[tuto] linux sur luks et lvm2

Questions et astuces concernant l'installation et la configuration d'archlinux
Avatar de l’utilisateur
rafmav
yeomen
Messages : 271
Inscription : mer. 11 mars 2009, 13:30

[tuto] linux sur luks et lvm2

Message par rafmav »

Dans le topic sur [tuto] linux sur lvm2 et luks, j'avais installé linux sur luks sur lvm2; cette fois-ci j'essaye l'inverse: linux sur lvm2 sur luks.

J'ai fait comme ça:

Partitionnement:

Code : Tout sélectionner

fdisk /dev/sda
-->/dev/sda1: 100 M # pour /boot
--> /dev/sda2 # le reste du disque
Installation de LUKS dès la racine de la partition /dev/sda2

Code : Tout sélectionner

cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sda2 luks.key
cryptsetup luksOpen /dev/sda2 sda2 --key-file luks.key
Ajout d'une phrase de passe manuelle, en cas de perte ou destruction de la clé usb contenant la phrase de passe (key-file est la clé d'ouverture permettant d'avoir l'autorisation de créé une autre clé; ici tapée à la main et non un fichier)

Code : Tout sélectionner

cryptsetup luksAddKey  /dev/sda2 --key-file luks.key
--> enter passphrase:
--> confirm:
Installation de lvm2 après celle de LUKS (attention à bien mettre /dev/mapper/sda2, sinon lvm2 prends la "place" de luks)

Code : Tout sélectionner

pvcreate /dev/mapper/sda2
vgcreate vg0 /dev/mapper/sda2
Création puis activation des partitions

Code : Tout sélectionner

lvcreate -C y -L 8G -n swap vg0
lvcreate -C y -L 64G -n root vg0
lvcreate -C y -l 100%FREE -n home vg0
vgchange -ay
Installation classique de arch

Code : Tout sélectionner

/arch/setup
...
# partitionnement des disques:
/dev/sda1 --> /boot
/dev/mapper/vg0-root  --> /
/dev/mapper/vg0-home --> /home
/dev/mapper/bg0-swap --> swap
...
Modifications spécifiques des fichiers de configuration:

/etc/rc.conf

Code : Tout sélectionner

USELVM="yes"
/etc/mkinitcpio.conf

Code : Tout sélectionner

MODULES="reiserfs"
HOOKS="base resume udev autodetect pata scsi sata usb lvm2 encrypt filesystems usbinput keymap"
Attention au boot loader:

/boot/grub/menu.lst

Code : Tout sélectionner

# general configuration:
timeout   5
default   0
color light-blue/black light-cyan/blue
splashimage=/boot/splash.xpm.gz
# (0) Arch Linux
title  Arch Linux
root   (hd0,0)
kernel /vmlinuz26 cryptdevice=/dev/sda2:sda2 cryptkey=/dev/sdb1:ext3:/arch.key root=/dev/mapper/root ro vga=792
initrd /kernel26.img
# () Arch Linux Fallback
title  Arch Linux
root   (hd0,0)
kernel /vmlinuz26 cryptdevice=/dev/sda2:sda2 cryptkey=/dev/sdb1:ext3:/arch.key root=/dev/mapper/root ro vga=792
initrd /kernel26-fallback.img
Voilà, et ça roule, sauf que je ne suis pas parvenu à booter avec la clé usb, problème d'instruction Intel-AES, mais c'est le kernel de la clé d'installation "core", que j'avais du remplacé par celui de testing ou community, je ne sais plus, pour cette histoire de décryptage au démarrage.

Avantages de cette méthode:
- une seul clé pour toutes les partitions logiques; de toutes les façons, les clés pour les autres partitions logiques dans la version luks sur lvm2 étaient stockées dans /etc/luks-keys, donc...
- impossible de savoir la répartition des volumes logiques sans clé de cryptage: impossible de savoir qui et où se trouvent /, home, swap... sans la clé: dans luks sur lvm2, c'était possible!

Non testés: la swap et resume, etc... (installation de base seulement pour l'instant, car c'est un essai...)

Inconvénients: je cherche!
#rmv$@f29£8µ1
Ma petite paresse me perdra...
Si vous ne voulez pas vous tromper, ne faites rien!
Impossible est impossible: est venue une personne qui ne savais pas que c'était impossible, et qui l'a fait!
Répondre