7.2. Le montage des volumes chiffrés

If you created encrypted volumes during the installation and assigned them mount points, you will be asked to enter the passphrase for each of these volumes during the boot.

Pour les partitions chiffrées avec dm-crypt, l'invite pendant l'amorçage sera :

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

Le mot part sur la première ligne de l'invite est le nom de la partition, par exemple, sda2 ou md0. Vous vous demandez probablement pour quel volume vous saisissez la phrase secrète. Est-ce pour /home, pour /var ? Bien sûr, si vous n'avez chiffré qu'un seul volume, c'est facile et vous n'avez qu'à saisir la phrase utilisée. Si vous avez chiffré plusieurs volumes, les notes que vous avez prises pendant l'installation (étape Section 6.3.3.6, « Configuration des volumes chiffrés ») vous seront utiles. Si vous n'avez pas noté la correspondance entre part_crypt et les points de montage, vous pouvez les trouver dans les fichiers /etc/crypttab et /etc/fstab de votre nouveau système.

L'invite peut être légèrement différente quand un système de fichiers racine chiffré est monté. Cela dépend du type d'« initramfs » qui a servi à créer l'« initrd » utilisé pour amorcer le système. Voici par exemple l'invite pour un initrd créé avec initramfs-tools :

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Quand vous saisissez la phrase, aucun caractère (même pas l'astérisque) n'est montré. Si vous faites une erreur, vous aurez deux possibilités de correction. Après la troisième tentative, le processus de démarrage sautera ce volume et continuera avec les autres volumes. Veuillez consulter la Section 7.2.1, « En cas de problèmes » pour d'autres informations.

Une fois toutes les phrases saisies, le processus de démarrage se poursuit normalement.

7.2.1. En cas de problèmes

Quand vous n'avez pas pu monter certains volumes à cause d'une mauvaise phrase secrète, vous devez les monter après le démarrage. Il y a plusieurs cas.

  • Le premier cas concerne la partition racine. Si elle n'est pas montée correctement, le processus de démarrage s'arrête et vous devez réamorcer la machine.

  • The easiest case is for encrypted volumes holding data like /home or /srv. You can simply mount them manually after the boot.

    However for dm-crypt this is a bit tricky. First you need to register the volumes with device mapper by running:

    # /etc/init.d/cryptdisks start
    

    This will scan all volumes mentioned in /etc/crypttab and will create appropriate devices under the /dev directory after entering the correct passphrases. (Already registered volumes will be skipped, so you can repeat this command several times without worrying.) After successful registration you can simply mount the volumes the usual way:

    # mount /mount_point
    

  • Quand des volumes contenant des systèmes de fichiers non critiques (/usr ou /var) n'ont pas été montés, le système doit s'amorcer malgré tout et vous pouvez monter ces volumes comme dans le cas précédent. Mais vous aurez besoin de (re)lancer les services qui fonctionnent habituellement car il est probable qu'ils n'auront pas été lancés. Le plus simple est de réamorcer l'ordinateur.