Mise en place manuelle d'une distribution Linux sur un système chiffré

Nous allons ensuite affecter notre volume physique (notre partition PV LVM2) à l’usage de LVM :

~# pvcreate /dev/sda2

ce qui retournera :

Physical volume "/dev/sda2" successfully created.

Cette opération écrira des métadonnées dans la partition à l’usage de LVM.

La commande pvdisplay permet de voir le détail des partitions physiques affectées à LVM :

~# pvdisplay
  "/dev/sda2" is a new physical volume of "24.80 GiB"
  --- NEW Physical volume ---
  PV Name               /dev/sda2
  VG Name
  PV Size               24.80 GiB
  Allocatable           NO
  PE Size               0
  Total PE              0
  Free PE               0
  Allocated PE          0
  PV UUID               1vGPfB-Tj6q-XZc3-x4f6-EVmv-Lx4B-yvbW71

Le champ « VG Name » est vide, le PV n’étant actuellement affecté à aucun groupe.

Nous créons ensuite notre Volume Group avec pour nom vg0 :

~# vgcreate vg0 /dev/sda2

ce qui retournera :

Volume group "vg0" successfully created

La commande vgdisplay nous donne le détail du Volume Group :

~# vgdisplay
  --- Volume group ---
  VG Name               vg0
  System ID
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  1
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                0
  Open LV               0
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               24.80 GiB
  PE Size               4.00 MiB
  Total PE              6349
  Alloc PE / Size       0 / 0
  Free  PE / Size       6349 / 24.80 GiB
  VG UUID               8AS248-bAfV-WQYy-DYSa-RLdl-IKuR-xHoz65

Nous voyons dans les informations que le VG est redimensionnable et qu’il n’a aucun PE (bloc virtuel) alloué, ce qui est normal, nous n’avons créé à ce stade aucun volume logique.

Si nous réaffichons la commande pvdisplay après création du Volume Group, le champ « VG Name » contiendra vg0.

Nous créons ensuite un Logical Volume (un volume logique) pour /boot et un autre pour le / :

~# lvcreate -L1G -nlvboot vg0
  Logical volume "lvboot" created.

~# lvcreate -L22G -nlvroot vg0
  Logical volume "lvroot" created.

• -l : taille du volume logique (exprimé ici en Go) ;
• -n : nom du volume logique ;
• suivi du nom du Volume Group où créer les volumes logiques.

La commande lvdisplay nous permet de voir le détail des volumes logiques (et dans quel Volume Group ils se trouvent, pertinent en cas de présence de plusieurs Volume Group :

~# lvdisplay
  --- Logical volume ---
  LV Path                /dev/vg0/lvboot
  LV Name                lvboot
  VG Name                vg0
  LV UUID                14PQ5I-te2V-248c-Ik4N-CHV8-jeKh-2q9XE1
  LV Write Access        read/write
  LV Creation host, time ubuntu, 2023-08-17 06:05:34 +0000
  LV Status              available
  # open                 0
  LV Size                1.00 GiB
  Current LE             256
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:0

  --- Logical volume ---
  LV Path                /dev/vg0/lvroot
  LV Name                lvroot
  VG Name                vg0
  LV UUID                spYmuJ-HWEf-FBPW-sS5v-Mpur-IHZw-KCyJKn
  LV Write Access        read/write
  LV Creation host, time ubuntu, 2023-08-17 06:06:39 +0000
  LV Status              available
  # open                 0
  LV Size                22.00 GiB
  Current LE             5632
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:1

J’ai nommé ici mon volume de démarrage lvboot et mon volume racine lvroot.

Le volume LUKS créé, il va nous falloir l’ouvrir :

~# cryptsetup luksOpen /dev/vg0/lvroot root-crypt
Enter passphrase for /dev/vg0/lvroot:
root@ubuntu:~#

À ce stade, le volume LUKS que j’ai ici nommé root-crypt sera accessible depuis /dev/mapper/root-crypt.

Nous effectuons enfin le montage du nouveau système de fichiers :

~# mount /dev/mapper/root-crypt /mnt

Pour effectuer notre installation, nous allons préparer un système de base avec Debootstrap, puis se placer à l’intérieur de celui-ci avec chroot pour effectuer les réglages nécessaires.

Pour pouvoir installer Debootstrap, il faudra commencer par ajouter « universe » en fin de la ligne principale du fichier /etc/apt/source.list.

Nous mettons ensuite à jour les dépôts et installons debootstrap :

apt update
apt install deboostrap

Nous installons ensuite la base de la distribution Debian Buster  dans le point de montage /mnt :

debootstrap buster /mnt

Nous passons ensuite en chroot :

cd /mnt
mount –bind /proc proc
mount –bind /sys sys
mount –bind /dev dev
mount –bind /run run

chroot .

Nous allons préparer le conteneur LUKS pour la partition /boot. Pour rappel, la partition LVM qui accueillera ce conteneur a déjà été créée. Ce conteneur sera nommé boot-crypt.

/# cryptsetup luksFormat --type luks1 /dev/vg0/lvboot

WARNING!
========
This will overwrite data on /dev/vg0/lvboot irrevocably.

Are you sure? (Type uppercase yes): YES
Enter passphrase for /dev/vg0/lvboot:
Verify passphrase:

Nous ouvrons ce conteneur :

:/# cryptsetup luksOpen /dev/vg0/lvboot boot-crypt
Enter passphrase for /dev/vg0/lvboot:

Nous créons ensuite le système de fichiers :

mkfs.ext4 /dev/mapper/boot-crypt
mke2fs 1.44.5 (15-Dec-2018)
ext2fs_check_if_mount: Can't check if filesystem is mounted due to missing mtab file while determining whether /dev/mapper/boot-crypt is mounted.
Creating filesystem with 261632 4k blocks and 65408 inodes
Filesystem UUID: ca2caa24-ad04-4f92-ae7f-24555648a329
Superblock backups stored on blocks:
        32768, 98304, 163840, 229376

Allocating group tables: done
Writing inode tables: done
Creating journal (4096 blocks): done
Writing superblocks and filesystem accounting information: done

Le fichier crypttab est le fichier de définition des volumes cryptés utilisé pendant la séquence de démarrage. Il va contenir la correspondance entre les noms des volumes cryptés vus dans /dev, leur UUID, l’éventuel fichier de clé (pour ne pas avoir à saisir de code), et les options.

Pour remplir celui-ci, nous allons utiliser la commande blkid avec un filtrage grep et envoyer le contenu dans le fichier crypttab, ceci pour nos deux volumes LUKS actuels : lvroot-crypt et lvboot-crypt.

blkid | grep lvroot >> /etc/crypttab

blkid | grep lvboot >> /etc/crypttab

Nous nous retrouverons avec un fichier crypttab contenant :

# <target name> <source device>         <key file>      <options>
/dev/mapper/vg0-lvroot: UUID="cc6e3d92-804c-462c-b479-b9e12f71dded" TYPE="crypto_LUKS"
/dev/mapper/vg0-lvboot: UUID="8c7557b5-caab-4f0c-9df4-1a050209b872" TYPE="crypto_LUKS"

qu‘il nous faudra remplacer par :

# <target name> <source device>         <key file>      <options>
root-crypt  UUID=cc6e3d92-804c-462c-b479-b9e12f71dded       none    luks
boot-crypt  UUID=8c7557b5-caab-4f0c-9df4-1a050209b872       none    luks

Nous complétons maintenant notre fichier fstab :

nano /etc/fstab

# UNCONFIGURED FSTAB FOR BASE SYSTEM
/dev/mapper/root-crypt  /        ext4    defaults,rw     0       1
/dev/mapper/boot-crypt  /boot    ext4    defaults,rw     0       1

Nous lançons ensuite la commande :

mount -a

Ceci nous permet de monter le volume /boot (root étant déjà monté) et du coup de vérifier qu’il n’y a pas d’erreurs. L’appel à la commande mount devra présenter /boot monté s‘il n’y a pas d’erreurs.

L’étape suivante sera l’installation d’un noyau.

Commençons par rechercher ceux disponibles dans les dépôts :

apt-cache search linux-image

J’ai choisi dans mon cas de figure le noyau linux-image-4.19.0-20-amd64-unsigned, n’utilisant pas Secureboot, et ne souhaitant pas devoir utiliser des modules signés.

apt install linux-image-4.19.0-20-amd64-unsigned

Il va nous falloir maintenant installer le chargeur d’amorçage GRUB.

Nous commençons par créer le dossier /boot/efi sur lequel devra pointer la partition ESP :

mkdir /boot/efi

Nous ajoutons l’entrée suivante dans le fstab pour la partition ESP (qui est en fait une partition FAT32) :

/dev/sda1  /boot/efi   vfat    rw     0       1

Suivi de :

mount -a

Nous installons ensuite GRUB proprement dit :

apt install grub-efi

Pour que GRUB gère nos volumes chiffrés, il va nous falloir ajouter la ligne suivante dans le fichier /etc/default/grub :

GRUB_ENABLE_CRYPTODISK=y

GRUB doit connaître l’UUID du volume racine.

Nous ajoutons celui-ci dans le fichier avec le même principe que pour le fichier crypttab :

# blkid | grep root-crypt >> /etc/default/grub

Nous modifions la ligne ajoutée :

/dev/mapper/root-crypt: UUID="799c1cc5-5c91-41d0-8a21-b315bda934a6" TYPE="ext4"

par :

GRUB_CMDLINE="cryptdevice=UUID=799c1cc5-5c91-41d0-8a21-b315bda934a6:luks"

Nous appliquons ensuite la configuration GRUB :

update-grub

suivi de :

grub-install

Il nous reste à finaliser les réglages réseau en modifiant les fichiers /etc/network/interfaces et /etc/resolv.conf.

Vous pouvez afficher les différentes cartes réseau vues par le système avec la commande :

ip a

L’utilisation de NetworkManager (qui aurait dû être installé depuis le chroot) simplifie la gestion réseau, que vous devriez un minimum maîtriser si vous effectuez une installation en ligne de commande.

La configuration se fait par l’installation du paquet locales :

apt install locales

qu’il est nécessaire de paramétrer :

dpkg-reconfigure locales

Ceci effectué et pour que les changements soient pris en compte, la session doit être fermée et réouverte.

Finalement, une synchronisation des paquets peut être utile :

apt update

La mise à jour du fuseau horaire se fera en reconfigurant tzdata :

dpkg-reconfigure tzdata

L’installation par debootstrap n’installe pas les dépôts de mises à jours (buster-updates et debian-security dans notre cas de figure). Il faudra les ajouter à la main puis effectuer un apt update suivi d’un apt-upgrade.

Commençons par créer un dossier pour les clés :

mkdir /etc/keys

Nous créons le fichier proprement dit :

~#/ dd if=/dev/urandom of=/etc/keys/boot.key bs=1024 count=4
4+0 enregistrements lus
4+0 enregistrements écrits
4096 octets (4,1 kB, 4,0 KiB) copiés, 0,00046406 s, 8,8 MB/s

Nous affectons les bons droits au fichier :

~#/ chmod 0400 /etc/keys/boot.key

Lecture seule pour root, et aucun accès pour les autres utilisateurs.

Nous ajoutons ensuite la clé au conteneur LUKS :

~#/ cryptsetup luksAddKey /dev/vg0/lvboot /etc/keys/boot.key
Entrez une phrase secrète existante :

À ce stade, le conteneur est montable soit avec le code soit en passant le fichier .key en paramètre.

Dans le fichier /etc/crypttab, il va falloir remplacer :

boot-crypt      UUID=8c7557b5-caab-4f0c-9df4-1a050209b872       none    luks

par :

boot-crypt      UUID=8c7557b5-caab-4f0c-9df4-1a050209b872       /etc/keys/boot.key    luks

Au redémarrage, la clé pour boot-crypt sera demandée au niveau de GRUB et celle pour root-crypt sera demandée ensuite, mais le système ne redemandera pas la clé pour /boot.

Une fois la clé intégrée au volume LUKS, nous allons utiliser le système de hook d’initramfs pour y intégrer la clé.

Cela s’effectue en créant un fichier /etc/initramfs-tools/hooks/keyfile :

#!/bin/sh
cp /etc/keys/boot.key "${DESTDIR}"

Nous lui affectons les droits d’exécution :

~# chmod +x /etc/initramfs-tools/hooks/keyfile

Ceci va à chaque création/modification de/d’un initramfs y intégrer le fichier boot.key.

Nous modifions le fichier crypttab en conséquence en remplaçant :

root-crypt     UUID=2a2cfaca-97e6-4047-b610-d78ec05c094c       none    luks

par :

root-crypt     UUID=2a2cfaca-97e6-4047-b610-d78ec05c094c       /boot.key    luks,keyscript=/bin/cat

Ceci permettra, dans l’initramfs, de passer le fichier boot.key en paramètre à LUKS par le biais de cat.

Nous mettons à jour l’initramfs :

update-initramfs -u

Au redémarrage, la clé ne sera demandée qu’au niveau de GRUB.