Chiffrer son disque externe sous Linux

J’ai envie de stocker mes sauvegardes sur un disque externe en USB en dehors de chez moi (On est jamais trop prudent). Pour éviter la fuite de mes données personnelles, je vais chiffrer mon disque externe avec LUKS/cryptsetup/dm-crypt, la solution de chiffrement de partition intégrée au noyau Linux. Ce didacticiel a été effectué sur une Debian Lenny.

  1. Installez les programmes adéquats
  2. # apt-get install cryptsetup
    # modprobe dm_mod

  3. Créez une partition sur votre disque (par exemple avec gparted). Cela sert juste à définir la taille de partition chiffrée.Vérifiez que vous avez bien démonté la partition avant de poursuivre.
  4. On va mantenant créer le conteneur de chiffrement de la partition.
  5. # cryptsetup luksFormat /dev/sdb1

    WARNING!
    ========
    This will overwrite data on /dev/sdb1 irrevocably.

    Are you sure? (Type uppercase yes): YES
    Enter LUKS passphrase:
    Verify passphrase:
    Command successful.

  6. On ouvre le conteneur.
  7. # cryptsetup luksOpen /dev/sdb1 disqueusb
    Enter LUKS passphrase:
    key slot 0 unlocked.
    Command successful.

  8. On formate la partition.
  9. # mkfs.ext3 /dev/mapper/disqueusb

    On peut donner un nom à cette partition. Ainsi, le disque externe sera monté toujours au même endroit. Par exemple si je veux qu’il soit monté dans /media/sauvegarde :

    # tune2fs -L sauvegarde /dev/mapper/disqueusb

  10. On referme le conteneur.
  11. # cryptsetup luksClose disqueusb

    Fin de la mise en place du chiffrement, place à l’utilisation :)

  12. On débranche/rebranche le disque. Gnome vient nous demander gentiment le mot de passe pour monter le disque :)
    cryptstup
  13. Le volume est automtiquement monté comme un disque USB classique et se démonte de la même manière : Clic-droit sur l’icone du bureau > Démonter.
    demontage
    Simple, non?

La procédure de création de la partition chiffrée pique encore les yeux pour beaucoup je pense. Une intégration à Gparted ne serait pas un mal :)

11 réactions sur “ Chiffrer son disque externe sous Linux ”

  1. Patrick

    Bonjour,
    Je viens de faire cette manip, sur une clef USB, tout a bien fonctionné, si ce n’est que j’étais obligé de taper sudo devant chaque commande.

    Et maintenant pour copier des fichier sur cette clef il faut être « root », est-ce normal?

  2. astromb

    Merci pour cette manipe ! C’est justement ce que je cherchais.

    Pour patrick il faut faire un en root chmod 777 sur /media/toto (si le dd crypté est toto :) ) et comme ça tu peux copier tes fichiers sans être root.

  3. Patrick

    Merci @astromb pour l’astuce « chmod777 » qui fonctionne très bien.

    Et merci à Tuxicoman pour ce petit tuto.

  4. Tuxicoman

    Wacken : Je suis d’accord qu’une interface graphique serait bienvenue pour la première partie. Je n’ai pas utilisé Truecrypt car j’ai lu qu’il fallait un module spécifique à son noyau pour l’utiliser. Je préférais la solution déja intégrée au noyau.

    Xavier : ca fait un moment déja :p

    Patrick: le # avant les commande signifie qu’il faut être en mode Root… ou utiliser sudo. Sinon, j’aurais mis $.

    Merci astromb pour ce petit oubli à l’article… :)

  5. coincoin

    pour le « (Redemarrage ?) », pas besoin, juste un modprobe dm_mod et dm_crypt. En général, les rares cas de reboot sont lors d’un changement de kernel.

    Pré-brouiller le disque dur / partition avant le luksFormat peut-être intéressant aussi, ça permet d’augmenter un peu la sécurité, mais extrêmement long (ex: dd if=/dev/urandom of=/dev/sdb1)

    (sinon, le chmod 777 est _toujours_ à éviter, toujours préférer adapter les permissions suivant les utilisateurs/groupes)

  6. Ping Fsck sur un volume chiffré | Tuxicoman

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.