Différences

Ci-dessous, les différences entre deux révisions de la page.

--- projets:wifi:ateliers:4_raid_luks_lvm [2015/03/11 20:59] – créée avec notes personnelles kheops
+++ projets:wifi:ateliers:4_raid_luks_lvm [2017/03/22 01:30] (Version actuelle) – fix lien kheops
@@ Ligne 1: / Ligne 1: @@
-Notes sur install RAID + LVM + FDE
+====== Notes sur install RAID + LVM + FDE ======
-- deux disques à taille identique
+  * deux disques à taille identique
-- virer les partitions, par exemple avec cette commande : ''dd if=/dev/zero of=/dev/sd[ab] bs=16M''
+  * virer les partitions, par exemple avec cette commande : ''dd if=/dev/zero of=/dev/sd[ab] bs=16M''
-- choisir partionnement manuel des disques
+  * choisir partionnement manuel des disques
-- créer deux partitions de 254,8 Mo (/dev/sd[ab]1) : elles contiendront chacune une copie de ''/boot''
+  * créer deux partitions de 254,8 Mo (/dev/sd[ab]1) : elles contiendront chacune une copie de ''/boot'', mais il faut pour le moment spécifier qu'elles ne doivent pas être utilisées (c'est le périphérique RAID qui sera monté dans ''/boot'')
-- créer deux partitions du reste de la taile des disques (/dev/sd[ab]2)
+  * créer deux partitions du reste de la taile des disques (/dev/sd[ab]2) : comme les précédentes, spécifier qu'elles n'ont pas de point de montage
-- à chaque fois, dire à l'installeur que ces partitions n'ont aucun point de montage
+  * choisir configurer le RAID et créer deux partitions RAID, de type RAID1 :
-- choisir configurer le RAID et créer deux partitions RAID, de type RAID1 :
+      * md0 contenant /dev/sda1 et /dev/sdb1
-    - md0 contenant /dev/sda1 et /dev/sdb1
+      * md1 contenant /dev/sda2 et /dev/sdb2
-    - md1 contenant /dev/sda2 et /dev/sdb2
+  * là on a donc deux partitions /dev/md0 et /dev/md1, de respectivement 250 Mo et 80 Go (ou davantage si les disques sont plus gros)
-- là on a donc deux partitions /dev/md0 et /dev/md1, de respectivement 250 Mo et 80 Go
+  * spécifier à l'installeur que /dev/md0 est en ext2, monté sur ''/boot''
-- spécifier à l'installeur que /dev/md0 est en ext2, monté sur ''/boot''
+  * choisir configurer le chiffrement des disques, créer un volume chiffré sur ''/dev/md1'' (et pas sur ''/dev/md0'' !)
-- choisir configurer le chiffrement des disques, créer un volume chiffré sur ''/dev/md1'' (et pas sur ''/dev/md0'' !)
+  * choisir configurer le LVM, puis ajouter un groupe de volume et y mettre le device ''/dev/mapper/md1_crypt'' (c'est la plus grosse partition dans le choix qui est donné)
-- choisir configurer le LVM, puis ajouter un groupe de volume
+  * continuer à configurer le LVM, ajouter deux volumes logiques dans le nouveau groupe de volume : l'un utilisé en swap et l'autre en ext4, sur le point de montage ''/''
-- continuer à configurer le LVM, ajouter deux volumes logiques dans le nouveau groupe de volume : l'un utilisé en swap et l'autre en ext4, sur le point de montage ''/''
+  * normalement, c'est bon ! lors de la finalisation de l'installation, l'installeur a bien fait grub-install sur /dev/sda. Il manque à le faire à la main sur /dev/sdb... Et à chaque fois qu'il y a une mise à jour de noyau.
-- normalement, c'est bon ! lors de la finalisation de l'installation, l'installeur a bien fait grub-install sur /dev/sda. Il manque à le faire à la main sur /dev/sdb... Et à chaque fois qu'il y a une mise à jour de noyau.
+{{ :projets:wifi:ateliers:partitioning.jpg?direct&400 | à quoi ressemble le partitionnement une fois fait }}
+En cas de redémarrage de la machine, il faut pouvoir entrer le mot de passe de déchiffrement à distance, via SSH. Pour cela, il est possible de mettre //dropbear// dans le //initramfs// et se conncter pour entrer le mot de passe.
+Depuis le système :
+  aptitude install dropbear
+Éditer ''/etc/initramfs-tools/root/.ssh/authorized_keys''. Y ajouter une (ou plusieurs) clés SSH précédées d'une commande forcée, comme ci dessous :
+  command="cat - >/lib/cryptsetup/passfifo" ssh-rsa AAAAB3NzaC1yc...
+Sauvegarder. Éditer ''/etc/initramfs-tools/initramfs.conf'', y ajouter une ligne de cette forme :
+  IP=<local_IP>::<gw_IP>:<netmask>:<hostname>:<network_interface>:off
+Enfin, s'assurer que le initramfs charge bien le pilote réseau nécessaire, avec la commande suivante (remplacer ''<interface>'' par l'interface connectée à internet).
+  grep DRIVER= /sys/class/net/<interface>/device/uevent | cut -d= -f2 >>/etc/initramfs-tools/modules
+Reconstruire l'initramfs :
+  update-initramfs -u
+Enfin, il faut forcer l'éteignage de l'interface réseau allumée par le initramfs avant son réactivage par le système principal. Ajouter ceci dans la spécification de l'interface, dans le ''/etc/network/interfaces'' :
+  pre-up ip a flush dev <interface>
+Voilà ! Pour débloquer la partition chiffrée lors d'un redémarrage, le script suivant fera l'affaire, appelé en passant le nom d'hôte ou l'IP de la machine en paramètre :
+  #!/bin/bash
+  read -r -p "Passphrase: " -s pw
+  echo -n "$pw" | ssh -o UserKnownHostsFile=~/.ssh/known_hosts.initramfs "root@$1"
+Si la machine est sur une connexion PPP (typiquement un lien xDSL où la machine est directement branchée sur le modem qui ne fait que modem et non modem-routeur), vous trouverez [[projets:wifi:bottiere:montage_technique#chiffrement_complet_du_disque|ici]] des indication pour permettre le montage d'une session PPP depuis l'initramfs.