Technologies expliquées simplement

Comment chiffrer vos partitions sur Linux avec dm-crypt

Chiffrement de disque Linux Dm Crypt Featured

Les disques durs et les SSD sont faciles à retirer des ordinateurs portables ou des ordinateurs. Dans ce cas, toutes les mesures de sécurité mises en œuvre par votre système d’exploitation ne sont plus d’actualité. Si vous avez des données que vous souhaitez protéger, vous pouvez créer un conteneur chiffré. Vous y stockerez des fichiers sensibles, tout en conservant des fichiers non secrets sur vos partitions habituelles.

Il est plus facile de configurer une partition chiffrée lors de l’installation de votre distribution Linux. L’installateur peut vous guider à travers cela. Mais si vous avez manqué cette opportunité, suivez les étapes de ce guide pour créer votre coffre-fort secret.

À lire aussi : Comment chiffrer des fichiers sur Linux en utilisant GPG, Ccrypt, Bcrypt et 7-Zip

Prérequis

Vous avez besoin d’une partition vide pour ce processus. Cela signifie qu’elle n’est pas formatée (aucun système de fichiers dessus).

Si vos partitions formatées occupent actuellement tout l’espace libre de votre dispositif de stockage, vous devrez utiliser GParted pour réduire l’une d’elles.

Avertissement : Il est judicieux de sauvegarder vos données d’abord. Lorsque vous réduisez une partition et son système de fichiers, il y a un petit risque impliqué. Votre ordinateur peut planter ou perdre de l’alimentation pendant le processus. Cela pourrait laisser votre système de fichiers dans un état incohérent, ce qui peut être difficile à récupérer.

Suivez les premières étapes de ce guide pour redimensionner une partition avec GParted. Ou, s’il y a une partition dont vous n’avez plus besoin, vous pouvez la supprimer. (Après avoir libéré de l’espace et qu’il apparaît comme “non alloué”, passez les étapes restantes du guide.) En particulier, ne créez pas une partition formatée en ext4. Au lieu de cela, faites un clic droit sur l’espace non alloué, comme indiqué dans le guide. Dans la fenêtre de dialogue qui s’ouvre, vous verrez un champ étiqueté “Système de fichiers.” Normalement, ext4 devrait être sélectionné par défaut ici. Cliquez dessus et changez-le en “non formaté.”

cryptsetup-gparted-new-partition-cleared

Après avoir sélectionné “Ajouter”, cliquez sur la coche verte pour appliquer les modifications.

Installer cryptsetup

Si vous avez démarré un système d’exploitation live pour modifier vos partitions avec GParted, redémarrez vers votre distribution Linux principale.

Ouvrez un émulateur de terminal. Sur les systèmes basés sur Debian, tels qu’Ubuntu ou Linux Mint, entrez cette commande :

sudo apt update && sudo apt install cryptsetup

cryptsetup-installing-package

Sur des distributions comme Fedora ou CentOS et d’autres qui utilisent des paquets RPM au lieu de DEB, cryptsetup peut déjà être installé. Si ce n’est pas le cas, vous pouvez l’installer avec :

sudo yum install cryptsetup

Sur OpenSUSE, si cryptsetup n’est pas préinstallé, vous pouvez l’installer avec :

sudo zypper refresh && sudo zypper install cryptsetup

Et sur des distributions basées sur Arch, vous utiliseriez cette commande :

sudo pacman -S cryptsetup

Trouver le nom du périphérique de bloc de votre partition

Entrez la commande suivante :

lsblk

cryptsetup-lsblk

Dans l’exemple offert dans l’image, le dispositif de stockage est “vda.” “vda1” à “vda3” sont des partitions.

Pour trouver la partition que vous avez préparée, souvenez-vous de la taille que vous lui avez réservée. Vous la trouverez parmi les partitions sans points de montage. Dans votre cas, cela pourrait être quelque chose comme “/dev/sda2” au lieu de “/dev/vda3.”

Chiffrer la partition écrasera les données dessus (s’il y en a), ce qui signifie que si vous vous trompez de nom de dispositif, vous pourriez finir par détruire des données utiles. Pour vous assurer d’avoir le bon nom de périphérique, vous pouvez installer GParted et jeter un œil à la disposition de vos partitions. Les noms de dispositifs seront listés dans l’interface graphique. N’utilisez pas le nom que vous avez vu dans GParted lorsque vous avez démarré à partir du système live (si c’est le cas). La disposition montrée dans le système live sera différente de celle que vous voyez en démarrant depuis votre distribution installée.

Il existe une autre façon de s’assurer que vous n’écrivez pas sur le mauvais périphérique de bloc. Essayez de le monter. Normalement, il devrait refuser de le faire puisqu’il n’a pas de système de fichiers dessus.

Important : rappelez-vous de toujours remplacer “vda3” par le nom de votre dispositif :

sudo mount /dev/vda3 /mnt

Dans votre cas, la commande pourrait être sudo mount /dev/sda2 /mnt ou quelque chose d’autre.

C’est le message que vous devriez recevoir.

cryptsetup-test-mount

Configurer l’en-tête LUKS

Une fois que vous êtes certain d’avoir le bon nom de dispositif, ajoutez un en-tête LUKS à la partition.

sudo cryptsetup luksFormat /dev/vda3

Tapez “OUI” puis choisissez un mot de passe fort pour votre partition chiffrée. Tapez le même mot de passe lorsqu’il vous sera demandé de vérifier la phrase de passe.

Créer un système de fichiers sur la partition

Vous devez mapper ce dispositif physique à un dispositif virtuel. Ce qui sera écrit sur le dispositif virtuel sera chiffré avant d’être stocké sur le dispositif physique.

sudo cryptsetup luksOpen /dev/vda3 encrypted-partition

La partition a besoin d’un système de fichiers pour être utilisable. Créez un système de fichiers ext4 avec cette commande :

sudo mkfs.ext4 /dev/mapper/encrypted-partition

cryptsetup-make-ext4-filesystem

Monter la partition chiffrée

Créez le répertoire où vous allez monter le système de fichiers de la partition.

mkdir ~/encrypted-storage

Montez le système de fichiers :

sudo mount /dev/mapper/encrypted-partition ~/encrypted-storage

Changez de répertoire :

cd ~/encrypted-storage

Pour le moment, seul l’utilisateur root peut écrire ici. Donnez à votre utilisateur la permission d’écrire dans ce système de fichiers en le faisant propriétaire du répertoire de niveau supérieur. Copiez et collez la commande complète, y compris le “.” à la fin.

sudo chown $USER:$USER .

Interdisez à d’autres utilisateurs de lire ou d’écrire dans ce répertoire.

chmod 700 .

À ce stade, la plupart des gestionnaires de fichiers devraient vous montrer le nouveau dispositif chiffré dans l’interface. Voici à quoi il ressemble dans le gestionnaire de fichiers Thunar, le défaut utilisé dans l’environnement de bureau XFCE.

cryptsetup-encrypted-partition-in-thunar

Si le volume n’est pas monté, lorsque vous cliquez dessus, on vous demandera le mot de passe du volume et votre mot de passe sudo. Le volume sera monté automatiquement, et vous pourrez le parcourir. Le point de montage sera différent de “~/encrypted-storage.” Cela pourrait être quelque chose comme “/media/user/f42f3025-755d-4a71-95e0-37eaeb761730/,”

Cela n’est pas important ; les permissions que vous avez définies précédemment s’appliquent toujours. Ce qui est important, c’est de se rappeler de faire un clic droit dessus et de le démonter lorsque vous avez terminé de travailler avec le volume. Démonter et fermer le dispositif virtuel garantit que personne ne peut lire les données de la partition chiffrée, même pas votre système d’exploitation.

Si, pour une raison quelconque, votre gestionnaire de fichiers ne prend pas en charge cette fonction, vous pouvez monter depuis le terminal.

sudo cryptsetup luksOpen /dev/vda3 encrypted-partition  
sudo mount /dev/mapper/encrypted-partition ~/encrypted-storage

Vous pouvez maintenant accéder au volume en allant dans “/home/username/encrypted-storage” dans le gestionnaire de fichiers. Lorsque vous avez terminé, démontez le système de fichiers et fermez le dispositif virtuel :

cd && sudo umount /dev/mapper/encrypted-partition  
sudo cryptsetup luksClose /dev/mapper/encrypted-partition

Conclusion

Vous avez maintenant un coffre-fort pour vos fichiers importants. Savoir que personne ne peut voir ce que vous y stockez devrait vous apporter un certain réconfort.

Contenu

  1. Prérequis
  2. Installer cryptsetup
  3. Trouver le nom du périphérique de bloc de votre partition
  4. Configurer l'en-tête LUKS
  5. Créer un système de fichiers sur la partition
  6. Monter la partition chiffrée
  7. Conclusion
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11