Une clé USB chiffrée avec dm-crypt & LUKS

Par les temps qui courent, c’est une bonne idée de chiffrer les données que vous transportez sur une clé USB. C’est le genre d’objet qu’on perd ou qu’on oublie facilement, j’en ai personnellement laissé une dans l’ordi d’un cyber-café une fois. On regrette alors d’avoir laissé des informations importantes à la portée d’un quidam.

Mais quelle solution choisir ? Le wiki ArchLinux propose un tableau des différentes méthodes disponibles sous Linux et le site Phoronix a réaliser des tests pour mesurer l’impact que peux avoir le chiffrement d’une partition sur les performances en comparant dm-crypt + LUKS à eCryptfs. Le site Prism Break recommande d’utiliser dm-crypt + LUKS comme option de chiffrement. L’avantage d’utiliser LUKS (Linux Unified Key Setup) est que c’est un standard multi-plateforme et qu’il est supporté par toutes les distributions GNU/Linux.

  1. On commence par vérifier que le paquet cryptsetup est installé. Vous pouvez le voir ou l’installer depuis votre gestionnaire de paquets, sinon, dans un terminal, lancez la commande : (pour Debian et dérivées Ubuntu, Linux Mint, …)

Si vous compter utiliser la clé USB sur des postes avec Windows, il faut réserver la première partition en la formatant en FAT32. J’utilise une clé de 32 Go pour la démonstration. On va créer deux partitions chiffrée : une de 4 Go formatée FAT32, l’autre de 28 Go formatée EXT4.

Mise en garde : si vous avez déjà utilisé la clé USB, assurez-vous d’avoir sauvegardé son contenu sur un autre disque, les opérations suivantes vont totalement supprimer les donnés présentes sur la clé. Ne faite pas l’erreur de formater un autre disque par inadvertance, après avoir introduit la clé à chiffrer, vérifier le nom de périphérique attribué par le système dans le gestionnaire de disque ou avec la commande :

Les dernières lignes indiquent le nom de périphérique, ici sdf :

2. Démontage : La ou les partitions sont automatiquement montées lors du branchement, il faut les démonter (adaptez /dev/sdxx à votre cas) :

3. On supprime la table de partition et on en créé une nouvelle avec l’utilitaire fdisk. L’option o crée une nouvelle table vide de partitions DOS, w écrit la table sur le disque et quitte.

4. Création des partitions : on relance fdisk pour créer les deux partitions. L’option n ajoute une nouvelle partition. On fait entrée pour choisir les options par défaut sauf à l’étape dernier secteur : la taille de la première partition est 7 628 904 secteurs (4 Go). La taille d’un conteneur FAT32 ne peut dépasser 3 999 Mo. On continue pour la deuxième partition avec les valeurs par défaut, w pour écrire la table et quitter fdisk.

5. Chiffrement des partitions : notez le F majuscule de la commande luksFormat. vous aurez le message « cryptsetup: Action inconnue » si vous mettez un f minuscule. Vous pouvez entrer la même phrase secrète pour les deux partitions. Par sécurité, générez une phrase complexe (ex.: 3c »M6YwmjiRMT*A~v(2! ). J’utilise l’application Revelation pour générer et stocker mes mots de passe dans une base de données chiffrée. KeePassX & KeePass2 ont les mêmes fonctions.

Même chose pour la seconde partition :

6. Formatez les partitions chiffrées : on doit utiliser la commande « cryptsetup luksOpen » pour déchiffrer la partition avant de la formater et lui attribuer un nom unique pour le mappage, ici LUKS01 et LUKS02. On donne le label « fat-chiffre » à cette partition qui apparaîtra dans le gestionnaire de fichier une fois montée.

pour la seconde partition (label ext4-chif) :

Voilà, la méthode en ligne de commande est longue et un peu fastidieuse mais permet de bien comprendre les différentes étapes. Vous pouvez plus simplement utiliser l’application « Disques » si vous préférez l’interface graphique.Clé USB chiffrée

Utilisation avec Windows :

Par défaut, Windows ne sait pas comment traiter la clé chiffrée lorsque vous la placez dans un port USB. Il propose de la formater, ne le laissez pas faire !! Il faut auparavant installer un petit utilitaire (un logiciel libre) disponible sur GitHub, LibreCrypt version 6.2. C’est une version béta mais je l’ai testé sans rencontrer de problème sous Windows 7. Après installation du programme, il est par contre nécessaire de contourner la protection de Micro$oft contre les pilotes non signés par une commande en mode administrateur (image suivante). Les instructions détaillées en anglais sont sur cette page.

Windows-cmd

Il faut rebooter l’ordi après avoir passé la commande avec succès. L’utilisation est ensuite asse simple et intuitive. Les copies d’écran suivantes vous aideront.

Montage LibreCrypt

Cliquez sur l’icone « Open partition », sélectionnez la première partition du second disque (Disque n°1).

LibreCrypt demande phrase de passe

Tapez ou coller la phrase de passe (champ User entered).

LibreCrypt : clé USB montée

File-manager Win

 

 

 

 

 

 

Librement inspiré de cet article.

Flattr this!

Partitions LVM2 sur disque GPT – How-to

J’explique dans cet article comment migrer ses données sur deux disques récents : un SSD pour les partitions systèmes et un disque de grande capacité (3 To) pour la partition home et les autres partitions. Cela me permet d’aborder deux sujets à propos du partitionnement : les volumes LVM2 et les tables de partitions GPT.

J’ai voulu tester les possibilités offertes par LVM (logical volume management) et sa souplesse de gestion des tailles des partitions sur mon ordinateur de bureau. Pour l’utilisation que je compte avoir de ces nouveaux disques, il me semble que c’est la meilleure solution. Le but est de pouvoir facilement ajouter, supprimer et redimensionner une partition système (que je monte en /) tout en profitant des performances et de la rapidité d’accès des fichiers sur un SSD. J’aime tester de nombreuses distributions en multi-boot sur mon ordi et pouvoir changer de version, sans toucher à mes données qui restent dans la partition /home, sur un disque dur standard.

Un peu de théorie pour mieux comprendre pourquoi j’ai choisi GPT et LVM2 pour mes nouvelles partitions.

Les avantages de GPT (GUID Partition Table) :

– Contrairement à une table de partition MSDos (MBR : master boot record) limité à 4 partitions primaires (ou 3 partitions primaires et 1 étendue), la création d’une table de partition GPT permet d’ajouter jusqu’à 128 partitions et de passer la barrière qui limite la taille à 2,2 To sur un même disque.

– Chaque disque et chaque partition utilise un identifiant unique (UUID : Universally Unique IDentifier).

– Une seconde table de partition (backup) est écrite sur le dernier secteur logique du disque : permet une récupération des informations en cas de problème sur la première table de partition.

Important : les disques récents utilisent un formatage aligné sur des secteurs de 4 Ko (8 x 512 octets) noté HD AF (Advanded Format), de manière à optimiser l’espace disque et les taux de transfert. Les outils de partitionnement linux (fdisk, gdisk, parted et gparted) alignent automatiquement les partitions avec des secteurs de 4 Ko. Ce qui signifie que la première partition commencera toujours au secteur 2048.

Pour installer le gestionnaire de démarrage GRUB sur un disque GPT, vous devez réserver une partition avec le drapeau (flag) « Bios Boot » ou « Bios Grub » du type « EF02 ». On utilisera l’espace inoccupé entre les secteurs 34 et 2047 du disque pour cela.

Voir les pages https://wiki.archlinux.org/index.php/GUID_Partition_Table et https://wiki.archlinux.org/index.php/GRUB#GUID_Partition_Table_.28GPT.29_specific_instructions pour plus de détails.

Passons à la pratique, voici comment j’ai procédé :

– Avant d’éteindre le PC pour installer physiquement les nouveaux disques, on installe les paquets lvm2, gparted et gdisk : 

– on démarre l’ordi et on commence par bien repérer les noms des disques et des partitions avec l’utilitaire graphique GParted (Gnome Partition Editor), exemple :

Gparted-sdaIl ne s’agit pas de faire d’erreur au moment de créer les partitions. Pour ne pas écraser vos données existantes, je vous conseille de faire des copies d’écran pour chaque disque et de les coller dans un document LibreOffice que vous créez pour l’occasion. Vous avez ainsi toutes ces données sous la main. Une autre bonne idée est de donner un nom à chacune de vos partition. Uniquement si la partition est démontée, vous pouvez modifier l’étiquette avec GParted (click droit, Etiquette). Faites-le avec un liveCD ou une clé USB bootable, GParted est installé par défaut sur les ISO Ubuntu.

La suite des opérations s’effectue avec les privilèges de l’utilisateur root, administrateur du système. Ouvrez un terminal et tapez : sudo -i

– On utilise l’outil Gdisk pour créer une table de partition GPT, (adaptez le nom du disque, ici /dev/sdc, à votre cas particulier) : les commandes à taper après le prompt de gdisk sont :

x (mode expert), l (set the sector alignment value), 1, m (retour au menu nornal), n (ajouter une nouvelle partition), 1 (premier secteur), 2047 (dernier secteur), EF02 (type de partition), p (affiche les changements), w (enregistre la nouvelle table de partition et quitte gdisk). J’ai mis en gras les commandes à taper :

root@Desktop-P5QL-E:~# gdisk /dev/sdc
GPT fdisk (gdisk) version 0.8.8
Partition table scan:
MBR: not present
BSD: not present
APM: not present
GPT: not present
Creating new GPT entries.
Command (? for help): x
Expert command (? for help): l
Enter the sector alignment value (1-65536, default = 2048): 1
Expert command (? for help): m
Command (? for help): n
Partition number (1-128, default 1):
First sector (34-320173022, default = 34) or {+-}size{KMGTP}: 34
Last sector (34-320173022, default = 320173022) or {+-}size{KMGTP}: 2047 Current type is ‘Linux filesystem’
Hex code or GUID (L to show codes, Enter = 8300): EF02
Changed type of partition to ‘BIOS boot partition’
Command (? for help): p
Disk /dev/sdc: 234441648 sectors, 111.8 GiB
Logical sector size: 512 bytes
Disk identifier (GUID): 86C5440D-9CAF-4948-A1C2-AC567E61AF75
Partition table holds up to 128 entries
First usable sector is 34, last usable sector is 234441614
Partitions will be aligned on 1-sector boundaries
Total free space is 234439567 sectors (120 GiB)
Number Start (sector) End (sector) Size Code Name
1 34 2047 1007.0 KiB EF02 BIOS boot partition
Command (? for help): w
Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING PARTITIONS!!
Do you want to proceed? (Y/N): y
OK; writing new GUID partition table (GPT) to /dev/sdc.
The operation has completed successfully.

 

Pour ne pas rendre ce post trop long et trop indigeste, je décrirai en détail la création et la gestions des partitions logiques LVM2 dans un prochain article.

Flattr this!

J’ai adopté Cinnamon et Nemo (update)

Une nouvelle version de Cinnamon est sortie. Depuis que je l’ai essayé, je ne peux plus me passer de cet environnement de bureau (DE : Desktop environment en anglais). Je le trouve plus agréable et confortable à utiliser au quotidien, quelques améliorations bienvenues corrigent les problèmes des versions précédentes.

Pour l’ajouter dans les versions actuellement supportées d’Ubuntu, vous devez ajouter un dépot PPA, qui permettra d’installer la dernière version stable de Cinnamon et Nemo. Ouvrez un terminal et copiez / collez les commandes suivantes.

Pour Ubuntu 14.04 LTS Trusty Tahr (installe Cinnamon version 2.4.5) :

 Pour Ubuntu 12.04 LTS Precise Pangolin (installe Cinnamon version 2.0) :

Fermer ensuite votre session Unity et sélectionnez Cinnamon dans LightDM avant de taper votre mot de passe. Il faut cliquer sur le logo Ubuntu pour sélectionner votre nouvel environnement.

Amusez-vous bien !

Edit : Si vous ne voyez pas toutes les icônes dans le menu des applications sous Ubuntu 12.04, un petit réglage suffit à les retrouver. Lancer le centre de contrôle Cinnamon (deuxième icône sous celle de Firefox), sélectionner Thèmes puis l’onglet « Autres paramètres » et choisissez les icônes « ubuntu-mono-dark ». Et voilà !

Le bureau Cinnamon v2.0Merci à Andrew pour ses conseils complémentaires sur le site webupd8.

Flattr this!

Tests de performances sous Ubuntu Trusty avec Haswell nVidia Prime

Pour faire suite à mon précédent post, je vous livre les performances de ma configuration, en activant ou non la carte grapgique nVidia sur mon laptop MSI GT60 20C.

Il faut d’abord télécharger et installer ce paquet sur votre PC, puis lancer dans un terminal

Résultats VirtualGL avec le pilote MESA-DRI Intel actifDonc, environ 175 images / secondes avec le pilote OpenGL MESA DRI pour la puce graphique du processeur Core i7-4700MQ Intel.

Résultats VirtualGL avec carte nvidia GeForce GTX770M activeEt environ 1150 images / secondes avec le pilote nVidia 331 pour la carte GeForce GTX 770M, c’est pas mal du tout.

Et chez vous, çà donne quoi ?

Source : Forum Ubuntu-fr [INFO]Optimus / Prime driver nvidia

8 commentaires

Flattr this!

Architecture Intel Haswell avec carte graphique nVidia supportée dans Ubuntu 14.04 Trusty Tahr

Pour ceux qui, comme moi, veulent s’affranchir des bricolages avec Bumblebee sous Ubuntu, réjouissez-vous, une solution fiable arrive dans la prochaine version 14.04 LTS Trusty Tar : elle s’appelle nVidia Prime. Vous êtes l’heureux propriétaires d’un ordi portable avec une architecture nVidia Optimus et un µ-processeur Intel Haswell, Sandy bridge ou Ivy bridge, vous voulez pouvoir simplement basculer de la carte graphique nVidia à la puce graphique intégrée dans le µ-processeur Intel pour économiser votre batterie, ne cherchez plus une solution complexe. Installez la dernière version beta d’Ubuntu 14.04, elle est fonctionnelle, je l’ai testé.

Téléchargez la plus récente image iso (daily build) de la distribution sur le site cdimage Ubuntu, gravez la ou copiez la sur une clé USB et lancez l’installation, de préférence dans une nouvelle partition. Attention, version beta non définitive, vous l’installez à vos risques et périls.

N’installez pas les pilotes propriétaires nVidia mais ajoutez seulement ce dépot ppa en copiant les commandes suivantes dans un terminal :

Voilà à quoi çà ressemble après installation et mise à jour des paquets.

dépots actifsOn active le pilote nVidia depuis l’utilitaire nVidia X Server Settings :

nvidia-prime

L’utilitaire nVidia X Server Settings vous permet de choisir, dans PRIME Profiles, quelle carte graphique activer.

hardinfo-system

Installez l’utilitaire HardInfo pour vérifier la prise en charge des deux modes.

nvidia-settings

Le dépot PPA installe la dernière version des pilotes nVidia, OpenGL MESA et Xorg v1.15

nVidia settings vous indique que vous utilisez le pilote Intel.

nVidia settings vous indique que vous utilisez le pilote Intel.

nVidia Prime

On bascule du profile Intel au profil nVidia. Il faut fermer la session pour activer ce profil.

 

HardInfo Display

Infos Display avec le pilote nVidia 331 actif.

Lancer la commande

dans un terminal pour désinstaller proprement tous les pilotes et revenir à l’état antérieur sans problème.

P.S. : Dites-moi en commentaire si çà marche bien sur votre configuration, merci.

Edit : Comparez les résultats de mes tests avec ceux sur votre matériel.

Flattr this!