Puis-je désactiver le cryptage intégral du disque?

41

J'ai récemment installé Ubuntu 12.10 et il nécessite un mot de passe pour démarrer (je l'ai installé avec un système de fichiers crypté).

Dois-je réinstaller pour passer à un système de fichiers standard non chiffré?

Zzealdor
la source
Avez-vous chiffré l'intégralité de l'installation Ubuntu ou simplement votre répertoire personnel?
Flimm le
J'ai chiffré pendant l'installation, donc je devine toute l'installation.
Zzealdor
3
Je suis un nouvel utilisateur, donc je ne sais pas comment ça marche sous Linux (j'en ai marre de Microsoft!)
Zzealdor
@Rinzwind Probablement pas. Cette méthode (ecryptfs) crypte le répertoire de base et ne nécessite pas de mot de passe supplémentaire; le mot de passe de connexion est utilisé.
Jan
1
@ user163872: Les nouvelles versions d'Ubuntu (12 et 13) sont très lentes sur les anciens ordinateurs tels que les netbooks. Vous devez installer Lubuntu, conçu pour la vitesse et fonctionnant très vite sur les ordinateurs les plus anciens ou les plus lents, même avec une mémoire vive (RAM) réduite (512 Mo). Lubuntu est presque identique à Ubuntu normal - seuls le bureau / les menus sont un peu différents. Mais tout ce qui fonctionne sur Ubuntu normal fonctionnera également à Lubuntu.
lara

Réponses:

22

Si Ubuntu demande une phrase secrète de cryptage lors du démarrage (c'est-à-dire sur la console de texte avant l'affichage de l'écran de connexion), cela indique qu'une méthode de cryptage intégral du disque a été utilisée. (Il existe plusieurs façons de procéder, mais la réponse reste générale.) Le chiffrement est géré par une couche logicielle supplémentaire située entre le système de fichiers et le disque dur physique, et non par le système de fichiers lui-même.

Il n'y a pas de méthode ou d'outil simple pour annuler cela. Avec quelques connaissances sur le fonctionnement des systèmes Linux, cela peut être fait. Vous devez déplacer l'ensemble du système de fichiers (ou tous les fichiers) vers une autre partition (avec suffisamment d'espace libre) ou un disque dur externe. Ensuite, supprimez le conteneur chiffré et recréez le système de fichiers sans chiffrement. Enfin, assurez-vous que le nouveau système de fichiers est correctement reconnu par le chargeur de démarrage et mount -aavant de redémarrer.

Si possible, évitez cette procédure fastidieuse et sujette aux erreurs. Il suffit de faire une nouvelle installation. Pour les nouveaux utilisateurs, c'est l'option la plus rapide et la plus sûre.

PS: Il est probable que vous puissiez modifier la phrase secrète de cryptage, éventuellement en une chaîne vide. Ensuite, le déchiffrement ne nécessite que d'appuyer sur Entrée. Peut-être que vous pouvez aller plus loin et supprimer l’invite de mot de passe complexe (maintenant inutile). Cependant, cela ne désactive pas le cryptage. Les données seraient toujours cryptées bien que le cryptage serait inutile puisque la clé peut être devinée trivialement.

Jan
la source
3
En théorie, ne devriez-vous pas pouvoir faire quelque chose comme "dd if = / dev / mapper / sda5_crypt of = / dev / sda5 bs = 32M"?
Roy
@Roy, je pense que cela fonctionnera si et seulement si les conditions suivantes sont vraies: 1. ddet les pilotes sous-jacents n'écrivent pas avant d'avoir fini de lire chaque bloc (il existe probablement des drapeaux et des paramètres permettant de garantir cela) 2. la lecture / écriture les blocs ne chevauchent pas les bords des blocs de cryptage (peuvent être vérifiés, peuvent impliquer des calculs) 3. les informations d'en-tête importantes nécessaires au décryptage ne sont pas écrasées avant la fin (vérifiez le format de cryptage sous-jacent, éventuellement de bout en bout). Je pense que c'est possible mais qu'il faudrait une configuration et une analyse plus soigneuses.
fuzzyTew
20

Ci-dessous, c'est ma solution qui a fonctionné. N'oubliez pas que je ne suis pas un spécialiste Linux, ce n'est donc peut-être pas la meilleure solution. Impossible de trouver un meilleur de toute façon.

Migration de l'installation FDE vers une partition non chiffrée

NOTE : Chaque fois que je dis, je veux dire

/dev/sda1 - boot partition
/dev/sda5 - encrypted partition
/dev/sda3 - clean non-encrypted EXT4 partition
/dev/sda2 - my newly created swap partition

Copier des données à partir d'un système de fichiers racine chiffré

Démarrez à partir d'un CD live. J'ai utilisé ISO de bureau Ubuntu 13.10 32 bits.

Montez votre partition:

sudo cryptsetup luksOpen /dev/sda5 crypt1

Copiez vos données source sur la partition de destination et enregistrez le pd dd en variable pid:

sudo dd if=/dev/ubuntu-vg/root of=/dev/sda3 bs=1M & pid=$!

Cela envoie une requête ping à chaque deuxième processus dd avec le signal USR1 et le statut des résultats dd:

while sudo kill -USR $pid; do sleep 1; done

Alternative à la surveillance DD

Si vous n'aimez pas la méthode 'while while' ci-dessus, vous pouvez utiliser watch. Ouvrez une fenêtre de terminal différente et obtenez le PID:

pgrep -l '^dd$' | awk '{ print $1 }'

Remplacez par votre identifiant de processus:

watch kill -USR1 <pid>

Vous devriez voir une sortie dans votre terminal dd chaque 2s.

Configuration du nouveau système de fichiers racine et des nouvelles partitions

Quand c'est fait, vous pouvez monter votre partition non-encrpytée pour voir si tout va bien:

sudo mount /dev/sda3 /mnt

Après cela démontez votre partition:

sudo umount /dev/sda3

Libérer la partition cryptée:

sudo cryptsetup luksClose /dev/sda5

Run gparted. Supprimez votre partition LUKS (à la fois étendue et logique). Redimensionnez votre / dev / sda3 et déplacez-vous vers la gauche. Créer une partition de swap.

Remarque: le déplacement de votre / dev / sda3 à gauche peut prendre beaucoup de temps. Pour moi, cela a pris 30 minutes sur une partition de 120 Go et un lecteur SSD. Si vous avez 500 Go + disque dur, préparez-vous à attendre quelques heures. Vous voudrez peut-être créer un swap avant votre partition au lieu de déplacer votre / dev / sda3.

Créez un nouveau système de fichiers swap sur votre partition swap:

sudo mkswap /dev/sda2 

et stocker quelque part le UUID.

Obtenez votre UUID de partition root:

sudo blkid /dev/sda3

Modifier le fstab:

sudo nano /etc/fstab

Supprimer ou commenter les lignes overlayfs et tmpfs.

Ajouter une ligne en remplaçant par blkid result:

UUID=<uuid_root> /  ext4 errors=remount-ro 0 1
UUID=<uuid_swap> none swap sw 0 0

Effacer le fichier:

rm /etc/crypttab

Mettez à jour votre initramfs pour éviter les erreurs telles que "cryptsetup: evms_activate n'est pas disponible":

sudo -i
mount /dev/sda3 /mnt
mount -t proc none /mnt/proc
mount -o bind /sys /mnt/sys
mount -o bind /dev /mnt/dev
mount /dev/sda1 /mnt/boot
chroot /mnt /bin/bash
apt-get remove --purge cryptsetup
update-initramfs -u -k all

Notes finales et dépannage

Cela a fonctionné pour moi, mais il y a des chances pour que faire ci-dessus étape par étape ne fonctionne pas pour vous. Avant de comprendre la méthode update-initramfs, je réinstallais le noyau plusieurs fois et modifiais également grub. Cependant, cela ne devrait pas être un cas pour vous. Rappelez - vous que ci - dessus instructions peuvent supprimer vos données, soyez donc prudent et faire BACKUP , AVANT de procéder que.

Juste au cas où vous auriez des problèmes avec le noyau (chrooté et / boot monté):

uname -r
sudo apt-get install --reinstall linux-image-3.X.Y-ZZ-generic

Bien sûr, remplacez linux-image-3.XY-ZZ par la date de noyau de votreame.

ou GRUB (hors chroot):

sudo add-apt-repository ppa:yannubuntu/boot-repair && sudo apt-get update
sudo apt-get install -y boot-repair && (boot-repair &)

Plus de détails: https://help.ubuntu.com/community/Boot-Repair

Bonne chance

NeverEndingQueue
la source
1
Je pense que vous devez remplacer /etc/initramfs-tools/conf.d/resumemanuellement l’UUID de la partition de swap et je vous recommande de copier le contenu du système de fichiers avec cp -aou rsync -acomme cela serait plus rapide en général et plus sûr pour les SSD.
LiveWireBT
Merci de rendre mon élaboration plus conviviale. Je n'ai pas fait le changement de CV, j'avais aussi peur d'utiliser cp ou rsync, je pensais que dd (copie brute d'un appareil à l'autre) était l'outil approprié pour de telles tâches. Je faisais cela sur VM, mais l'image a été placée sur SSD. Pouvez-vous élaborer le: "plus sûr pour les SSD" s'il vous plaît?
NeverEndingQueue
Utiliser des ddcopies de toute la partition, même de blocs qui devraient être vides, ce qui provoque des écritures inutiles sur le SSD (et sur certains, cela nuit même à l'écriture de performances sur presque toutes les cellules). Il y a quelques années, d'autres personnes et moi-même avons également découvert que copier ddet activer TRIM (option de suppression EXT4) obligerait TRIM à supprimer les blocs qu'il pense vides et à vous laisser avec une installation défectueuse après quelques heures.
LiveWireBT
Dans la première méthode de surveillance devrait être USR1 au lieu de USR. Je sais que c'est évident, mais peut être un problème pour les débutants comme moi;)
goodfellow
9

Au cas où il serait bon de conserver le cryptage, mais pour désactiver l'invite de phrase secrète, une approche beaucoup plus simple consiste à définir un mot de passe trivial, tel que "mot de passe", puis à enregistrer ce mot de passe trivial dans initramfs en texte clair. Désactivez le mot de passe de chiffrement LUKS .

Essentiellement, ajoutez un script hook qui ajoute à son tour un "keyscript" aux initramfs. Habituellement, ces scripts sont utilisés pour obtenir le mot de passe via Bluetooth, à partir d'une clé USB, etc., mais dans ce cas, il suffit d'imprimer le mot de passe trivial.

Richard A
la source