Permet de crypter l'accès à un système de fichiers. Il est utile de la faire sur un disque de sauvegarde USB pour l'externalisation. Le système de fichiers peut être lu par n'importe quel système Linux à partir du moment on l'on installe les paquetages prérequis et que l'on connaît le mot de passe d'accès.
Installer le paquetage nécessaire :
apt-get install cryptsetup
Charger les modules :
modprobe aes modprobe dm_crypt modprobe dm_mod
Cryptage de la partition « /dev/sdb1 »
cryptsetup luksFormat /dev/sdb1
Taper YES (en majuscule) pour confirmer et définir le mot de passe :
WARNING! ======== Cette action écrasera définitivement les données sur /dev/sdb1. Are you sure? (Type uppercase yes): YES Entrez la phrase de passe LUKS : Verify passphrase:
Remarque : LUKS permet de stocker jusqu'a 8 clés. Nous ajouterons plus tard une autre clé pour le montage automatique.
Pour ouvrir la partition cryptée et la formater :
cryptsetup luksOpen /dev/sdb1 usbdisk mkfs.ext3 -L usbdisk /dev/mapper/usbdisk
Pour l'ouvrir :
cryptsetup luksOpen /dev/sdb1 usbdisk
Cette action crée un nouveau périphérique dans /dev/mapper. Dans le cas ci-dessus :
/dev/mapper/usbdisk
Il faut donc utiliser ce périphérique pour le montage. Exemple : mount -t ext3 /dev/mapper/usbdisk /mnt/usbdisk
Pour la fermer
cryptsetup luksClose usbdisk
Pour visualiser les caractéristiques :
cryptsetup luksDump /dev/sdb1
Générer une clé à partir de données aléatoire :
dd if=/dev/urandom of=/root/keyfile bs=1024 count=4
Permet l'accès uniquement à root :
chmod 400 /root/keyfile
Ajouter une clé
cryptsetup luksAddKey /dev/sdb1 /root/keyfile
Il vous est demandé un mot de passe pour ouvrir la partition crypter pour permettre l'insertion de la seconde clé :
Editer le fichier /etc/crypttab en insérant la ligne suivante :
# <target name> <source device> <key file> <options> usbdisk /dev/sdb1 /root/keyfile luks,checkargs=ext2
Editer le fichier /etc/fstab et ajouter le nouveau volume :
/dev/mapper/usbdisk /mnt/usbdisk ext3 defaults 0 0