Choix pour des volumes chiffrés

Le
David BERCOT
Bonjour,

Sur une machine, je souhaiterais mettre en place des volumes chiffrés.
Apparemment, l'idéal consiste à chiffrer toutes les partitions (/,
swap, /home, voire d'autres), sauf /boot.

Maintenant, l'installer de Debian propose d'utiliser LVM pour créer un
volume global (tout sauf /boot) et découper ensuite ce volume. Soit.

A la base, je pensais simplement chiffrer /home mais ce n'est pas très
"secure". Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la mati=
ère
sera le bienvenu ;-)

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111129152339.332cdaa0@debian-david
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
vincent
Le #24014811
--543047754-1740921648-1322578563=:76871
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,
je souhaite installer debian depuis ma clef USB(2Go).
sur le s ite debian.org, je suis arrivé au site http://www.debian.org/distrib/neti nst qui redirige vers un site néerlandais pour la création de sa clef b ootable. Mais je ne comprends pas trop ce qu'il y a sur ce depot.

je p eux aussi rendre l'image iso du CD d'install, copiée sur ma clef USB, boo table, non ?
par exple http://cdimage.debian.org/debian-cd/6.0.3/i386/iso -cd/

dans ce cas, l'utilisation du CD 1 est-elle suffisante ?
les au tres CD peuvent-ils être récupérés par le reseau (PC branché au r eseau pendant l'install) ?

Cordialement,
Vincent
--543047754-1740921648-1322578563=:76871
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

non ? --543047754-1740921648-1322578563=:76871--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
David BERCOT
Le #24014921
Bonjour,

Une procédure éprouvée :

1. Télécharger boot.img.gz à partir de
http://d-i.debian.org/daily-images/amd64/daily/hd-media/

2. Télécharger debian-testing-amd64-netinst.iso à partir de
http://cdimage.debian.org/cdimage/daily-builds/sid_d-i/current/amd64/iso-cd/

3. Pour mémoire, trouver la bonne clé dans la liste :
ls -l /dev/disk/by-id/usb*

4. Construire la clé, amorcée par syslinux :
zcat boot.img.gz > /dev/sdc [la clé est entièrement effacée !!!]

5. Monter la clé : mount /dev/sdc /mnt

6. Y copier l'image ISO : cp debian-testing-amd64-businesscard.iso /mnt

7. Démonter la clé : umount /mnt

Bon courage !

David.

Le Tue, 29 Nov 2011 14:56:03 +0000 (GMT),
vincent
Bonjour,
je souhaite installer debian depuis ma clef USB(2Go).
sur le site debian.org, je suis arrivé au site
http://www.debian.org/distrib/netinst qui redirige vers un site
néerlandais pour la création de sa clef bootable. Mais je ne com prends
pas trop ce qu'il y a sur ce depot.

je peux aussi rendre l'image iso du CD d'install, copiée sur ma clef
USB, bootable, non ? par exple
http://cdimage.debian.org/debian-cd/6.0.3/i386/iso-cd/

dans ce cas, l'utilisation du CD 1 est-elle suffisante ?
les autres CD peuvent-ils être récupérés par le reseau (PC branché au
reseau pendant l'install) ?

Cordialement,
Vincent



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
jerome moliere
Le #24015071
Quitte à faire bondir certains ,je ne vois guère l'intérà ªt d'aller
chiffrer des partitions comme /usr par exemple , avec du logiciel
libre chiffrer le contenu de binaires disponibles en open source me
parait limite crétin...
Après chiffrer le /var si tu as des bases de données ou que tu ne veux
montrer les logs en clair OK

Mais essentiellement ce que je veux protéger c'est mes données et mon
travail donc mon /home...
mais chacun voit midi à sa porte...
/etc peut être si tu as stocké des mdp en clair dans certains fic hiers
de config ???

mais c'est une intéressante question à défaut de te donner d es pistes
plus sérieuses..
J.MOLIERE - Mentor/J
auteur Eyrolles
blog: http://romjethoughts.blogspot.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAEGYFEL0BCO-brNwKdkNRU+
Anthony Bourguignon
Le #24015061
Le mardi 29 novembre 2011 à 15:23 +0100, David BERCOT a écrit :
A la base, je pensais simplement chiffrer /home mais ce n'est pas très
"secure".



Qui a dit que ce n'était pas sûr ? Après faut voir, mis à part
travailler pour une haute instance du gouvernement, chiffrer uniquement
le home est largement suffisant.

Pour mon laptop, j'utilise ecryptfs sous Debian et ça tourne franchement
pas mal. Simple à mettre en œeuvre, pas de perte de perfs, migration à
partir de homes déjà présents.

À réfléchir donc.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #24015141
On Tue, 29 Nov 2011 15:23:39 +0100
David BERCOT
Sur une machine, je souhaiterais mettre en place des volumes chiffré s.
Apparemment, l'idéal consiste à chiffrer toutes les partitions (/,
swap, /home, voire d'autres), sauf /boot.

Maintenant, l'installer de Debian propose d'utiliser LVM pour créer un
volume global (tout sauf /boot) et découper ensuite ce volume. Soit.

A la base, je pensais simplement chiffrer /home mais ce n'est pas trà ¨s
"secure".



Étant donné qu'on n'a ni les tenants ni les aboutissants, on surf e
sur de l'air...

Est-ce qu'il s'agit juste de protéger des données perso uniquemen t
stockées dans /home, ou d'autres choses (et lesquelles?)

Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la ma tière
sera le bienvenu ;-)



Tout dépend de la réponse à la question ci-avant; s'il s'agit
juste des données perso, encrypter /home et SWAP est suffisant.

--
***
*******
*********
****** Confucious say: "Is stuffy inside fortune cookie."
*******
***

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
tv.debian
Le #24015201
Le 29/11/2011 15:23, David BERCOT a écrit :
Bonjour,

Sur une machine, je souhaiterais mettre en place des volumes chiffrés.
Apparemment, l'idéal consiste à chiffrer toutes les partitions (/,
swap, /home, voire d'autres), sauf /boot.

Maintenant, l'installer de Debian propose d'utiliser LVM pour créer un
volume global (tout sauf /boot) et découper ensuite ce volume. Soit.

A la base, je pensais simplement chiffrer /home mais ce n'est pas très
"secure". Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la matière
sera le bienvenu ;-)

Merci d'avance.

David.




Salut, pour être efficaces le chiffrage doit être fait au minimum pour
/home et la swap, /tmp et /var/tmp sont des bons candidats également
(caches), mais à mon avis il vaut mieux chiffrer l'ensemble du système
que de compromettre l'ensemble en oubliant un répertoire.
La pénalité en ressource est négligeable avec un processeur moderne quel
que soit la configuration. Sur un vieux portable par contre ça peut être
sensible et entraîner surchauffe et réduction de l'autonomie de la batterie.

La méthode de l'installateur Debian est intéressante, une seule phrase à
taper ou un seul fichier-clé, tout est protégé à l'intérieur du lvm
unique. Comme de toute façon il faut réinstaller pour chiffrer c'est la
solution de simplicité.

Pour ma part j'utilise "luks" et je conserve pour les stations de
travail mon partitionnement habituel /boot, /root, /home et swap (+
partitions de données). /boot n'est pas chiffré, dans mon cas il est sur
clé usb. /root est chiffré avec une phrase ou un fichier-clé (sur la
même clé usb, elle est cryptée matériellement par un système de
"padlock"). swap est soit chiffrée par clé aléatoire (pas besoin de
veille sur disque) ou par la méthode "decrypt-derived" (clé de
chiffrement dérivée de la partition /root). /home et les partitions de
données sont chiffrés avec "pam-mount". De cette façon je tape une
phrase de passe (ou je fourni un fichier-clé au démarrage), et ensuite
je n'ai qu'à taper mon mot de passe de login pour déchiffrer le reste.
C'est un peu complexe à mettre en place mais ça fonctionne parfaitement.
La principale contrainte est de synchroniser le mot de passe de login et
celui des conteneurs luks à déchiffrer par "pam-mount".
L'intérêt pour moi est de pouvoir placer les partitions chiffrées sur
des disques différents (j'ai du RAID en dessous du LUKS sur les ordi de
bureau), et de les "déménager" si besoin sur des machines différentes.

Il y a une page qui décrit plus ou moins la technique que j'utilise là :

http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup

Si tu lis l'anglais il y a un sujet en cours sur la liste anglophone
intitulé "Full Disk Encryption" avec des idées et quelques stat de
performances.

Bon amusement.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
David BERCOT
Le #24015211
A la base, je pensais simplement chiffrer /home mais ce n'est pas
très "secure".


Étant donné qu'on n'a ni les tenants ni les aboutissants, on sur fe
sur de l'air...



OK, je n'ai pas été assez précis ;-)
Disons que Debian a crié en me disant que SWAP n'était pas crypt é.
Et je me suis donc posé la question du reste (/etc par exemple).

Mais bon, on est d'accord sur le fait que le principal (pour moi),
c'est /home.

Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la m atière
sera le bienvenu ;-)



Tout dépend de la réponse à la question ci-avant; s'il s'ag it
juste des données perso, encrypter /home et SWAP est suffisant.



Non, pas tout à fait ! En effet, chiffrer /home et SWAP est suffisant
sur le papier. Mais ça apporte déjà la contrainte d'avoir 2 partitions
et donc 2 phrases à saisir au boot. En LVM (je mets en parallèle LVM
et des partitions "classiques"), je n'en ai qu'une...

C'était sur ces aspects pratiques que je posais la question.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #24015561
On Tue, 29 Nov 2011 17:18:02 +0100
David BERCOT
Mais bon, on est d'accord sur le fait que le principal (pour moi),
c'est /home.




Ok

Non, pas tout à fait ! En effet, chiffrer /home et SWAP est suffisant
sur le papier. Mais ça apporte déjà la contrainte d'avoir 2 partitions
et donc 2 phrases à saisir au boot. En LVM (je mets en parallèl e LVM
et des partitions "classiques"), je n'en ai qu'une...



Rien ne t'empêche d'y mettre la même phrase... Mais il est é vident
que tu ne pourras faire autrement que de la saisir 2 fois.

Il faudrait V. ce que disent les sites spécialisés parce qu'avec les
anciens systèmes on pouvait déporter la clé d'encryption sur une clé
USB qu'il suffisait de plugger au moment du boot ou avant.

Pour ce qui est de /tmp & /var/tmp, les encrypter n'offre un intérà ªt
que si ce ne sont pas des partitions à part et si tu travailles sur
de très gros documents.

C'était sur ces aspects pratiques que je posais la question.



Perso, afin d'éviter de se poser des questions (presque) sans fin
et aussi parce que j'ai des devs dans /usr/local/, je ne me ferais
pas chier et j'encrypterai tout avec http://www.truecrypt.org/.

À partir du moment où ton CPU est au moins bi-core et qu'il-y-a
assez de RAM, le ralentissement est peu perceptible (sauf peut-être
avec Serpent qui est plus secure mais prend plus d'opérations CPU);
Twofish est un excellent compromis efficacité/vitesse.

Goody: on peut déporter la clé et la "cacher" dans un fichier
compressé ayant une extension bateau (mp3, zip, txt, etc).

Cependant, TrueCrypt comporte qq pièges et il faut lire
attentivement et complètement les docs avant de tenter quoique ce
soit.

--
Can I have an IMPULSE ITEM instead?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Goldy
Le #24015731
Le 29/11/2011 17:18, David BERCOT a écrit :
A la base, je pensais simplement chiffrer /home mais ce n'est pas
très "secure".


Étant donné qu'on n'a ni les tenants ni les aboutissants, on surfe
sur de l'air...



OK, je n'ai pas été assez précis ;-)
Disons que Debian a crié en me disant que SWAP n'était pas crypté.
Et je me suis donc posé la question du reste (/etc par exemple).

Mais bon, on est d'accord sur le fait que le principal (pour moi),
c'est /home.

Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la matière
sera le bienvenu ;-)



Tout dépend de la réponse à la question ci-avant; s'il s'agit
juste des données perso, encrypter /home et SWAP est suffisant.



Non, pas tout à fait ! En effet, chiffrer /home et SWAP est suffisant
sur le papier. Mais ça apporte déjà la contrainte d'avoir 2 partitions
et donc 2 phrases à saisir au boot. En LVM (je mets en parallèle LVM
et des partitions "classiques"), je n'en ai qu'une...

C'était sur ces aspects pratiques que je posais la question.

David.





Bonjour,

Swap peut être chiffré avec une clé aléatoire qui sera réinitialisée à
chaque démarrage de la machine. Ainsi il est possible d'avoir une
partition home et une partition swap chiffrée sans nécessairement devoir
saisir deux phrases de passe.

Christophe

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
J
Le #24016241
Le mardi 29 novembre 2011 à 16:02 +0100, David BERCOT a écrit :
Bonjour,

Une procédure éprouvée :

1. Télécharger boot.img.gz à partir de
http://d-i.debian.org/daily-images/amd64/daily/hd-media/

2. Télécharger debian-testing-amd64-netinst.iso à partir de
http://cdimage.debian.org/cdimage/daily-builds/sid_d-i/current/amd64/iso-cd/

3. Pour mémoire, trouver la bonne clé dans la liste :
ls -l /dev/disk/by-id/usb*

4. Construire la clé, amorcée par syslinux :
zcat boot.img.gz > /dev/sdc [la clé est entièrement effacée !!!]

5. Monter la clé : mount /dev/sdc /mnt

6. Y copier l'image ISO : cp debian-testing-amd64-businesscard.iso /mnt

7. Démonter la clé : umount /mnt

Bon courage !

David.

Le Tue, 29 Nov 2011 14:56:03 +0000 (GMT),
vincent >Bonjour,
>je souhaite installer debian depuis ma clef USB(2Go).
>sur le site debian.org, je suis arrivé au site
>http://www.debian.org/distrib/netinst qui redirige vers un site
>néerlandais pour la création de sa clef bootable. Mais je ne comprends
>pas trop ce qu'il y a sur ce depot.
>
>je peux aussi rendre l'image iso du CD d'install, copiée sur ma clef
>USB, bootable, non ? par exple
>http://cdimage.debian.org/debian-cd/6.0.3/i386/iso-cd/
>
>dans ce cas, l'utilisation du CD 1 est-elle suffisante ?
>les autres CD peuvent-ils être récupérés par le reseau (PC branché au
>reseau pendant l'install) ?
>
>Cordialement,
>Vincent




Même pas, il suffit de copier l'image iso depuis Squeeze :
# cat debian.iso > /dev/sdX
# sync

source : http://www.debian.org/releases/stable/amd64/ch04s03.html.fr


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme