[tuto] linux sur luks et lvm2
Publié : mar. 30 mars 2010, 23:09
Dans le topic sur [tuto] linux sur lvm2 et luks, j'avais installé linux sur luks sur lvm2; cette fois-ci j'essaye l'inverse: linux sur lvm2 sur luks.
J'ai fait comme ça:
Partitionnement:
Installation de LUKS dès la racine de la partition /dev/sda2
Ajout d'une phrase de passe manuelle, en cas de perte ou destruction de la clé usb contenant la phrase de passe (key-file est la clé d'ouverture permettant d'avoir l'autorisation de créé une autre clé; ici tapée à la main et non un fichier)
Installation de lvm2 après celle de LUKS (attention à bien mettre /dev/mapper/sda2, sinon lvm2 prends la "place" de luks)
Création puis activation des partitions
Installation classique de arch
Modifications spécifiques des fichiers de configuration:
/etc/rc.conf
/etc/mkinitcpio.conf
Attention au boot loader:
/boot/grub/menu.lst
Voilà, et ça roule, sauf que je ne suis pas parvenu à booter avec la clé usb, problème d'instruction Intel-AES, mais c'est le kernel de la clé d'installation "core", que j'avais du remplacé par celui de testing ou community, je ne sais plus, pour cette histoire de décryptage au démarrage.
Avantages de cette méthode:
- une seul clé pour toutes les partitions logiques; de toutes les façons, les clés pour les autres partitions logiques dans la version luks sur lvm2 étaient stockées dans /etc/luks-keys, donc...
- impossible de savoir la répartition des volumes logiques sans clé de cryptage: impossible de savoir qui et où se trouvent /, home, swap... sans la clé: dans luks sur lvm2, c'était possible!
Non testés: la swap et resume, etc... (installation de base seulement pour l'instant, car c'est un essai...)
Inconvénients: je cherche!
J'ai fait comme ça:
Partitionnement:
Code : Tout sélectionner
fdisk /dev/sda
-->/dev/sda1: 100 M # pour /boot
--> /dev/sda2 # le reste du disque
Code : Tout sélectionner
cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sda2 luks.key
cryptsetup luksOpen /dev/sda2 sda2 --key-file luks.key
Code : Tout sélectionner
cryptsetup luksAddKey /dev/sda2 --key-file luks.key
--> enter passphrase:
--> confirm:
Code : Tout sélectionner
pvcreate /dev/mapper/sda2
vgcreate vg0 /dev/mapper/sda2
Code : Tout sélectionner
lvcreate -C y -L 8G -n swap vg0
lvcreate -C y -L 64G -n root vg0
lvcreate -C y -l 100%FREE -n home vg0
vgchange -ay
Code : Tout sélectionner
/arch/setup
...
# partitionnement des disques:
/dev/sda1 --> /boot
/dev/mapper/vg0-root --> /
/dev/mapper/vg0-home --> /home
/dev/mapper/bg0-swap --> swap
...
/etc/rc.conf
Code : Tout sélectionner
USELVM="yes"
Code : Tout sélectionner
MODULES="reiserfs"
HOOKS="base resume udev autodetect pata scsi sata usb lvm2 encrypt filesystems usbinput keymap"
/boot/grub/menu.lst
Code : Tout sélectionner
# general configuration:
timeout 5
default 0
color light-blue/black light-cyan/blue
splashimage=/boot/splash.xpm.gz
# (0) Arch Linux
title Arch Linux
root (hd0,0)
kernel /vmlinuz26 cryptdevice=/dev/sda2:sda2 cryptkey=/dev/sdb1:ext3:/arch.key root=/dev/mapper/root ro vga=792
initrd /kernel26.img
# () Arch Linux Fallback
title Arch Linux
root (hd0,0)
kernel /vmlinuz26 cryptdevice=/dev/sda2:sda2 cryptkey=/dev/sdb1:ext3:/arch.key root=/dev/mapper/root ro vga=792
initrd /kernel26-fallback.img
Avantages de cette méthode:
- une seul clé pour toutes les partitions logiques; de toutes les façons, les clés pour les autres partitions logiques dans la version luks sur lvm2 étaient stockées dans /etc/luks-keys, donc...
- impossible de savoir la répartition des volumes logiques sans clé de cryptage: impossible de savoir qui et où se trouvent /, home, swap... sans la clé: dans luks sur lvm2, c'était possible!
Non testés: la swap et resume, etc... (installation de base seulement pour l'instant, car c'est un essai...)
Inconvénients: je cherche!