Association FAImaison

Outils pour utilisateurs

Outils du site

Piste :
projets:wifi:ateliers:4_raid_luks_lvm

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
projets:wifi:ateliers:4_raid_luks_lvm [2015/03/11 21:30] – Ajout photo partitionnement kheopsprojets:wifi:ateliers:4_raid_luks_lvm [2017/03/22 01:30] (Version actuelle) – fix lien kheops
Ligne 1: Ligne 1:
-Notes sur install RAID + LVM + FDE+====== Notes sur install RAID + LVM + FDE ======
  
   * deux disques à taille identique   * deux disques à taille identique
   * virer les partitions, par exemple avec cette commande : ''dd if=/dev/zero of=/dev/sd[ab] bs=16M''   * virer les partitions, par exemple avec cette commande : ''dd if=/dev/zero of=/dev/sd[ab] bs=16M''
   * choisir partionnement manuel des disques   * choisir partionnement manuel des disques
-  * créer deux partitions de 254,8 Mo (/dev/sd[ab]1) : elles contiendront chacune une copie de ''/boot'' +  * créer deux partitions de 254,8 Mo (/dev/sd[ab]1) : elles contiendront chacune une copie de ''/boot'', mais il faut pour le moment spécifier qu'elles ne doivent pas être utilisées (c'est le périphérique RAID qui sera monté dans ''/boot'') 
-  * créer deux partitions du reste de la taile des disques (/dev/sd[ab]2) +  * créer deux partitions du reste de la taile des disques (/dev/sd[ab]2) : comme les précédentesspécifier qu'elles n'ont pas de point de montage
-  * à chaque foisdire à l'installeur que ces partitions n'ont aucun point de montage+
   * choisir configurer le RAID et créer deux partitions RAID, de type RAID1 :   * choisir configurer le RAID et créer deux partitions RAID, de type RAID1 :
       * md0 contenant /dev/sda1 et /dev/sdb1       * md0 contenant /dev/sda1 et /dev/sdb1
       * md1 contenant /dev/sda2 et /dev/sdb2       * md1 contenant /dev/sda2 et /dev/sdb2
-  * là on a donc deux partitions /dev/md0 et /dev/md1, de respectivement 250 Mo et 80 Go+  * là on a donc deux partitions /dev/md0 et /dev/md1, de respectivement 250 Mo et 80 Go (ou davantage si les disques sont plus gros)
   * spécifier à l'installeur que /dev/md0 est en ext2, monté sur ''/boot''   * spécifier à l'installeur que /dev/md0 est en ext2, monté sur ''/boot''
   * choisir configurer le chiffrement des disques, créer un volume chiffré sur ''/dev/md1'' (et pas sur ''/dev/md0'' !)   * choisir configurer le chiffrement des disques, créer un volume chiffré sur ''/dev/md1'' (et pas sur ''/dev/md0'' !)
-  * choisir configurer le LVM, puis ajouter un groupe de volume+  * choisir configurer le LVM, puis ajouter un groupe de volume et y mettre le device ''/dev/mapper/md1_crypt'' (c'est la plus grosse partition dans le choix qui est donné)
   * continuer à configurer le LVM, ajouter deux volumes logiques dans le nouveau groupe de volume : l'un utilisé en swap et l'autre en ext4, sur le point de montage ''/''   * continuer à configurer le LVM, ajouter deux volumes logiques dans le nouveau groupe de volume : l'un utilisé en swap et l'autre en ext4, sur le point de montage ''/''
   * normalement, c'est bon ! lors de la finalisation de l'installation, l'installeur a bien fait grub-install sur /dev/sda. Il manque à le faire à la main sur /dev/sdb... Et à chaque fois qu'il y a une mise à jour de noyau.   * normalement, c'est bon ! lors de la finalisation de l'installation, l'installeur a bien fait grub-install sur /dev/sda. Il manque à le faire à la main sur /dev/sdb... Et à chaque fois qu'il y a une mise à jour de noyau.
  
-{{ :projets:wifi:ateliers:partitioning.jpg?direct&200 | à quoi ressemble le partitionnement une fois fait }}+{{ :projets:wifi:ateliers:partitioning.jpg?direct&400 | à quoi ressemble le partitionnement une fois fait }} 
 + 
 +En cas de redémarrage de la machine, il faut pouvoir entrer le mot de passe de déchiffrement à distance, via SSH. Pour cela, il est possible de mettre //dropbear// dans le //initramfs// et se conncter pour entrer le mot de passe. 
 + 
 +Depuis le système : 
 + 
 +  aptitude install dropbear 
 + 
 +Éditer ''/etc/initramfs-tools/root/.ssh/authorized_keys''. Y ajouter une (ou plusieurs) clés SSH précédées d'une commande forcée, comme ci dessous : 
 + 
 +  command="cat - >/lib/cryptsetup/passfifo" ssh-rsa AAAAB3NzaC1yc... 
 +   
 +Sauvegarder. Éditer ''/etc/initramfs-tools/initramfs.conf'', y ajouter une ligne de cette forme : 
 + 
 +  IP=<local_IP>::<gw_IP>:<netmask>:<hostname>:<network_interface>:off 
 +   
 +Enfin, s'assurer que le initramfs charge bien le pilote réseau nécessaire, avec la commande suivante (remplacer ''<interface>'' par l'interface connectée à internet). 
 + 
 +  grep DRIVER= /sys/class/net/<interface>/device/uevent | cut -d= -f2 >>/etc/initramfs-tools/modules 
 + 
 +Reconstruire l'initramfs : 
 + 
 +  update-initramfs -u 
 + 
 +Enfin, il faut forcer l'éteignage de l'interface réseau allumée par le initramfs avant son réactivage par le système principal. Ajouter ceci dans la spécification de l'interface, dans le ''/etc/network/interfaces''
 +  pre-up ip a flush dev <interface> 
 + 
 +Voilà ! Pour débloquer la partition chiffrée lors d'un redémarrage, le script suivant fera l'affaire, appelé en passant le nom d'hôte ou l'IP de la machine en paramètre : 
 + 
 +  #!/bin/bash 
 +   
 +  read -r -p "Passphrase: " -s pw 
 +  echo -n "$pw" | ssh -o UserKnownHostsFile=~/.ssh/known_hosts.initramfs "root@$1" 
 + 
 +Si la machine est sur une connexion PPP (typiquement un lien xDSL où la machine est directement branchée sur le modem qui ne fait que modem et non modem-routeur), vous trouverez [[projets:wifi:bottiere:montage_technique#chiffrement_complet_du_disque|ici]] des indication pour permettre le montage d'une session PPP depuis l'initramfs.
projets/wifi/ateliers/4_raid_luks_lvm.1426109423.txt.gz · Dernière modification : 2015/03/11 21:30 de kheops