Crypto.me
$ apt-get install security privacy anonymity

Installeur Debian & LUKS

L'installeur Debian propose dès l'installation de chiffrer intégralement son disque dur. Au passage, on en profite pour remplacer les partitions vieillissantes par des volumes logiques LVM.

L'objectif est d'obtenir le schéma suivant sur le disque (en supposant un disque de 500Go) :

/dev/sda, 500Go
    /dev/sda1, partition primaire, /boot ext4, 500Mo
    /dev/sda2, partition primaire & conteneur LUKS, 499.5Go aes256 + sha256, phrase de passe
        /dev/mapper/sda2_crypt, volume physique LVM debian, 499.5Go
            /dev/mapper/debian-root, volume logique LVM, / ext4, 20Go
            /dev/mapper/debian-home, volume logique LVM, /home ext4, 461.5Go
            /dev/mapper/debian-tmp, volume logique LVM, /tmp ext4, 10Go
            /dev/mapper/debian-swap, volume logique LVM, swap, 8Go

Il est conseillé d'avoir un swap d'au moins la taille de la RAM disponible, afin de permettre l'hibernation en mémoire ou sur disque.

Partitionnement du disque

Lors de l'assistant d'installation Debian, il vous est demandé à un moment comment vous souhaitez partitionner votre disque. Vous avez alors la possibilité de laisser l'installeur partitionner automatiquement ou de prendre la main. Pour chiffrer le disque avec le schéma ci-dessus, il faut passer par la méthode manuelle :

Il faut ensuite créer une partition /boot (ext4, 500Mo) normalement, puis un volume physique pour chiffrement :

Bien vérifier que l'option « Effacer les données » est active. Sans cela le disque ne sera pas remplit de données aléatoires et donc moins sûr, un attaquant pouvant alors savoir où sont les données chiffrées et quelle taille elles représentent.

On doit alors obtenir ceci :

Chiffrement

On lance alors la configuration des volumes chiffrés :

Et là on attend… Longtemps… Très longtemps… (Environ 24h pour un disque de 500Go).

On renseigne sa phrase de passe (bien robuste et mémorisée uniquement dans sa tête et pas sur un Post-It…) :

Voilà pour la partie chiffrement proprement dite.

Mise en place de LVM

Il ne reste plus qu'à créer un volume physique pour LVM. On doit obtenir ceci :

Et on lance la configuration LVM :

Ici, on va créer les volumes logiques souhaités, à savoir :

root, 20Go
tmp, 10Go
swap, 8Go
home, le reste

On doit obtenir :

Enfin, on finit par le formattage des volumes logiques, comme un disque classique. On obtient :

On valide le tout, et c'est fini, nos données sont à l'abris.

Au boot, Linux vous demandera votre phrase de passe pour déchiffrer le disque et accéder aux données.