Puis-je désactiver le chiffrement intégral du disque?

35

J'ai récemment installé Ubuntu 12.10 et il faut une phrase secrète pour démarrer (je l'ai installé avec un système de fichiers crypté).

Dois-je réinstaller pour passer à un système de fichiers non crypté standard?

    
posée Zzealdor 19.01.2013 - 21:42
la source

3 réponses

19

Si Ubuntu demande une phrase secrète de chiffrement lors du démarrage (c'est-à-dire sur la console texte avant que l'écran de connexion ne s'affiche), cela indique qu'une méthode de chiffrement de disque complet a été utilisée. (Il y a plus d'une façon de faire cela, mais je vais garder la réponse générale.) Le cryptage est géré par une couche logicielle supplémentaire entre le système de fichiers et le disque dur physique, pas le système de fichiers lui-même.

Il n’existe pas de méthode ou d’outil simple pour annuler cela. Avec quelques connaissances sur le fonctionnement des systèmes Linux, cela peut être fait. Vous devez déplacer tout le système de fichiers (ou tous les fichiers) vers une autre partition (avec suffisamment d’espace libre) ou un disque dur externe. Supprimez ensuite le conteneur chiffré et recréez le système de fichiers sans chiffrement. Enfin, assurez-vous que le nouveau système de fichiers est correctement reconnu par le chargeur de démarrage et mount -a avant le redémarrage.

Si possible, il est préférable d'éviter cette procédure fastidieuse et sujette aux erreurs. Il suffit de faire une nouvelle installation. Pour un nouvel utilisateur, c'est l'option la plus rapide et la plus sûre.

PS: Il y a des chances que vous puissiez changer la phrase secrète de chiffrement, éventuellement en une chaîne vide. Le décryptage nécessite alors d'appuyer sur Entrée. Peut-être que vous pouvez aller plus loin et supprimer le mot de passe de phrase (maintenant inutile). Cependant, cela ne désactive pas le cryptage. Les données seraient toujours cryptées bien que le cryptage soit inutile puisque la clé peut être facilement devinée.

    
réponse donnée Jan 20.01.2013 - 00:22
la source
18

Ci-dessous, c'est ma solution qui a fonctionné. Gardez à l'esprit que je ne suis pas spécialiste de Linux, ce n'est peut-être pas la meilleure solution. Impossible d'en trouver un de toute façon.

Migration de l’installation FDE vers une partition non cryptée

NOTE : chaque fois que je dis, je veux dire

/dev/sda1 - boot partition
/dev/sda5 - encrypted partition
/dev/sda3 - clean non-encrypted EXT4 partition
/dev/sda2 - my newly created swap partition

Copie des données du système de fichiers racine crypté

Démarrer à partir d’un CD live. J'ai utilisé Ubuntu 13.10 32bit desktop ISO.

Montez votre partition:

sudo cryptsetup luksOpen /dev/sda5 crypt1

Copiez vos données source dans la partition de destination et enregistrez dd PID dans la variable pid:

sudo dd if=/dev/ubuntu-vg/root of=/dev/sda3 bs=1M & pid=$!

Cela enverra un ping à chaque processus dd avec le signal USR1 et l'état des résultats dd:

while sudo kill -USR $pid; do sleep 1; done

Alternative à la surveillance DD

Si vous n'aimez pas ci-dessus "while method", vous pouvez utiliser watch. Ouvrez une autre fenêtre de terminal et obtenez le PID:

pgrep -l '^dd$' | awk '{ print  }'

Remplacez par votre identifiant de processus:

watch kill -USR1 <pid>

Vous devriez voir la sortie dans votre terminal dd chaque 2s.

Configuration du nouveau système de fichiers racine et des nouvelles partitions

Lorsque cela est fait, vous pouvez monter votre partition non-crpytée pour voir si elle est correcte:

sudo mount /dev/sda3 /mnt

Après cela, démontez votre partition:

sudo umount /dev/sda3

Libérer la partition de cryptage:

sudo cryptsetup luksClose /dev/sda5

Exécuter gparted. Supprimez votre partition LUKS (à la fois étendue et logique). Redimensionnez votre / dev / sda3 et déplacez-vous vers la gauche. Créer une partition de swap.

Remarque: Le déplacement de / dev / sda3 vers la gauche peut prendre du temps. Pour moi, il a fallu 30 minutes sur une partition de 120 Go et un disque SSD. Si vous avez 500 Go + disque dur soyez prêt pour quelques heures d'attente. Vous voudrez peut-être créer un échange avant votre partition au lieu de déplacer votre / dev / sda3.

Créez un nouveau système de fichiers d'échange sur votre partition de swap:

sudo mkswap /dev/sda2 

et stocker quelque part l’UUID.

Obtenez votre partition racine UUID:

sudo blkid /dev/sda3

Modifier fstab:

sudo nano /etc/fstab

Supprimer ou commenter les lignes overlayfs et tmpfs.

Ajouter une ligne en remplaçant par blkid result:

UUID=<uuid_root> /  ext4 errors=remount-ro 0 1
UUID=<uuid_swap> none swap sw 0 0

Supprimer le fichier:

rm /etc/crypttab

Mettez à jour vos initramfs pour éviter les erreurs telles que "cryptsetup: evms_activate n'est pas disponible":

sudo -i
mount /dev/sda3 /mnt
mount -t proc none /mnt/proc
mount -o bind /sys /mnt/sys
mount -o bind /dev /mnt/dev
mount /dev/sda1 /mnt/boot
chroot /mnt /bin/bash
apt-get remove --purge cryptsetup
update-initramfs -u -k all

Notes finales et dépannage

Cela a fonctionné pour moi, mais il y a des chances pour que le faire ci-dessus étape par étape ne fonctionne pas pour vous. Avant de découvrir la méthode update-initramfs, je réinstallais le noyau quelques fois et modifiais également grub. Cependant, cela ne devrait pas être un cas pour vous. Rappelez-vous que les instructions ci-dessus peuvent supprimer vos données. Faites donc attention et faites SAUVEGARDE , AVANT de poursuivre cela.

Juste au cas où vous auriez des problèmes de noyau (chrootés et / boot):

uname -r
sudo apt-get install --reinstall linux-image-3.X.Y-ZZ-generic

Bien sûr, remplacez linux-image-3.X.Y-ZZ par la date du noyau depuis uname.

ou GRUB (hors chroot):

sudo add-apt-repository ppa:yannubuntu/boot-repair && sudo apt-get update
sudo apt-get install -y boot-repair && (boot-repair &)

Plus de détails: lien

Bonne chance

    
réponse donnée NeverEndingQueue 29.01.2014 - 21:10
la source
8

S'il est possible de conserver le cryptage, mais pour désactiver l'invite de phrase secrète, une approche beaucoup plus simple consiste simplement à définir un mot de passe trivial tel que "password", puis à enregistrer ce mot de passe dans initramfs en clair. Désactiver le mot de passe de cryptage LUKS .

Ajoutez essentiellement un script hook qui à son tour ajoute un "script" à initramfs. Habituellement, ces scripts sont utilisés pour obtenir le mot de passe via Bluetooth, depuis une clé USB, etc., mais dans ce cas, il suffit d’imprimer le mot de passe trivial.

    
réponse donnée Richard A 16.06.2014 - 13:39
la source

Lire d'autres questions sur les étiquettes