diff --git a/content/5.betises/1.bash.md b/content/5.betises/1.bash.md index 5e9308d..bf3528c 100644 --- a/content/5.betises/1.bash.md +++ b/content/5.betises/1.bash.md @@ -143,4 +143,83 @@ Bilan j'ai : - appris que Qwen sur une RTX 5090 est plus cohérent que ChatGPT 4o sur des fermes de serveurs (je vous passe les résultats de la version "normale"). - appris que même quand on a 100TB d'espace, monitorer ce dernier m'aurait permis de voir beaucoup plus tot que j'avais 12TB de doublons qui trainent. -A plus tard pour de nouvelles aventures passionnantes. \ No newline at end of file +## Backup des headers luks pour disques/volumes chiffrés +--- + +Je me suis rendu compte il y a peu qu'il ne suffisait pas d'avoir le mot de passe pour deverouiller un volume luks apres une panne ou une corruption. J'ai ainsi appris à dump les headers luks des disques/volumes et à utiliser les numéros de série + noms de partitions pour pouvoir bien identifier quel header correspond à quel disque/partition (j'en ai 10 !). + +Après avoir bien galéré à la main, j'avoue avoir demandé à Qwen3 (llm hebergé sur ma RTX 5090) de me faire un script qui automatise le listing et identification des disques, dump les headers et les stock dans une archive chiffrée prete à etre backupée sur mon serveur de sauvegarde. + +Ainsi, ce script : +* Liste et identifie les disques avec leur numéro de série +* Liste les partition +* Dump les headers dans un dossier dans `/root` (dossier sécurisé) +* Cree une archive temporaire +* Prompt pour saisir un mot de passe +* Chiffre avec le mot de passe +* Détruit l'archive non chiffrée + +``` +#!/bin/bash + +# Directory where LUKS headers will be backed up +DEST="/root/luks-headers-backup" +mkdir -p "$DEST" + +echo "🔍 Searching for LUKS containers on all partitions..." + +# Loop through all possible disk partitions (including NVMe and SATA) +for part in /dev/sd? /dev/sd?? /dev/nvme?n?p?; do + # Skip if the device doesn't exist + if [ ! -b "$part" ]; then + continue + fi + + # Check if the partition is a LUKS encrypted volume + if cryptsetup isLuks "$part"; then + # Find the parent disk device (e.g. nvme0n1p4 → nvme0n1) + disk=$(lsblk -no pkname "$part" | head -n 1) + full_disk="/dev/$disk" + + # Get the serial number of the parent disk + SERIAL=$(udevadm info --query=all --name="$full_disk" | grep ID_SERIAL= | cut -d= -f2) + if [ -z "$SERIAL" ]; then + SERIAL="unknown" + fi + + # Extract the partition name (e.g. nvme0n1p4) + PART_NAME=$(basename "$part") + + # Build the output filename with partition name and disk serial + OUTPUT="$DEST/luks-header-${PART_NAME}__${SERIAL}.img" + + echo "🔐 Backing up LUKS header of $part (Serial: $SERIAL)..." + + # Backup the LUKS header to the output file + cryptsetup luksHeaderBackup "$part" --header-backup-file "$OUTPUT" + if [[ $? -eq 0 ]]; then + echo "✅ Backup successful → $OUTPUT" + else + echo "❌ Backup failed for $part" + fi + fi +done + +# Create a timestamped compressed tar archive of all header backups +ARCHIVE_NAME="/root/luks-headers-$(date +%Y%m%d_%H%M%S).tar.gz" +echo "📦 Creating archive $ARCHIVE_NAME..." +tar -czf "$ARCHIVE_NAME" -C "$DEST" . + +# Encrypt the archive symmetrically using GPG with AES256 cipher +echo "🔐 Encrypting the archive with GPG..." +gpg --symmetric --cipher-algo AES256 "$ARCHIVE_NAME" +if [[ $? -eq 0 ]]; then + echo "✅ Encrypted archive created: ${ARCHIVE_NAME}.gpg" + # Remove the unencrypted archive for security + rm -f "$ARCHIVE_NAME" +else + echo "❌ Encryption failed" +fi +``` + +Ne pas oublier de backup `/etc/fstab` et `/etc/crypttab` ! \ No newline at end of file