Archlinux.fr [Forums]

Bonjour à tous,

Je suis nouveau dans le monde l'arch et je suis donc en mode test.
J'ai déjà testé l'installation d'arch de base + kde plasma et aujourd'hui, enfin depuis quelques jours, j'étudie la partie luks et lvm.
Je cherche à faire du luks on lvm, qui, si je comprend bien, est le chiffrage d'une partition/disk sans le /boot puis la création du lvm dans la partie chiffrée. De plus je cherche à déchiffrer le lvm à travers une keyfile installée sur une clé usb chiffrer.
Concernant le luks, il y a deux choses que je ne comprends pas ou qui est assez trouble pour moi.

crypttab et fstab
Je m'explique ici,https://wiki.archlinux.org/index.php/Dm ... VM_on_LUKS, rien n'est indiqué concernant les fichiers crypttab et fstab, cependant ici, https://wiki.archlinux.org/index.php/Dm ... d_crypttab, on en parle.
Si je comprend bien le 2nd lien, il est nécessaire de configurer crypttab afin de déchiffrer, lors du boot, une partition (donc pour moi la keyfile) afin de pouvoir y accéder.
Et de configurer fstab afin d'indiquer comment monter la dite clé usb.
Donc si je comprends bien, je devrais faire comme ceci:

/etc/crypttab
externaldrive UUID=myUUID none luks,timeout=180

/etc/fstab
/dev/mapper/externaldrive /mnt/media/myUSB ext4 defaults,errors=remount-ro 0 2

Grub
Pour la partie grub, j'aimerai savoir si ce qui suit est correct:
Edition /etc/default/grub et ajouter les options pour le kernel :

GRUB_CMDLINE_LINUX_DEFAULT="... resume=/dev/mapper/MyLvm-swap … cryptdevice=UUID=<device-UUID>:lvm root=/dev/mapper/MyLvm-root … cryptkey = /media/usbstick:vfat:/myKeyFile crypto=sha512:serpent-cbc-essiv:512:0:"

resume => pour indiquer le swap chiffrer
cryptdevice => permettra au HOOK de l'initramfs de décrypter la partition lvm avant d'essayer de monter la partition MyLvm-root
cryptkey => Pour déterminer l'endroit de la keyFile
crypto => pour dire de quel façon est chiffrer la keyfile

est ce juste?

merci

Bonjour,

La question a été posée plusieurs fois, je réponds donc un peu à coté pour toi mais je vais essayer d'éclaircir pour tout le monde (je n'ai pas tout testé, n'hésitez pas à me contredire si je dis des conneries, mais une explication entière me semble indispensable) :
- les fichiers crypttab et fstab ne sont lus que très tard, après le montage de la partition racine ( / )
- le fichier crypttab est lu avant fstab pour déchiffrer au besoin des partitions qui seraient montées par fstab

Pour en revenir à ton cas particulier :
Le premier lien que tu cites met en place "LVM on LUKS", c'est à dire que LUKS est la couche la plus basse, sur laquelle repose un partitionnement LVM. Donc la première et seule chose à faire est de déchiffrer le volume LUKS entier, obligatoirement le plus tôt possible puisque toutes les données présente sur le disque sont chiffrés. Une fois déchiffrés par le kernel, et tant que le kernel n'est pas déchargé (reboot, shutdown) il n'y a plus besoin d'y toucher.
Le deuxième lien, qui fait du "LUKS on LVM", ne mentionne pas non plus la partition racine ( / ) dans les fichiers crypttab pour les raisons citées plus haut : il faudrait que la partition soit montée pour qu'il puisse accéder aux informations de montage de la partition. Par contre, tout ce qui peut-être monté après le montage de la partition racine ( swap, /home , /opt , /var etc... ) possiblement avec des clés différentes puisqu'il y a plusieurs volume LUKS, un par volume LVM, alors les fichiers crypttab et fstab peuvent être utile.

Peux-tu poster le retour de :

Bonjour RoyalPanda,

Pour commencer merci pour les explications. Il est vrai que je n'avais pas vu/compris que la lecture des fichiers crypttab et fstab s'effectuaient une fois la / monté et qui me parait, après lecture de ta réponse, une évidence.
Je vais tester l'install (luks/lvm/arch) en vm, sans toucher aux fichiers crypttab et fstab, d'ici ce we et je te ferais un retour et de l'install et de la commande lsblk --fs.
Concernant le grub et si je suis ta logique, il faut donc bien indiquer le cryptdevice ainsi que le crypto afin de permettre au grub de déchiffrer le lvm et d'aller chercher la racine pour lancer le système.
merci

Oui en effet, il faut que tu utilise cryptdevice et crypto.

Salut,
Je reviens, un peu en retard sur mon planning, concernant mon install dm-crypt et lvm.
Donc j'ai suivi tes conseils RoyalPanda et tout a fonctionné à merveille ... il n'y a que la partie keyfile sur une clé que je n'ai pas encore testé et comme je n'arrive pas à accéder à une clé depuis ma vm, je pense que je vais gerer ça après mon install.
Bref, Je n'ai rien touché concernant les fichiers crypttab et fstab et voila ce que j'ai mis dans ma partie Grub:
GRUB_CMDLINE_LINUX_DEFAULT="... resume=/dev/mapper/MyLvm-swap … cryptdevice=/dev/sda2:lvm root=/dev/mapper/MyLvm-root crypto=sha512:serpent-xtc-plain64:512:0:"
Je n'ai pas gérer avec les UUID, je vais le tester quand même avant ma véritable install, une fois que j'aurais trouvé pourquoi mon pavé numérique n'est plus pris en compte.

Une fois arch installé et un 'umount' et des 'cryptsetup close' effectué, j'ai fais un reload et arch me demande bien ma passphrase puis se lance normalement.

Pour la cmd, voici le retour
Et donc, si je veux mettre les UUID, il faudra que je fasse plutôt:
GRUB_CMDLINE_LINUX_DEFAULT="... resume=UUID=5uuid … cryptdevice=UUID=2uuid:lvm root=UUID=4uuid crypto=sha512:serpent-xtc-plain64:512:0:"

Bon même si je n'ai pas gérer la partie keyfile sur une clé USB, on peut considérer que mes questions sont résolues.
merci RoyalPanda

De rien