{"id":583,"date":"2011-08-27T18:18:08","date_gmt":"2011-08-27T16:18:08","guid":{"rendered":"http:\/\/stephane.weblog.starend.org\/?p=583"},"modified":"2011-08-27T18:18:08","modified_gmt":"2011-08-27T16:18:08","slug":"changer-de-mot-de-passe-avec-cryptsetup","status":"publish","type":"post","link":"http:\/\/stephane.weblog.starend.org\/?p=583","title":{"rendered":"Changer de mot de passe avec cryptsetup"},"content":{"rendered":"

J’utilise pour certaines de mes sauvegardes des containers (fichiers) chiffr\u00e9s avec cryptsetup<\/em> et ensuite format\u00e9s en ext3<\/em> ou vfat<\/em>. Jusque l\u00e0, rien que du classique si ce n’est qu’il faut au pr\u00e9alable faire reconna\u00eetre ce fichier ‘normal’ en question comme un fichier de type ‘bloc’ via la commande losetup<\/em>…<\/p>\n

LOOP=$(sudo losetup -f)\nsudo losetup $LOOP space\/$CONTAINER.dsk<\/pre>\n
L\u00e0 o\u00f9 cela devient plus complexe, c’est que le tout se trouve sur une machine \u00e0 l’autre bout de la France (et potentiellement du monde) et est donc exploit\u00e9 via sshfs<\/em>, donc comme un partage r\u00e9seau en quelque sorte.<\/p>\n
sshfs user@machine:\/space space -o allow_other<\/pre>\n
<\/p>\n
Plut\u00f4t que de g\u00e9rer les containers chiffr\u00e9s directement sur la machine distante, et donc de risquer encore plus une compromission des cl\u00e9s de chiffrement des sauvegardes, je les g\u00e8re de chez moi via sshfs<\/em>. Et c’est lent, tr\u00e8s lent…<\/p>\n
Lent pour cr\u00e9er le fichier container, mais \u00e7a on peut le faire sur la machine distante avec la commande dd<\/em> :<\/p>\n
ssh user@machine dd if=\/dev\/zero of=\/space\/$CONTAINER.dsk bs=1M count=4900<\/pre>\n
Tr\u00e8s lent aussi pour ensuite formater le container une fois celui-ci mont\u00e9\/chiffr\u00e9 (losetup\/cryptsetup) :<\/p>\n
sudo cryptsetup luksOpen $LOOP $CONTAINER --key-file $CONTAINER.passwd\nsudo mkfs.ext3 \/dev\/mapper\/$CONTAINER<\/pre>\n
Plut\u00f4t que de passer mon temps (et celui de ma machine) \u00e0 formater via sshfs<\/em> mes containers, j’en fait un appel\u00e9 model.dsk<\/strong> . Ensuite, il me reste \u00e0 le duplique sous le nom d’une container puis de modifier la cl\u00e9 de chiffrement associ\u00e9e \u00e0 ce container (et oui, elles sont diff\u00e9rentes chez moi ;-).<\/p>\n
La duplication est une copie sur la machine distante :<\/p>\n
cp model.dsk $CONTAINER.dsk<\/pre>\n
Et le changement de mot de passe se fait avec ces commandes :<\/p>\n
LOOP=$(sudo losetup -f)\nsudo losetup $LOOP space\/$CONTAINER.dsk\nsudo cryptsetup luksAddKey --key-file model.passwd --key-slot 1 $LOOP $CONTAINER.passwd\nsudo cryptsetup luksKillSlot --key-file $CONTAINER.passwd $LOOP 0\nsleep 5\nsudo losetup -d $LOOP<\/pre>\n
Bon, je rajoute une difficult\u00e9, pour l’exercice de style, positionner la cl\u00e9 qui m’int\u00e9resse sur le slot 0… qui est d\u00e9j\u00e0 occup\u00e9 :<\/p>\n
LOOP=$(sudo losetup -f)\nsudo losetup $LOOP space\/$CONTAINER.dsk\nsudo cryptsetup luksAddKey --key-file model.passwd --key-slot 1 $LOOP temp.passwd\nsudo cryptsetup luksKillSlot --key-file temp.passwd $LOOP 0\nsudo cryptsetup luksAddKey --key-file temp.passwd --key-slot 0 $LOOP $CONTAINER.passwd\nsudo cryptsetup luksKillSlot --key-file $CONTAINER.passwd $LOOP 1\nsleep 5\nsudo losetup -d $LOOP<\/pre>\n
Et voila :-)<\/p>\n","protected":false},"excerpt":{"rendered":"
J’utilise pour certaines de mes sauvegardes des containers (fichiers) chiffr\u00e9s avec cryptsetup et ensuite format\u00e9s en ext3 ou vfat. Jusque l\u00e0, rien que du classique si ce n’est qu’il faut au pr\u00e9alable faire reconna\u00eetre ce fichier ‘normal’ en question comme un fichier de type ‘bloc’ via la commande losetup… LOOP=$(sudo losetup -f) sudo losetup $LOOP … Continuer la lecture de Changer de mot de passe avec cryptsetup<\/span> →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[42,10,11],"tags":[135,245,246],"_links":{"self":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/583"}],"collection":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=583"}],"version-history":[{"count":0,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=\/wp\/v2\/posts\/583\/revisions"}],"wp:attachment":[{"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=583"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=583"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/stephane.weblog.starend.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=583"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}