Lors de mon précédent billet, je vous ai parlé de Déjà Dup, logiciel de sauvegarde relativement simple à utiliser, et qui permet de restaurer facilement ses données. Je vais ici vous exposer ma méthode de sauvegarde sur un disque externe chiffré.
Pourquoi chiffrer?
Un ordinateur portable se vole facilement. Si c’est malheureusement le cas un jour avec le mien, je préfère mettre mes données personnelles à l’abri, que se soit les photos de familles, les documents administratifs ou encore les mots de passes enregistrés dans mon navigateur web. La puissance de calcul des machines actuelles permet maintenant de chiffrer l’ensemble d’un disque (ou d’une partition) sans impacter notablement les performances, j’ai donc choisi de franchir le pas.
Pour mon disque de sauvegarde, c’est un peu la même chose, je ne voudrais pas que mes données puissent tomber entre n’importe quelles mains en cas de perte ou de vol, même si en théorie il n’est pas sensé bouger de chez moi.
Mise en place du chiffrement
Avec Archlinux, les outils pour chiffrer un disque ou une partition sont installés de base, il me semble que c’est le cas avec les distributions Linux les plus populaires. Branchez le disque dur externe; s’il contient des données, elles seront effacées.
La méthode clic & see
Afin de crypter le disque externe, on peux utiliser la méthode “il clique à gauche, il clique à droite” grâce au fabuleux outil de disque intégré à gnome, lancez le : Applications > Accessoires > utilitaire de disque. Dans la colonne de gauche sélectionnez votre disque externe, les différentes options apparaissent alors dans la partie droite de la fenêtre comme sur la capture ci-dessous.
Cliquez ensuite sur le boutons Créer une nouvelle partition, une boîte de dialogue comme ci-dessous apparait. Choisissez le type de partition (pour ma part j’ai choisi Ext4), son nom (ici Sauvegarde) et enfin cochez les cases Devenir Propriétaire du système de fichier et Chiffrer le périphérique correspondant
Une nouvelle boite de dialogue apparaît vous demandant la phrase de passe qui vous permettra de déverrouiller la partition. Si vous ne voulez pas avoir à saisir la phrase à chaque fois que vous connecterez votre disque, cochez l’option se souvenir pour toujours, puis validez.
Une fois terminée, notre partition ext4 est bien créée et l’utilitaire de disque affiche ceci :
La méthode en ligne de commande
Si la méthode ci-dessus est relativement simple, elle a cependant un inconvénient : l’utilitaire utilise la méthode de chiffrement par défaut, qui n’est pas la plus sécurisée.
Avant toute chose, assurez vous que le disque ne soir pas monté dans Gnome, sans quoi rien ne fonctionnera. Si votre disque ne contient aucune partition (dans le cas d’un disque neuf par exemple) créez en une avec votre outil favori (gparted, cfdisk etc.)
Créer le conteneur chiffré
Ouvrez votre terminal favori, et passez en mode super utilisateur. créez votre partition chiffrée à l’aide de la commande
cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb1
-c aes-xts-plain correspond à la méthode de chiffrement, c’est une
méthode plus sécurisée que celle de base, mais sans pertes notable au
niveau de performances$$, -s 512 défini la taille de la clé, ici 512 bits.
Répondez YES à la question “êtes vous sûr…” et enfin tapez la phrase de passe qui va protéger votre clé de déverrouillage de la partition.
le formater en ext4
Maintenant que notre conteneur chiffré est créé, il faut le formater. Mais il faut d’abord déverrouiller la partition chiffrée afin de la rendre accessible par le système :
cryptsetup luksOpen /dev/sdb1 sauvegarde
Après avoir saisi votre phrase de passe, la partition en mode
déverrouillée sera alors accessible par le périphérique
/dev/mapper/sauvegarde, il ne reste plus qu’a formater :
mkfs.ext4 /dev/mapper/sauvegarde -L sauvegarde -m 1
-L sauvegarde permet de donner un nom à notre partition et -m 1
permet de réserver seulement 1% de l’espace au super-utilisateur (au
lieu de 5).
Rendre l’utilisateur propriétaire du système de fichiers
Pour l’instant seul le super-utilisateur peut intervenir dessus, nous allons donc rendre l’utilisateur normal de la machine propriétaire de celui-ci. Commencez par monter la partition fraîchement créée :
mkdir /media/sauvegarde && mount /dev/mapper/sauvegarde /media/sauvegarde
Ensuite, définissez le nouveau propriétaire de la partition :
chown ephase:users /media/sauvegarde
Bien entendu, remplacez ephase par votre utilisateur et users par le groupe
Il ne reste plus qu’a démonter la partition ainsi créée :
umount /media/sauvegarde/
et supprimer le répertoire /mnt/sauvegarde :
rm -rf /media/sauvegarde
Vous pouvez quitter le terminal.
tester la configuration
Débranchez et rebranchez votre disque , la phrase de passe vous sera demandée pour ouvrir le disque comme dans l’exemple ci-dessous. (à moins que vous ayez choisi d’enregistrer le mot de passe pour toujours si vous avez utilisé la méthode graphique)
Préparer le disque
Comme je vais sauvegarder plusieurs machines avec ce disque, j’ai décidé ce créer un répertoire à la racine du disque pour ma machine principale comme ci-dessous.
Paramétrer Déjà-Dup
Lors de mon précédent billet, je vous ai déjà parlé de l’installation de ce fabuleux logiciel, je ne reviendrai donc pas dessus sachant que c’est la version 1.9.x qui est utilisée car elle est bien mieux intégrée à Gnome 3.
Pour le lancer rien de plus simple, il suffit d’aller dans les paramètre système de gnome accessibles depuis votre menu personnel en haut à droite de l’écran. puis Sauvegarder
Au premier lancement, Déjà Dup vous propose soit de restaurer un précédente sauvegarde, soit de paramétrer celles-ci, choisissez alors le paramétrages en cliquant que Afficher seulement mes paramètres de sauvegarde.
Vous arrivez directement sur la Vue d’ensemble de Déjà Dup, qui permet d’activer/désactiver les sauvegarde automatique et de visualiser le récapitulatif de nos paramètres.
Cliquez sur Stockage afin de régler les paramètres relatifs au
stockage de vos sauvegardes. Sélectionnez le disque Sauvegarde dans la
liste Emplacement de la sauvegarde; attention de bien prendre celui
dont l’icône contient un cadenas. dans Dossier mettez l’endroit sur le
disque externe ou vous voulez stocker vos sauvegardes, ici
eph-macbook/complete. Si l’option Chiffrer les fichiers sauvegardés
est coché, décochez-la, notre disque est déjà crypté…
Dans la partie Fichiers, définissez tous les répertoires que vous voulez sauvegarder, par défaut, Déjà Dup sauvegarde l’ensemble de votre dossier personnel, pour ma part j’ai choisi de ne sauvegarder que les dossiers les plus importants. Vous pouvez aussi exclure des dossiers de la sauvegarde comme par exemple le dossier contenant le cache de navigation de Firefox.
Il ne vous reste plus qu’a choisir la fréquence de sauvegarde sans la partie Planification. Pensez d’ailleurs à activer les sauvegardes automatiques dans la Vue d’ensemble pour que cela fonctionne…
Pour lancer la première sauvegarde, rendez-vous dans la partie Vue d’ensemble, puis cliquez sur le bouton Sauvegarder maintenant.
Il suffit d’être un peu patient, la première sauvegarde est la plus longue, par la suite seul les fichiers modifiés ou ajoutés seront sauvegardés.
Conclusion
Voilà maintenant un système de sauvegarde simple, efficace et sécurisé mis en place. Mais il reste une petite faiblesse à combler. Chiffrer une partition c’est très bien, mais si malheureusement, pour une raison ou pour une autre l’entête de la partition venait à être abîmée (et ça arrive…) vos données seraient tout simplement irrécupérable. Pour se prémunir, il suffit de faire une sauvegarde ce celle-ci grâce à une commande toute simple
cryptsetup luksHeaderBackup /dev/sdb1 --header-backup-file /home/ephase/sauv_hearder.img
Remplacez /dev/sdb1 par la partition cryptée et
/home/ephase/sauv_hearder.img par l’endroit ou vous voulez
sauvegarder l’entête. Je vous conseille ensuite de la mettre en lieu
sur et bien évidemment pas sur le disque de sauvegarde lui-même.
Dans un prochain billet, vous verrez qu’il est possible de revenir facilement à une version plus ancienne d’un fichier grâce à l’intégration de Déjà Dup dans Nautilus. Bonnes sauvegardes
Quelques liens
- Test de performance des différentes méthodes de chiffrement (en anglais)
- Le site officiel de Luks (en Anglais)
- un très bon tutoriel pour chiffrer son système sur linuxpedia