèmes de fichiers contre des attaquants très motivés et aux ressources importantes. A la différence des méthodes de chiffrage lourdes qui chiffrent uniquement les fichiers individuels, gbde et geli chiffrent de manière transparente l'intégralité du système de fichiers. Aucun texte en clair ne touche les plateaux du disque.

18.16.1. Chiffrage des disques avec gbde

1. Devenir root

   La configuration de gbde requiert les privilèges du super-utilisateur.

   % su -
   Password:
   

2. Ajouter le support gbde(4) au fichier de configuration du noyau

   Ajoutez la ligne suivante à votre fichier de configuration du noyau:

   options GEOM_BDE

   Recompilez le noyau comme décrit dans Chapitre 8.

   Redémarrez avec le nouveau noyau.

3. Au lieu de recompiler le noyau, on peut utiliser kldload pour charger le support gbde(4):

   # kldload geom_bde
   

18.16.1.1. Préparation du disque dur chiffré

L'exemple suivant suppose que vous ajoutez un nouveau disque dur à votre système et qui contiendra une seule partition chiffrée. Cette partition sera montée sous /private. gbde peut également être utilisé pour chiffrer les répertoires /home et /var/mail, mais cela demande une configuration plus complexe qui dépasse le cadre de cette introduction.

1. Ajouter le nouveau disque

   Installez le nouveau disque comme expliqué dans Section 18.3. Pour les besoins de cet exemple, une nouvelle partition disque a été ajoutée en tant que /dev/ad4s1c. Les périphériques du type /dev/ad0s1* représentent les partitions FreeBSD standards sur le système exemple.

   # ls /dev/ad*
   /dev/ad0        /dev/ad0s1b     /dev/ad0s1e     /dev/ad4s1
   /dev/ad0s1      /dev/ad0s1c     /dev/ad0s1f     /dev/ad4s1c
   /dev/ad0s1a     /dev/ad0s1d     /dev/ad4
   

2. Créer un répertoire pour héberger les fichiers de verrouillage de GBDE

   # mkdir /etc/gbde
   

   Le fichier de verrouillage de gbde contient l'information nécessaire à gbde pour accéder aux partitions chiffrées. Sans accès au fichier de verrouillage, gbde sera incapable de déchiffrer les données contenues sur la partition chiffrée sans une aide manuelle significative ce qui n'est pas supporté par le logiciel. Chaque partition chiffrée utilise un fichier de verrouillage propre.

3. Initialiser la partition gbde

   Une partition gbde doit être initialisée avant d'être utilisable. Cette initialisation doit être effectuée une seule fois:

   # gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c
   

   gbde(8) lancera votre éditeur, vous permettant de fixer diverses options de configuration dans un gabarit. Pour une utilisation de UFS1 ou UFS2, fixez l'option sector_size à 2048:

   $FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $
   #
   # La taille d'un secteur est la plus petite unité de donnée
   # qui peut être lue ou écrite.
   # Une valeur trop petite diminue les performances et l'espace
   # disponible.
   # Une valeur trop grande peut empêcher des systèmes de
   # fichiers de fonctionner correctement.  512 est la valeur minimale
   # et sans risque.  Pour l'UFS, utiliser la taille d'un fragment
   #
   sector_size     =       2048
   [...]
   

   gbde(8) vous demandera de taper deux fois la phrase d'authentification qui devra être utilisée pour sécuriser les données. La phrase d'authentification doit être la même dans les deux cas. La capacité de gbde à protéger vos données dépend de la qualité de la phrase d'authentification que vous avez choisie. [1]

   La commande gbde init crée un fichier de verrouillage pour votre partition gbde qui dans cet exemple est stocké sous /etc/gbde/ad4s1c.

   AttentionLes fichiers de verrouillage de gbde doivent être conservés de pair avec le contenu des partitions chiffrées. Alors que la suppression seule d'un fichier de verrouillage ne peut empêcher une personne déterminée de déchiffrer une partition gbde, sans le fichier de verrouillage, le propriétaire légitime sera incapable d'accéder aux données de la partition chiffrée sans beaucoup de travail ce qui est totalement non supporté par gbde(8) et son concepteur.

4. Attacher la partition chiffrée au noyau

   # gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c
   

   On vous demandera de fournir la phrase d'authentification que vous avez choisie lors de l'initialisation de la partition chiffrée. Le nouveau périphérique chiffré apparaîtra dans /dev en tant que /dev/nom_périphérique.bde:

   # ls /dev/ad*
   /dev/ad0        /dev/ad0s1b     /dev/ad0s1e     /dev/ad4s1
   /dev/ad0s1      /dev/ad0s1c     /dev/ad0s1f     /dev/ad4s1c
   /dev/ad0s1a     /dev/ad0s1d     /dev/ad4        /dev/ad4s1c.bde
   

5. Créer un système de fichiers sur le périphérique chiffré

   Une fois que le périphérique chiffré a été attaché au noyau, vous pouvez créer un système de fichiers sur le périphérique. Pour créer un système de fichiers sur le périphérique, utilisez newfs(8). Puisqu'il est plus rapide d'initialiser un nouveau système de fichiers UFS2 qu'un nouveau système UFS1, l'utilisation de newfs(8) avec l'option -O2 est recommandé.

   # newfs -U -O2 /dev/ad4s1c.bde
   

   Note : La commande newfs(8) peut être effectuée sur une partition gbde attachée qui est identifiée par une extension *.bde au niveau du nom de périphérique.

6. Monter la partition chiffrée

   Créez un point de montage pour le système de fichiers chiffré.

   # mkdir /private
   

   Montez le système de fichiers chiffré.

   # mount /dev/ad4s1c.bde /private
   

7. Vérifiez que le système de fichiers chiffré est disponible

   Le système de fichiers chiffré devrait être visible par df(1) et prêt à être utilisé:

   % df -H
   Filesystem        Size   Used  Avail Capacity  Mounted on
   /dev/ad0s1a      1037M    72M   883M     8%    /
   /devfs            1.0K   1.0K     0B   100%    /dev
   /dev/ad0s1f       8.1G    55K   7.5G     0%    /home
   /dev/ad0s1e      1037M   1.1M   953M     0%    /tmp
   /dev/ad0s1d       6.1G   1.9G   3.7G    35%    /usr
   /dev/ad4s1c.bde   150G   4.1K   138G     0%    /private
   

18.16.1.2. Montage des systèmes de fichiers chiffrés

Après chaque démarrage, tout système de fichiers chiffré doit être rattaché au noyau, contrôlé pour les erreurs, et monté, avant que les systèmes de fichiers ne puissent être utilisés. Les commandes nécessaires doivent être exécutées en tant que root.

1. Attacher la partition gdbe au noyau

   # gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c
   

   On vous demandera de fournir la phrase d'authentification que vous avez choisie lors de l'initialisation de la partition gbde chiffrée.

2. Contrôler les erreurs du système de fichiers

   Puisque les systèmes de fichiers chiffrés ne peuvent être encore listés dans le fichier /etc/fstab pour un montage automatique, on doit donc contrôler les systèmes de fichiers pour d'éventuelles erreurs en exécutant manuellement fsck(8) avant le montage.

   # fsck -p -t ffs /dev/ad4s1c.bde
   

3. Monter le système de fichiers chiffré

   # mount /dev/ad4s1c.bde /private
   

   Le système de fichiers est maintenant disponible à l'utilisation.

18.16.1.2.1. Montage automatique de partitions chiffrées

Il est possible de créer une procédure pour automatiquement attacher, contrôler, et monter une partition chiffrée, mais pour des raisons de sécurité la procédure ne devrait pas contenir le mot de passe gbde(8). A la place, il est recommandé que de telles procédures soient exécutées manuellement tout en fournissant le mot de passe via la console ou ssh(1).

Comme autre possibilité, une procédure rc.d est fournie. Des arguments peuvent être passés à cette procédure par l'intermédiaire de rc.conf(5),, par exemple:

gbde_autoattach_all="YES"
gbde_devices="ad4s1c"

Cela impose la saisie de la phrase d'authentification gbde au démarrage. Après avoir entré la phrase d'authentification correctement, la partition chiffrée gbde sera montée automatiquement. Cela peut être très utile quand gbde est utilisé sur des ordinateurs portables.

18.16.1.3. Les protections cryptographiques utilisées par gbde

gbde(8) chiffre la partie utile des secteurs en utilisant le chiffrage AES 128 bits en mode CBC. Chaque secteur sur le disque est chiffré avec une clé AES différente. Pour plus d'informations sur l'architecture cryptographique de gbde, y compris comment les clés pour chaque secteur sont des dérivés de la phrase d'authentification donnée par l'utilisateur, voir la page de manuel gbde(4).

18.16.1.4. Problèmes de compatibilité

sysinstall(8) est incompatible avec les périphériques gbde-chiffrés. Tous les périphériques *.bde doivent être détachés du noyau avant de lancer sysinstall(8) ou ce dernier plantera durant son processus initial de recherche des périphériques. Pour détacher le périphérique chiffré utilisé dans notre exemple, utilisez la commande suivante:

# gbde detach /dev/ad4s1c

Notez également qu'étant donné que vinum(4) n'utilise pas le sous-système geom(4), vous ne pouvez utiliser gbde avec des volumes vinum.

18.16.2. Chiffrage des disques avec geli

Contribution de Daniel Gerzo.

Depuis FreeBSD 6.0, une nouvelle classe GEOM pour le chiffrage des données est disponible: geli. Cette classe est développée par Pawel Jakub Dawidek <pjd@FreeBSD.org>. L'outil geli est différent de gbde; il offre des fonctionnalités différentes et utilise une méthode différente pour chiffrer les données.

Les caractéristiques les plus importantes de geli(8) sont:

• Utilisation du système crypto(9) -- quand du matériel destiné au chiffrement est disponible dans la machine, geli l'utilisera automatiquement.

• Support de plusieurs algorithmes de chiffrement (actuellement AES, Blowfish, et 3DES).

• Permettre le chiffrage de la partition racine. La phrase d'authentification utilisée pour accéder à la partition racine chiffrée sera demandée au démarrage du système.

• Permettre l'emploi de deux clés indépendantes (par exemple une “clé utilisateur” et une “clé entreprise”).

• geli est rapide--il effectue un simple chiffrement de secteur à secteur.

• Permettre la sauvegarde et la restauration des clés principales. Quand un utilisateur doit détruire ses clés, il sera possible d'accéder à nouveau aux données en restaurant les clés à partir de la sauvegarde.

• Permettre d'attacher un disque avec une clé aléatoire à usage unique -- utile pour les partitions de pagination et les systèmes de fichiers temporaires.

Plus de caractéristiques concernant geli peuvent être trouvées dans la page de manuel de geli(8).

Les points suivants décriront comment activer le support pour geli dans le noyau FreeBSD et expliqueront comment créer et utiliser un provider (ou partition) chiffré geli.

Afin de pouvoir employer geli, vous devez utiliser FreeBSD 6.0-RELEASE ou une version ultérieure. Les privilèges du super-utilisateur seront également nécessaire puisque il faudra effectuer des modifications au niveau du noyau.

1. Ajouter le support geli au noyau

   Ajoutez les lignes suivantes au fichier de configuration du noyau:

   options GEOM_ELI
   device crypto
   

   Recompilez le noyau comme décrit dans la Chapitre 8.

   Sinon, le module geli peut être chargé au démarrage. Ajoutez la ligne suivante au fichier /boot/loader.conf:

   geom_eli_load="YES"
   

   Le système geli(8) devrait désormais être supporté par le noyau.

2. Générer la clé principale

   L'exemple suivant décrira la méthode pour générer un fichier clé qui sera utilisé comme partie de la clé principale pour le provider chiffré monté sous le répertoire /private. Le fichier clé fournira des données aléatoires qui seront employées pour chiffrer la clé principale. La clé principale sera également protégée par une phrase d'authentification. La taille des secteurs du provider sera de 4Ko. De plus, sera décrit comment attacher au système le provider geli, créer un système de fichiers dessus, utiliser ce système de fichiers et enfin comment le détacher.

   Il est recommandé d'utiliser une taille de secteur plus grande (comme 4Ko) pour de meilleures performances.

   La clé principale sera protégée avec une phrase d'authentification et la source de données pour le fichier clé sera /dev/random. La taille des secteurs de /dev/da2.eli, partition que nous appelons provider, sera de 4Ko.

   # dd if=/dev/random of=/root/da2.key bs=64 count=1
   # geli init -s 4096 -K /root/da2.key /dev/da2
   Enter new passphrase:
   Reenter new passphrase:
   

   Il n'est pas obligatoire d'utiliser la phrase d'authentification et le fichier clé; chacune de ces méthodes de sécurisation de la clé principale peut être utilisée séparément.

   Si à la place du fichier clé un “-” est passé, l'entrée standard sera utilisée. Cet exemple montre comment on peut utiliser plus d'un fichier clé:

   # cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2
   

3. Attacher le provider avec la clé générée

   # geli attach -k /root/da2.key /dev/da2
   Enter passphrase:
   

   Le nouveau périphérique sera appelé /dev/da2.eli.

   # ls /dev/da2*
   /dev/da2  /dev/da2.eli
   

4. Créer le nouveau système de fichiers

   # dd if=/dev/random of=/dev/da2.eli bs=1m
   # newfs /dev/da2.eli
   # mount /dev/da2.eli /private
   

   Le système de fichiers chiffré devrait être maintenant visible par df(1) et disponible à l'utilisation:

   # df -H
   Filesystem     Size   Used  Avail Capacity  Mounted on
   /dev/ad0s1a    248M    89M   139M    38%    /
   /devfs         1.0K   1.0K     0B   100%    /dev
   /dev/ad0s1f    7.7G   2.3G   4.9G    32%    /usr
   /dev/ad0s1d    989M   1.5M   909M     0%    /tmp
   /dev/ad0s1e    3.9G   1.3G   2.3G    35%    /var
   /dev/da2.eli   150G   4.1K   138G     0%    /private
   

5. Démonter et détacher le provider

   Une fois l'utilisation de la partition chiffrée achevée et que la partition /private n'est plus nécessaire, il est prudent de penser à démonter et détacher la partition geli chiffrée:

   # umount /private
   # geli detach da2.eli
   

Plus d'information sur l'utilisation de geli(8) peut être trouvée dans sa page de manuel.

18.16.2.1. Utiliser la procédure rc.d de geli

La commande geli est fournie avec une procédure rc.d qui peut être employée pour simplifier l'utilisation de geli. Un exemple de configuration de geli à l'aide de rc.conf(5) sera:

geli_devices="da2"
geli_da2_flags="-p -k /root/da2.key"

Ces lignes configureront /dev/da2 comme provider geli avec une clé principale /root/da2.key, de plus geli n'utilisera pas de phrase d'authentification pour attacher le provider (notez que ceci n'est utilisable que si l'option -P a été passée durant la phase geli init). Le système détachera du noyau le provider geli avant l'arrêt du système.

Plus d'information sur la configuration du système rc.d est fournie dans la section rc.d de ce Manuel.

Notes

[1]	Pour des conseils sur comment choisir une phrase d'authentification sécurisée et facile à retenir, consultez le site Web Diceware Passphrase.

18.17. Chiffrage de l'espace de pagination

Ecrit par Christian Brüffer.

Sous FreeBSD, le chiffrement de l'espace de pagination est simple à mettre en place et est possible depuis FreeBSD 5.3-RELEASE. En fonction de la version de FreeBSD utilisée, différentes options sont disponibles et la configuration peut légèrement varier. Depuis FreeBSD 6.0-RELEASE, les systèmes de chiffrage gbde(8) ou geli(8) peuvent être utilisé à cet effet. Avec les versions antérieures, seul gbde(8) est disponible. Les deux systèmes utilisent la procédure rc.d nommée encswap.

La section précédente, Chiffrer les partitions d'un disque, contient une courte explication sur les différents systèmes de chiffrage.

18.17.1. Pourquoi l'espace de pagination devrait être chiffré?

Comme pour le chiffrage des partitions d'un disque, chiffrer l'espace de pagination a pour but la protection des informations sensibles. Imaginez une application qui, par exemple, traite des mots de passe. Tant que ces mots de passe résident en mémoire tout va pour le mieux. Cependant, si le système d'exploitation commence à transférer des pages mémoires vers l'espace de pagination en vue de libérer de la mémoire pour d'autres applications, les mots de passe peuvent être écrits en clair sur les plateaux du disque et seront faciles à récupérer par une personne malveillante. Chiffrer l'espace de pagination peut être une solution contre ce scénario.

18.17.2. Préparation

Note : Pour le reste de cette section, ad0s1b sera la partition réservée à l'espace de pagination.

Jusqu'ici l'espace de pagination n'a jamais été chiffré. Il est fort possible qu'il y ait déjà des mots de passe ou toute autre donnée sensible de présents en clair sur les plateaux du disque. Afin d'y remédier, les données de la partition de pagination doivent être écrasées avec des données aléatoires:

# dd if=/dev/random of=/dev/ad0s1b bs=1m

18.17.3. Chiffrer de l'espace de pagination avec gbde(8)

Si FreeBSD 6.0-RELEASE ou une version plus récente est utilisée, le suffixe .bde doit être ajouté au nom de périphérique sur la ligne du fichier /etc/fstab correspondant à cet espace de pagination:

# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/ad0s1b.bde         none            swap    sw              0       0

Pour les systèmes antérieurs à FreeBSD 6.0-RELEASE, la ligne suivante doit également être ajoutée à /etc/rc.conf:

gbde_swap_enable="YES"

18.17.4. Chiffrage de l'espace de pagination avec geli(8)

La procédure pour le chiffrage de l'espace de pagination avec geli(8) est similaire à celle pour l'utilisation de gbde(8). Le suffixe .eli doit être ajouté au nom de périphérique sur la ligne du fichier /etc/fstab correspondant à cet espace de pagination:

# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/ad0s1b.eli         none            swap    sw              0       0

Par défaut, geli(8) utilise l'algorithme AES avec une longueur de clé de 256bits.

Les valeurs par défaut peuvent être modifiées en utilisant l'option geli_swap_flags dans le fichier /etc/rc.conf. La ligne suivante demande à la procédure rc.d encswap de créer des partitions de pagination en utilisant l'algorithme Blowfish avec une clé de 128 bits de longueur, une taille de secteur de 4 kilo-octets et avec l'option “detach on last close” (détacher après démontage de la partition) activée:

geli_swap_flags="-a blowfish -l 128 -s 4096 -d"

Veuillez vous référer à la description de la commande onetime dans la page de manuel geli(8) pour une liste des options possibles.

18.17.5. Vérifier que cela fonctionne

Une fois que le système a été redémarré, le fonctionnement correct de l'espace de pagination peut être vérifié en utilisant la commande swapinfo.

Si gbde(8) est utilisé:

% swapinfo
Device          1K-blocks     Used    Avail Capacity
/dev/ad0s1b.bde    542720        0   542720     0%

Si geli(8) est utilisé:

% swapinfo
Device          1K-blocks     Used    Avail Capacity
/dev/ad0s1b.eli    542720        0   542720     0%