Outils du site


Chiffrement d'un disque

Dans cette page, nous verrons comment chiffrer un disque entier, que ce soit pour ensuite installer OpenBSD ou l'utiliser comme espace de stockage.

Si un jour votre serveur est volé par un méchant cambrioleur, vos données peuvent rester tranquilles si vous chiffrez l'ensemble de votre système. Tout est bien pensé par OpenBSD qui a décrit la procédure dans sa FAQ. Notez que vous devrez être en mesure d'entrer la phrase de déchiffrement du disque à chaque démarrage et redémarrage du serveur, ce qui peut être une contrainte pour certains.

:!: À ce propos, le mappage du clavier à l'invite de commande demandant le mot de passe est en QWERTY. (sauf si vous gérer votre serveur via un port série).

Pour chiffrer un disque, vous avez besoin d'un système OpenBSD. Si vous souhaitez l'installer car n'en avez pas encore, vous pouvez utiliser le shell disponible sur votre media d'installation :

Welcome to the OpenBSD/amd64 X.X installation program.
(I)nstall, (U)pgrade, (A)utoinstall or (S)hell? s

Choisissez l'invite de commandes avec “S”.

La suite se réalise, peu importe si c'est pour une installation ou sur un système déjà prêt.

On remplit le disque de zéros pour écraser toutes les données pré-existantes (sd0 correspond à votre disque dur ici):

dd if=/dev/urandom of=/dev/rsd0c bs=1m

Ça peut être long selon le matériel (taille et vitesse d'écriture).

Ensuite, on crée une partition softraid qui sera chiffrée :

  • Si vous démarrez via MBR (défaut) ou si c'est juste un disque externe pour stocker des données : # fdisk -iy sd0
  • Si vous démarrer avec GPT ou UEFI : # fdisk -iy -g -b 960 sd0

Créez la table de partition sur sd0 avec un type RAID:

disklabel -E sd0
Label editor (enter '?' for help at any prompt)
> a a			
offset: [64]
size: [39825135] *
FS type: [4.2BSD] RAID
> w
> q
No label changes.

Ensuite, on peut créer le périphérique chiffré avec une bonne phrase de passe :

# bioctl -c C -l sd0a softraid0
New passphrase:
Re-type passphrase:
sd1 at scsibus2 targ 1 lun 0: <OPENBSD, SR CRYPTO, 005> SCSI2 0/direct fixed
sd1: 19445MB, 512 bytes/sector, 39824607 sectors
softraid0: CRYPTO volume attached as sd1

Cela crée un pseudo-périphérique sd1. Pour être sûr que l'installateur le prenne en compte, lancez (nécessaire que pour installation) :

# cd /dev && sh MAKEDEV sd1

On écrase les premières données du pseudo-périphérique :

# dd if=/dev/zero of=/dev/rsd1c bs=1m count=1

Enfin, entrez exit pour retrouver l'installateur, et procédez à l'installation sur ce pseudo-périphérique sd1 tout naturellement, ou bien passer au partitionnement si c'est un disque de stockage.

bioctl

bioctl permet de gérer les disques chiffrés. Voici deux choses à retenir :

Accéder à une partition chiffrée sd3a. La phrase de passe est demandée. En retour, est indiqué le périphérique qui pourra être monté ensuite, (par exemple sd4 ici) # bioctl -c C -l sd3a softraid0
Débrancher la partition chiffrée # bioctl -d sd4