Pourquoi vouloir chiffrer après coup ?
Idéalement, on chiffre son disque dès l’installation de Linux. C’est simple, intégré dans l’installateur (Debian, Ubuntu, Fedora le proposent), et ça évite bien des prises de tête.
Mais parfois :
- Tu as hérité d’un système déjà en place.
- Tu veux renforcer la sécurité d’un serveur existant, sans tout casser.
- Tu réalises après coup que le disque contient des données sensibles (projets clients, bases de prod, clés SSH, etc.).
Et là, tu veux activer LUKS (Linux Unified Key Setup), mais sans réinstaller tout le système. Bonne nouvelle : c’est possible. Moins bonne : ça demande un peu de gymnastique.
⚠️ Avant tout : sauvegarde complète
Ne joue pas au héros. Si tu suis cette procédure sans avoir une sauvegarde bootable de ton système, tu prends un vrai risque. Clone du disque (dd, Clonezilla, etc.), snapshot LVM ou ZFS, ou export de tes volumes si tu es en VM : sauvegarde d’abord.
Étape 1 : démarrer sur un live Linux
Tu ne peux pas chiffrer un disque pendant qu’il est monté et utilisé par le système. Il faut donc :
- Démarrer sur une clé USB live (Debian, Ubuntu, etc.).
- Ou, si tu es sur une VM, monter un ISO live depuis ton hyperviseur (Proxmox, VMware, etc.).
Depuis cet environnement, tu pourras manipuler le disque comme un simple périphérique.
Étape 2 : sauvegarder le système actuel (encore une fois, sérieusement)
Si tu ne veux pas cloner tout le disque, tu peux au moins :
rsync -aAXv /mnt/ancien/ /mnt/sauvegarde/Tu montes ton disque d’origine quelque part (/mnt/ancien), et tu copies tout dans un dossier temporaire.
Étape 3 : formater la partition avec LUKS
Ici, on chiffre la partition (pas les fichiers). Exemple avec /dev/sda2 :
cryptsetup luksFormat /dev/sda2
cryptsetup open /dev/sda2 cryptrootPuis, création du système de fichiers :
mkfs.ext4 /dev/mapper/cryptrootÉtape 4 : restaurer ton système dans le conteneur chiffré
mount /dev/mapper/cryptroot /mnt/newroot
rsync -aAXv /mnt/sauvegarde/ /mnt/newroot/N’oublie pas de remonter /boot si besoin :
mount /dev/sda1 /mnt/newroot/bootÉtape 5 : configurer le boot pour le déchiffrement
- Modifier
crypttab:
echo "cryptroot UUID=$(blkid -s UUID -o value /dev/sda2) none luks" > /mnt/newroot/etc/crypttab-
Vérifier
fstab: assure-toi que/pointe vers/dev/mapper/cryptroot. -
Chroot + mise à jour initramfs :
mount --bind /dev /mnt/newroot/dev
mount --bind /proc /mnt/newroot/proc
mount --bind /sys /mnt/newroot/sys
chroot /mnt/newroot /bin/bash
update-initramfs -u -k all
update-grub
exit- Tout démonter proprement :
umount -R /mnt/newroot
cryptsetup close cryptrootÉtape 6 : croiser les doigts et redémarrer
Si tout s’est bien passé, tu verras apparaître l’invite de mot de passe LUKS au démarrage. C’est bon signe. Sinon, respire un bon coup, redémarre sur ta clé live et vérifie les fichiers crypttab, fstab, et le contenu de ton initramfs.
VPS et chiffrement : attention aux limites
Sur un VPS, le chiffrement complet du disque n’a de sens que si tu contrôles le boot. Sinon, ton mot de passe passe de toute façon par l’hyperviseur du prestataire, et la chaîne de confiance est cassée.
Quelques hébergeurs te laissent plus de liberté que d’autres :
- Hetzner : bon rapport qualité/prix, images personnalisables.
- Scaleway : plus flexible que la moyenne.
- OVHcloud : bien connu, mais plus rigide côté boot.
- D4.FR : pensés pour l’hébergement VPS et les projets un peu plus sensibles.
- NetCup : allemand, assez technique, mais efficace.
Sur un serveur dédié, tu es libre de chiffrer comme tu veux, car tu gères directement le bootloader (GRUB), l’initramfs, et le déverrouillage au démarrage via console série ou IPMI.
Une dernière remarque
Oui, tu peux chiffrer ton disque sans tout réinstaller, mais est-ce que ça vaut vraiment le stress, surtout si tu débutes ? Si tu peux repartir propre, fais-le. Ce sera plus propre, plus rapide, et moins risqué.
Mais parfois, on n’a pas le choix. Ou on aime le challenge.
Si tu veux aller plus loin, je peux te filer un script pour automatiser les étapes critiques, ou t’aider à l’adapter à ta stack. Demande, je suis là pour ça.
