Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
tutoriel:sauvegardes_nomades_securisees [Le 08/03/2024, 09:21] livier [Piste pour gérer le problème ci dessus] déplacé |
tutoriel:sauvegardes_nomades_securisees [Le 14/04/2024, 15:40] (Version actuelle) livier [Précautions complémentaires indispensables] |
||
|---|---|---|---|
| Ligne 30: | Ligne 30: | ||
| * Apprenez à manipulez vos partitions chiffrées vous mêmes à la main. Vous voulez être compétents pour être en mesure de les utiliser quand vous aurez besoin de vos backups et que la situation vous échappera un peu… | * Apprenez à manipulez vos partitions chiffrées vous mêmes à la main. Vous voulez être compétents pour être en mesure de les utiliser quand vous aurez besoin de vos backups et que la situation vous échappera un peu… | ||
| * Je réalise la plupart des opérations suivantes avec les outils graphiques de KDE. Je ne suis pas en mesure de donner les lignes de commande de façon suffisamment fiable pour une documentation publique. Suivez les étapes et faites attention à ce que vous faites. | * Je réalise la plupart des opérations suivantes avec les outils graphiques de KDE. Je ne suis pas en mesure de donner les lignes de commande de façon suffisamment fiable pour une documentation publique. Suivez les étapes et faites attention à ce que vous faites. | ||
| - | * Toutes les commandes (ou presque) de ce tutoriel sont à passer en ''%%root%%'' (en utilisant ''%%sudo%%'') [Utiliser : ''%%sudo !!%%'' quand vous voulez passer ''%%en root%%'' la dernière commande que vous avez tenté en simple utilisateur].\\ | + | * Toutes les commandes (ou presque) de ce tutoriel sont à passer en ''%%root%%'' (en utilisant ''%%sudo%%'') |
| + | <note tip>Utiliser : ''%%sudo !!%%'' quand vous voulez passer ''%%en root%%'' la dernière commande que vous avez tenté en simple utilisateur.</note>\\ | ||
| * Nous utilisons des scripts qui seront appelés en tant que root, mais que j’ai édité (plusieurs fois en mode essai-erreur) en tant qu’utilisateur. Il m’a fallu faire quelques ajustements au niveau des droits pour faire tout cela (commandes chown et chmod en sudo). [Par exemple, mettre “mon utilisateur” dans le groupe “root” et utiliser des [[:permissions|droits]] de type “root.root 760” pour que root puisse exécuter les scripts, moi pouvoir les éditer, et rien pour les autres] **Si vous n’êtes pas à l’aise avec ces manipulations, persévérez dans l’apprentissage de ces notions avant de configurer vos chiffrements ;-)** | * Nous utilisons des scripts qui seront appelés en tant que root, mais que j’ai édité (plusieurs fois en mode essai-erreur) en tant qu’utilisateur. Il m’a fallu faire quelques ajustements au niveau des droits pour faire tout cela (commandes chown et chmod en sudo). [Par exemple, mettre “mon utilisateur” dans le groupe “root” et utiliser des [[:permissions|droits]] de type “root.root 760” pour que root puisse exécuter les scripts, moi pouvoir les éditer, et rien pour les autres] **Si vous n’êtes pas à l’aise avec ces manipulations, persévérez dans l’apprentissage de ces notions avant de configurer vos chiffrements ;-)** | ||
| - | * afin de voir les commandes qui passent quand on lance un script en console dans les phases de test : mettre ''%%set -x%%'' en début de script (et retirer ensuite) | + | |
| + | <note tip> afin de voir les commandes qui passent quand on lance un script en console dans les phases de test : mettre ''%%set -x%%'' en début de script (et retirer ensuite)</note> | ||
| + | |||
| + | <note tip>On peut aussi loguer des informations utiles en ajoutant quelques éléments dans les scripts : | ||
| + | |||
| + | - Ajouter une ligne `echo "$(date '+%Y-%m-%d %H:%M:%S') étape d'execution" >> /var/log/cryptshot.log` | ||
| + | |||
| + | - Ajouter `| tee -a /var/log/cryptshot.log` à la suite d'un message du script `echo 'message.' | tee -a /var/log/cryptshot.log` | ||
| + | |||
| + | </note> | ||
| ==== Quelques points de repères pour comprendre le système : ==== | ==== Quelques points de repères pour comprendre le système : ==== | ||
| Ligne 89: | Ligne 99: | ||
| === Montage et démontages des volumes chiffés === | === Montage et démontages des volumes chiffés === | ||
| - | Vérifiez que vous êtes vraiment capables de manipuler vos partitions chiffrées en dehors des scripts … | + | <note important>Vérifiez que vous êtes vraiment capables de manipuler vos partitions chiffrées en dehors des scripts …</note> |
| * Ouvrir la partition chiffrée, le mot de passe sera demandé : | * Ouvrir la partition chiffrée, le mot de passe sera demandé : | ||
| Ligne 100: | Ligne 110: | ||
| <code bash> | <code bash> | ||
| cryptsetup -v luksOpen --key-file <chemin/Keyfile> /dev/<target device> monVolume | cryptsetup -v luksOpen --key-file <chemin/Keyfile> /dev/<target device> monVolume | ||
| + | </code> | ||
| + | |||
| + | * Vérifier un mot de passe et son slot, sans ouvrir la partition : | ||
| + | |||
| + | <code bash> | ||
| + | cryptsetup -v luksOpen --test-passphrase /dev/<target device> | ||
| </code> | </code> | ||
| * Montage du mapper | * Montage du mapper | ||
| Ligne 124: | Ligne 140: | ||
| Pour approfondissements, voir : | Pour approfondissements, voir : | ||
| - | Nous aurons besoin d’au moins deux clés pour ouvrir le conteneur : | + | <note important>Nous aurons besoin d’au moins deux clés pour ouvrir le conteneur :</note> |
| - Un “keyfile” (qui peut être n’importe quel fichier) dans l’ordinateur pour automatiser la sauvegarde. Cette clé qui ne sera pas utilisable à qui disposerait du disque seulement : le voleur ou vous après la perte de l’ordinateur. | - Un “keyfile” (qui peut être n’importe quel fichier) dans l’ordinateur pour automatiser la sauvegarde. Cette clé qui ne sera pas utilisable à qui disposerait du disque seulement : le voleur ou vous après la perte de l’ordinateur. | ||
| Ligne 149: | Ligne 165: | ||
| </code> | </code> | ||
| === Sauvegarder l’entête du conteneur === | === Sauvegarder l’entête du conteneur === | ||
| - | + | <note important> | |
| - | Cet entête intégral est indispensable à l’ouverture du conteneur. On peut l’altérer volontairement pour rendre le conteneur illisible à qui que ce soit, il peut aussi y avoir un accident ! Attention, l’entête contient tous les slots de mots de passe et keyfiles. Le restaurer remettra donc ces slots à l’état du moment de la sauvegarde, réactivant d’anciens mots de passe éliminés. Cela peut être une bréche de sécurité si la sauvegarde de l’entête est (a été) accessible à un ancien collaborateur . | + | Cet entête intégral est indispensable à l’ouverture du conteneur.</note> On peut l’altérer volontairement pour rendre le conteneur illisible à qui que ce soit, il peut aussi y avoir un accident ! Attention, l’entête contient tous les slots de mots de passe et keyfiles. Le restaurer remettra donc ces slots à l’état du moment de la sauvegarde, réactivant d’anciens mots de passe éliminés. Cela peut être une bréche de sécurité si la sauvegarde de l’entête est (a été) accessible à un ancien collaborateur . |
| luksHeaderBackup /dev/<html><target device></html> –header-backup-file <html><file></html> | luksHeaderBackup /dev/<html><target device></html> –header-backup-file <html><file></html> | ||
| Ligne 267: | Ligne 283: | ||
| * le peupler avec\\ | * le peupler avec\\ | ||
| ''%%ACTION=="add", SUBSYSTEM=="usb", ENV{DEVTYPE}=="usb_device", RUN+="/etc/cron.hourly/cryptshot-execute"%%'' | ''%%ACTION=="add", SUBSYSTEM=="usb", ENV{DEVTYPE}=="usb_device", RUN+="/etc/cron.hourly/cryptshot-execute"%%'' | ||
| - | * rechargez les règles udev en utilisant la commande suivante Ou redémarrer) :<code> | + | * Redémarrer ou recharger les règles udev, puis "déclencher" (la redétection?) en utilisant la commande suivante : |
| - | sudo udevadm control --reload-rules | + | <code> |
| + | sudo udevadm control --reload-rules && sudo udevadm trigger | ||
| </code> | </code> | ||
| * Tester en connectant un des disques de sauvegarde | * Tester en connectant un des disques de sauvegarde | ||
| + | |||
| + | Le fonctionnement peut être capricieux quand le disque est connecté au travers d'un hub thunderbolt. Connecter le disque directement sur un port USB de l'ordinateur. | ||
| ===== Problème connus ===== | ===== Problème connus ===== | ||
| Ligne 348: | Ligne 367: | ||
| ** Incron, comme alternative à Udev (non testé) **\\ | ** Incron, comme alternative à Udev (non testé) **\\ | ||
| - | [[https://doc.ubuntu-fr.org/incron|incron [Wiki ubuntu-fr]]] | + | [[:incron|Incron]] |
| [[https://www.it-connect.fr/incron-executer-des-actions-selon-des-evenements/|Incron : exécuter des actions selon des événements | Commandes et Système | IT-Connect]] | [[https://www.it-connect.fr/incron-executer-des-actions-selon-des-evenements/|Incron : exécuter des actions selon des événements | Commandes et Système | IT-Connect]] | ||