Outils pour utilisateurs

Outils du site


Panneau latéral

Traductions de cette page:

Avez-vous remarqué ?

Il n'y a aucune publicités ou scripts de profilage (tracker) sur ce site.

Ce n'est que grâce à votre aide que l'auteur peut financer l'hébergement et le temps consacré à cet ouvrage.

Si vous voulez l'encourager, vous pouvez faire un don ♥. (même un tout petit ;-))

À propos

Cet ouvrage est publié sous licence CC-BY-SA à l'aide de dokuwiki. Il a été écrit par un libriste curieux (et des contributeurs) qui s'est dit “si moi j'y arrive, pourquoi pas les autres?”. Merci de prévenir si vous partager ce texte ailleurs, juste pour information ;).

Si vous trouvez une erreur, souhaitez contribuer ou avez besoin d'aide, n'hésitez pas à contacter l'auteur.

Créer un livre

 N'hésitez pas à vous servir du bouton “Ajouter au livre” à droite afin de préparer une version imprimable de cette documentation.

10-tips:diskcrypt

Chiffrement d'un disque

Dans cette page, nous verrons comment chiffrer un disque entier, que ce soit pour ensuite installer OpenBSD ou l'utiliser comme espace de stockage.

Si un jour votre serveur est volé par un méchant cambrioleur, vos données peuvent rester tranquilles si vous chiffrez l'ensemble de votre système. Tout est bien pensé par OpenBSD qui a décrit la procédure dans sa FAQ. Notez que vous devrez être en mesure d'entrer la phrase de déchiffrement du disque à chaque démarrage et redémarrage du serveur, ce qui peut être une contrainte pour certains.

:!: À ce propos, le mappage du clavier à l'invite de commande demandant le mot de passe est en QWERTY. (sauf si vous gérer votre serveur via un port série).

Pour chiffrer un disque, vous avez besoin d'un système OpenBSD. Si vous souhaitez l'installer car n'en avez pas encore, vous pouvez utiliser le shell disponible sur votre media d'installation :

Welcome to the OpenBSD/amd64 X.X installation program.
(I)nstall, (U)pgrade, (A)utoinstall or (S)hell? s

Choisissez l'invite de commandes avec “S”.

La suite se réalise, peu importe si c'est pour une installation ou sur un système déjà prêt.

On remplit le disque de zéros pour écraser toutes les données pré-existantes (sd0 correspond à votre disque dur ici):

dd if=/dev/urandom of=/dev/rsd0c bs=1m

Ça peut être long selon le matériel (taille et vitesse d'écriture).

Ensuite, on crée une partition softraid qui sera chiffrée :

  • Si vous démarrez via MBR (défaut) ou si c'est juste un disque externe pour stocker des données : # fdisk -iy sd0
  • Si vous démarrer avec GPT ou UEFI : # fdisk -iy -g -b 960 sd0

Créez la table de partition sur sd0 avec un type RAID:

disklabel -E sd0
Label editor (enter '?' for help at any prompt)
> a a			
offset: [64]
size: [39825135] *
FS type: [4.2BSD] RAID
> w
> q
No label changes.

Ensuite, on peut créer le périphérique chiffré avec une bonne phrase de passe :

# bioctl -c C -l sd0a softraid0
New passphrase:
Re-type passphrase:
sd1 at scsibus2 targ 1 lun 0: <OPENBSD, SR CRYPTO, 005> SCSI2 0/direct fixed
sd1: 19445MB, 512 bytes/sector, 39824607 sectors
softraid0: CRYPTO volume attached as sd1

Notez que si vous chiffrez votre installation (et non d'un disque de stockage), lorsque la phrase de passe vous sera demandée au menu boot>, le clavier sera en mode qwerty, pas azerty.

Cela crée un pseudo-périphérique sd1. Pour être sûr que l'installateur le prenne en compte, lancez (nécessaire que pour installation) :

# cd /dev && sh MAKEDEV sd1

On écrase les premières données du pseudo-périphérique :

# dd if=/dev/zero of=/dev/rsd1c bs=1m count=1

Enfin, entrez exit pour retrouver l'installateur, et procédez à l'installation sur ce pseudo-périphérique sd1 tout naturellement, ou bien passer au partitionnement si c'est un disque de stockage.

bioctl

bioctl permet de gérer les disques chiffrés. Voici deux choses à retenir :

Accéder à une partition chiffrée sd3a. La phrase de passe est demandée. En retour, est indiqué le périphérique qui pourra être monté ensuite, (par exemple sd4 ici) # bioctl -c C -l sd3a softraid0
Débrancher la partition chiffrée # bioctl -d sd4
Modifier la phrase de passe de la partition sd4 # bioctl -P sd4
10-tips/diskcrypt.txt · Dernière modification: 2020/04/07 10:54 de prx