1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
|
<!-- original version: 56326 -->
<sect1 id="mount-encrypted-volumes">
<title>Le montage des volumes chiffrés</title>
<para>
Si vous avez créé des volumes chiffrés et leurs points de montage pendant l'installation,
vous devrez fournir pendant le démarrage la phrase secrète pour chaque volume.
La procédure diffère légèrement pour les méthodes dm-crypt et loop-AES.
</para>
<sect2 id="mount-dm-crypt">
<title>dm-crypt</title>
<para>
Pour les partitions chiffrées avec dm-crypt, l'invite pendant l'amorçage
sera :
<informalexample><screen>
Starting early crypto disks... <replaceable>part</replaceable>_crypt(starting)
Enter LUKS passphrase:
</screen></informalexample>
Le mot <replaceable>part</replaceable> sur la première ligne de l'invite
est le nom de la partition, par exemple, sda2 ou md0. Vous vous demandez probablement
<emphasis>pour quel volume</emphasis> vous saisissez la phrase secrète.
Est-ce pour <filename>/home</filename>, pour <filename>/var</filename> ?
Bien sûr, si vous n'avez chiffré qu'un seul volume, c'est facile et vous n'avez
qu'à saisir la phrase utilisée. Si vous avez chiffré plusieurs volumes, les notes
que vous avez prises pendant l'installation (étape <xref linkend="partman-crypto"/>)
vous seront utiles. Si vous n'avez pas noté la correspondance entre
<filename><replaceable>part</replaceable>_crypt</filename> et les points de montage,
vous pouvez les trouver dans les fichiers <filename>/etc/crypttab</filename> et
<filename>/etc/fstab</filename> de votre nouveau système.
</para>
<para>
L'invite peut être légèrement différente quand un système de fichiers racine chiffré
est monté. Cela dépend du type d'<quote>initramfs</quote> qui a servi à créer
l'<quote>initrd</quote> utilisé pour amorcer le système. Voici par exemple l'invite
pour un initrd créé avec <classname>initramfs-tools</classname> :
<informalexample><screen>
Begin: Mounting <emphasis>root file system</emphasis>... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:
</screen></informalexample>
</para>
<para>
Quand vous saisissez la phrase, aucun caractère (même pas l'astérisque) n'est montré.
Si vous faites une erreur, vous aurez deux possibilités de correction.
Après la troisième tentative, le processus de démarrage
sautera ce volume et continuera avec les autres volumes. Veuillez consulter
<xref linkend="crypto-troubleshooting"/> pour d'autres informations.
</para>
<para>
Une fois toutes les phrases saisies, le processus de démarrage se poursuit
normalement.
</para>
</sect2>
<sect2 id="mount-loop-aes">
<title>loop-AES</title>
<para>
Pour les partitions chiffrées avec loop-AES, l'invite pendant l'amorçage
sera :
<informalexample><screen>
Checking loop-encrypted file systems.
Setting up /dev/loop<replaceable>X</replaceable> (/<replaceable>mountpoint</replaceable>)
Password:
</screen></informalexample>
</para><para>
Quand vous saisissez la phrase, aucun caractère (même pas l'astérisque) n'est montré.
Si vous faites une erreur, vous aurez deux possibilités de correction.
Après la troisième tentative, le processus de démarrage
sautera ce volume et continuera avec les autres volumes. Veuillez consulter
<xref linkend="crypto-troubleshooting"/> pour d'autres informations.
</para>
<para>
Une fois toutes les phrases saisies, le processus de démarrage se poursuit
normalement.
</para>
</sect2>
<sect2 id="crypto-troubleshooting">
<title>En cas de problèmes</title>
<para>
Quand vous n'avez pas pu monter certains volumes à cause d'une mauvaise
phrase secrète, vous devez les monter après le démarrage. Il y a plusieurs cas.
</para>
<itemizedlist>
<listitem><para>
Le premier cas concerne la partition racine. Si elle n'est pas montée
correctement, le processus de démarrage s'arrête et vous devez réamorcer la machine.
</para></listitem>
<listitem><para>
Le cas le plus simple concerne les volumes contenant des données comme
<filename>/home</filename> ou <filename>/srv</filename>. Vous pouvez
les monter après le démarrage. Avec loop-AES, une seule opération est nécessaire :
<informalexample><screen>
<prompt>#</prompt> <userinput>mount <replaceable>/mount_point</replaceable></userinput>
<prompt>Password:</prompt>
</screen></informalexample>
où <replaceable>/mount_point</replaceable> doit être remplacé par un répertoire
(par exemple, <filename>/home</filename>). La différence avec le montage d'une partition
ordinaire est qu'on vous demandera de saisir la phrase secrète.
</para><para>
Avec dm-crypt, c'est un peu plus compliqué. Vous devez d'abord enregistrer
les volumes avec l'application <application>device mapper</application> de cette façon :
<informalexample><screen>
<prompt>#</prompt> <userinput>/etc/init.d/cryptdisks start</userinput>
</screen></informalexample>
Tous les volumes listés dans <filename>/etc/crypttab</filename> seront examinés
et les périphériques seront créés dans le répertoire <filename>/dev</filename>
après avoir saisi les bonnes phrases de passe. Les volumes déjà enregistrés sont
ignorés et vous pouvez répéter cette commande sans souci. Quand l'enregistrement
des volumes sera terminé, vous pouvez simplement les monter de la façon habituelle :
<informalexample><screen>
<prompt>#</prompt> <userinput>mount <replaceable>/mount_point</replaceable></userinput>
</screen></informalexample>
</para></listitem>
<listitem><para>
Quand des volumes contenant des systèmes de fichiers non critiques
(<filename>/usr</filename> ou <filename>/var</filename>) n'ont pas été montés, le
système doit s'amorcer malgré tout et vous pouvez monter ces volumes
comme dans le cas précédent. Mais vous aurez besoin de (re)lancer les
services qui fonctionnent habituellement car il est probable qu'ils n'auront pas été
lancés. Le plus simple est de passer sur le premier niveau de fonctionnement
(<quote>runlevel</quote>) avec la commande :
<informalexample><screen>
<prompt>#</prompt> <userinput>init 1</userinput>
</screen></informalexample>
et en pressant les touches <keycombo> <keycap>Control</keycap><keycap>D</keycap> </keycombo>
quand le mot de passe du superutilisateur est demandé.
</para></listitem>
</itemizedlist>
</sect2>
</sect1>
|
