xieme-art/content/articles/archives/sauvegarde-sur-disque-chiffre-avec-deja-dup/index.md

Title: Sauvegarde sur disque chiffré avec Déjà Dup
Date: 2011-07-19 23:09
Category: Linux
Tags: sauvegarde, desktop
Status: published

Lors de [mon précédent
billet](/post/2011/07/09/D%C3%A9j%C3%A0-Dup-sauvegarde-restauration),
je vous ai parlé de Déjà Dup, logiciel de sauvegarde relativement simple
à utiliser, et qui permet de restaurer facilement ses données. Je vais
ici vous exposer ma méthode de sauvegarde sur un disque externe chiffré.

## Pourquoi chiffrer?

Un ordinateur portable se vole facilement. Si c'est malheureusement le
cas un jour avec le mien, je préfère mettre mes données personnelles à
l'abri, que se soit les photos de familles, les documents administratifs
ou encore les mots de passes enregistrés dans mon navigateur web. La
puissance de calcul des machines actuelles permet maintenant de chiffrer
l'ensemble d'un disque (ou d'une partition) sans impacter notablement
les performances, j'ai donc choisi de franchir le pas.

Pour mon disque de sauvegarde, c'est un peu la même chose, je ne
voudrais pas que mes données puissent tomber entre n'importe quelles
mains en cas de perte ou de vol, même si en théorie il n'est pas sensé
bouger de chez moi.

## Mise en place du chiffrement

Avec Archlinux, les outils pour chiffrer un disque ou une partition sont
installés de base, il me semble que c'est le cas avec les distributions
Linux les plus populaires. Branchez le disque dur externe; s'il
contient des données, elles seront effacées.

### La méthode clic & see

Afin de crypter le disque externe, on peux utiliser la méthode "il
clique à gauche, il clique à droite" grâce au fabuleux outil de disque
intégré à gnome, lancez le : *Applications > Accessoires > utilitaire
de disque*. Dans la colonne de gauche sélectionnez votre disque externe,
les différentes options apparaissent alors dans la partie droite de la
fenêtre comme sur la capture ci-dessous.

![L'utilitaire de disque]({attach}images/utilitaire_disque.png)

Cliquez ensuite sur le boutons *Créer une nouvelle partition*, une boîte
de dialogue comme ci-dessous apparait. Choisissez le type de partition
(pour ma part j'ai choisi Ext4), son nom (ici Sauvegarde) et enfin
cochez les cases *Devenir Propriétaire du système de fichier* et
*Chiffrer le périphérique correspondant*

![Chiffrer partition]({attach}images/crypter_partition.png)

Une nouvelle boite de dialogue apparaît vous demandant **la phrase de
passe** qui vous permettra de déverrouiller la partition. Si vous ne
voulez pas avoir à saisir la phrase à chaque fois que vous connecterez
votre disque, cochez l'option *se souvenir pour toujours*, puis
validez.

![La Passphrase ]({attach}images/paraphrase.png)

Une fois terminée, notre partition ext4 est bien créée et l'utilitaire
de disque affiche ceci :

![Notre]({attach}images/partition_chiffree.png)

### La méthode en ligne de commande

Si la méthode ci-dessus est relativement simple, elle a cependant un
inconvénient : l'utilitaire utilise la méthode de chiffrement par
défaut, qui n'est pas la plus sécurisée.

Avant toute chose, assurez vous que le disque ne soir pas monté dans
Gnome, sans quoi rien ne fonctionnera. Si votre disque ne contient
aucune partition (dans le cas d'un disque neuf par exemple) créez en
une avec votre outil favori (gparted, cfdisk etc.)

#### Créer le conteneur chiffré

Ouvrez votre terminal favori, et passez en mode super utilisateur. créez
votre partition chiffrée à l'aide de la commande

```shell
cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb1
```
`-c aes-xts-plain` correspond à la méthode de chiffrement, c'est une
méthode plus sécurisée que celle de base, mais sans pertes notable au
niveau de performances$$, `-s 512` défini la taille de la clé, ici 512
bits.

Répondez YES à la question "êtes vous sûr..." et enfin tapez la
phrase de passe qui va protéger votre clé de déverrouillage de la
partition.

#### le formater en ext4

Maintenant que notre conteneur chiffré est créé, il faut le formater. Mais il
faut d'abord déverrouiller la partition chiffrée afin de la rendre accessible
par le système :

```shell
cryptsetup luksOpen /dev/sdb1 sauvegarde
```

Après avoir saisi votre phrase de passe, la partition en mode
déverrouillée sera alors accessible par le périphérique
`/dev/mapper/sauvegarde`, il ne reste plus qu'a formater :

```shell
mkfs.ext4 /dev/mapper/sauvegarde -L sauvegarde -m 1
```

`-L sauvegarde` permet de donner un nom à notre partition et `-m 1`
permet de réserver seulement 1% de l'espace au super-utilisateur (au
lieu de 5).

#### Rendre l'utilisateur propriétaire du système de fichiers

Pour l'instant seul le super-utilisateur peut intervenir dessus, nous
allons donc rendre l'utilisateur normal de la machine propriétaire de
celui-ci. Commencez par monter la partition fraîchement créée :

```shell
mkdir /media/sauvegarde && mount /dev/mapper/sauvegarde /media/sauvegarde
```

Ensuite, définissez le nouveau propriétaire de la partition :

```shell
chown ephase:users /media/sauvegarde
```

Bien entendu, remplacez `ephase` par votre utilisateur et `users` par le
groupe

Il ne reste plus qu'a démonter la partition ainsi créée :

```shell
umount /media/sauvegarde/
```

et supprimer le répertoire /mnt/sauvegarde :

```shell
rm -rf /media/sauvegarde
```

Vous pouvez quitter le terminal.

## tester la configuration

Débranchez et rebranchez votre disque , la phrase de passe vous sera
demandée pour ouvrir le disque comme dans l'exemple ci-dessous. (à
moins que vous ayez choisi d'enregistrer le mot de passe pour toujours
si vous avez utilisé la méthode graphique)

![ouverture]({attach}images/ouverture_crypt.png)

## Préparer le disque

Comme je vais sauvegarder plusieurs machines avec ce disque, j'ai
décidé ce créer un répertoire à la racine du disque pour ma machine
principale comme ci-dessous.

![Répertoire]({attach}images/repertoire_sauv.png)

### Paramétrer Déjà-Dup

[Lors de mon précédent
billet](/post/2011/07/09/D%C3%A9j%C3%A0-Dup-sauvegarde-restauration),
je vous ai déjà parlé de l'installation de ce fabuleux logiciel, je ne
reviendrai donc pas dessus sachant que c'est la version 1.9.x qui est
utilisée car elle est bien mieux intégrée à Gnome 3.

Pour le lancer rien de plus simple, il suffit d'aller dans les
paramètre système de gnome accessibles depuis votre menu personnel en
haut à droite de l'écran. puis Sauvegarder

![Sauvegarder]({attach}images/lancer_dejadup.png)

Au premier lancement, Déjà Dup vous propose soit de restaurer un
précédente sauvegarde, soit de paramétrer celles-ci, choisissez alors le
paramétrages en cliquant que *Afficher seulement mes paramètres de
sauvegarde*.

![Premier]({attach}images/premier_lancement.png)

Vous arrivez directement sur la **Vue d'ensemble** de Déjà Dup, qui
permet d'activer/désactiver les sauvegarde automatique et de visualiser
le récapitulatif de nos paramètres.

![Écran]({attach}images/vue_ensemble.png)

Cliquez sur **Stockage** afin de régler les paramètres relatifs au
stockage de vos sauvegardes. Sélectionnez le disque Sauvegarde dans la
liste *Emplacement de la sauvegarde*; attention de bien prendre celui
dont l'icône contient un cadenas. dans Dossier mettez l'endroit sur le
disque externe ou vous voulez stocker vos sauvegardes, ici
`eph-macbook/complete`. Si l'option Chiffrer les fichiers sauvegardés
est coché, décochez-la, notre disque est déjà crypté...

![Définir]({attach}images/stockage_dejadup.png)

Dans la partie **Fichiers**, définissez tous les répertoires que vous
voulez sauvegarder, par défaut, Déjà Dup sauvegarde l'ensemble de votre
dossier personnel, pour ma part j'ai choisi de ne sauvegarder que les
dossiers les plus importants. Vous pouvez aussi exclure des dossiers de
la sauvegarde comme par exemple le dossier contenant le cache de
navigation de Firefox.

![Choix]({attach}images/fichiers.png)

Il ne vous reste plus qu'a choisir la fréquence de sauvegarde sans la
partie **Planification**. Pensez d'ailleurs à activer les sauvegardes
automatiques dans la **Vue d'ensemble** pour que cela fonctionne...

![Planifiez]({attach}images/planification.png)

Pour lancer la première sauvegarde, rendez-vous dans la partie Vue
d'ensemble, puis cliquez sur le bouton *Sauvegarder maintenant*.

![Réaliser]({attach}images/premiere_sauvegarde.png)

Il suffit d'être un peu patient, la première sauvegarde est la plus
longue, par la suite seul les fichiers modifiés ou ajoutés seront
sauvegardés.

![Première]({attach}images/sauvegarde.png)

## Conclusion

Voilà maintenant un système de sauvegarde simple, efficace et sécurisé
mis en place. Mais il reste une petite faiblesse à combler. Chiffrer une
partition c'est très bien, mais si malheureusement, pour une raison ou
pour une autre l'entête de la partition venait à être abîmée (et ça
arrive...) vos données seraient tout simplement irrécupérable. Pour se
prémunir, il suffit de faire une sauvegarde ce celle-ci grâce à une
commande toute simple

```shell
cryptsetup luksHeaderBackup /dev/sdb1 --header-backup-file /home/ephase/sauv_hearder.img
```

Remplacez `/dev/sdb1` par la partition cryptée et
`/home/ephase/sauv_hearder.img` par l'endroit ou vous voulez
sauvegarder l'entête. Je vous conseille ensuite de la mettre en lieu
sur et bien évidemment pas sur le disque de sauvegarde lui-même.

Dans un prochain billet, vous verrez qu'il est possible de revenir
facilement à une version plus ancienne d'un fichier grâce à
l'intégration de Déjà Dup dans Nautilus. **Bonnes sauvegardes**

### Quelques liens

-   [Test de performance des différentes méthodes de
    chiffrement](http://blog.wpkg.org/2009/04/23/cipher-benchmark-for-dm-crypt-luks/ "Performance")
    (en anglais)
-   [Le site officiel de Luks](https://code.google.com/p/cryptsetup/) (en Anglais)
-   un très bon tutoriel pour chiffrer son système [sur linuxpedia](http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup "Crypter")