Aller à la recherche

Chiffrer une partition avec geli sur FreeBSD

Il est parfois [ stupide | utile | indispensable | fun | ... ] de chiffrer une partition. Nous allons voir ici rapidement comment mettre cela en place sous FreeBSD, en utilisant le framework geom eli (aussi appelé GELI).

geli et le chiffrement sous freebsd

Nous n'allons ici pas chiffrer un disque avec des données déjà présentes dessus, mais préparer un disque qui aura toutes les données écrites dessus de façon chiffrée.

Attention, je ne saurais vous conseiller de faire toutes les sauvegardes nécessaire, avant de vous lancer dans le chiffrement de vos dernières photos de vacances à Walibi.

Nous allons ici utiliser la machine virtuelle avec qemu

Préparation des disques

Tout d'abord tour d'horizon des disques disponibles dans notre machine virtuelle camcontrol devlist

<QEMU HARDDISK 2.5+>               at scbus0 target 0 lun 0 (ada0,pass0)
<QEMU QEMU DVD-ROM 2.5+>           at scbus1 target 0 lun 0 (cd0,pass1)
<QEMU HARDDISK 2.5+>               at scbus1 target 1 lun 0 (ada1,pass2)

Ici le disque qui nous intéresse est ada1, nous allons tout d'abord supprimer toutes les données sur ce disque. dd if=/dev/urandom of=/dev/ada1 bs=1M

Création d'une partition gpt unique de type ufs aligné à 1méga gpart create -s gpt ada1 gpart add -t freebsd-ufs -a 1M ada1 newfs -U /dev/ada1s1

Voila le disque est prêt physiquement, à recevoir nos plus belles photos.

Création de clé de chiffrement

Nous allons maintenant créer une valeur aléatoire qui sera utilisée pour chiffrer la clé. dd if=/dev/random of=/root/ada1s1.key

On initialise le chiffrement geli init -l256 -s4096 -K /root/ada1s1.key /dev/ada1s1

  • -l : longueur de la clé
  • -s : taille du secteur
  • -K : chemin où sera enregistrée la clé

Cela va nous demander un passphrase

Attention, dois-je vous dire avec insistance qu'il ne faut surtout pas l'oublier celui-là !!!

Nous allons attacher le périphérique au provider geli attach -k /root/ada1s1.key /dev/ada1s1 Attention cette fois-ci, c'est k minuscule

Création du système de fichier chiffré

On va préparer le système de fichier à recevoir des données. newfs /dev/ada1s1.eli

Nous pouvons maintenant monter notre disque avec une partition, ou les données seront enregistrées de manière chiffrée mount /dev/ada1s1.eli /home/moi/VacancesWalibi

Attention au redémarrage

Après chaque redémarrage vous devez ré-attacher le périphérique au provider. C'est ici qu'il vous serra redemandé le passphrase que vous avez choisi. geli attach -k /root/ada1s1.key /dev/ada1s1

#Enter passphrase

Vous pouvez dans le doute faire un check de l’état du disque. fsck -ny -t ffs /dev/ada1s1.eli

Puis monter la partition. mount /dev/ada1s1.eli /home/moi/VacancesWalibi

Démonter correctement le périphérique

Ah ! au fait, non il y a rien à faire, le périphérique est détaché automatiquement à l’arrêt.

Voilà

La discussion continue ailleurs

URL de rétrolien : https://www.binsp.net/?trackback/13

Fil des commentaires de ce billet

Page top