Installation chiffrée, swap + / avec hibernation

Le
TAR Gz
Bonjour,

Je réfléchie actuellement à modifier le partitionnement de m=
on disque.

Aujourd'hui je tourne sous une sid, avec un SSD composé des partitions=
:
1 - boot en ext2
2 - / en reiserfs
3 - partition chiffré luks pour le /home en reiserfs
4 - partition chiffré luks pour la swap

Le problème, je me suis rendu compte que des fichiers critiques
étaient accessible. Le dossier /etc par exemple. Cela me pose un
problème de paranoïa :).
En plus, je souhaiterai supprimer la partition home dédié et util=
iser
l'hibernation prolongé pm-hybernate il me semble (je ne connais pas
trop le sujet de la mise en veille).

Le schéma de partitionnement souhaité est :
1 - boot en ext2
2 - partition chiffré luks pour la / en reiserfs
3 - partition chiffré luks pour la en swap

J'ai effectué quelque essais avec un disque dur à la place du SSD=
et
je n'ai jamais était capable d'avoir une installe qui me satisfait.
Ce que je souhaite, taper uniquement une clé de chiffrement que ce
soit pour le 1er démarrage ou une sortie de veille / hibernation.
Avec l'utilisation d'une clé choisi (non aléatoire et non sous fo=
rme
de fichier) pour les 2 partitions, cela fonctionne.

Par contre, j'ai tenté avec une clé sous forme de fichier stock=
é dans
le répertoire / en pensant que le système lors du boot, va me dem=
ander
la clé pour la partition / et ensuite pourra acceder à la clÃ=
© pour la
partition swap. Cela permettrai de répondre à mes attentes.
Cela a bien fonctionné mais lors de l'hibernation, au redémarrage=
, la
session n'a pas était restauré :(.
J'ai également tenté une clé aléatoire pour la partitio=
ns swap, mais
comme je le pensais, cela n'a pas fonctionné.

J'ai réalisé ces tests il y a peu mais faute de temps, je n'ai pa=
s pu
retenté à nouveau.

Si quelqu'un a une idée pour me permettre d'avancer dés que je m'=
y remets :)

Merci à vous

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CADJ1h1RCKiX7eYHhGH5w85kR3sXmXG1gMBSZzaY2=EHqwQQ@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sébastien NOBILI
Le #25653832
Bonjour,

Le mercredi 11 septembre 2013 à 20:31, TAR Gz a écrit :
Le problème, je me suis rendu compte que des fichiers critiques
étaient accessible. Le dossier /etc par exemple. Cela me pose un
problème de paranoïa :).



J'ai eu le même problème, mais je le considère autrement que de la paranoïa. Je
le vois de manière positive : si je perds mon disque, je m'en fous (hormis le
fait qu'il faudra en acheter un nouveau).

Si quelqu'un a une idée pour me permettre d'avancer dés que je m'y remets :)



J'ai opté pour le schéma suivant :
- partition /boot en clair (pas vraiment le choix),
- grosse partition LUKS sur le reste du disque :
- conteneur LVM
- partition /
- partition swap
- partition /home

Ce montage a plusieurs avantages :
- un seule saisie de la phrase de déverrouillage,
- swap persistent¹,
- possibilité d'étendre facilement les partitions en cas de changement de
disque.

L'ouverture du volume chiffré se fait grâce au script
« /usr/share/initramfs-tools/hooks/cryptroot » qu'il faut copier dans
« /etc/initramfs-tools/hooks/cryptroot ».

¹ Doit sûrement aider au retour d'hibernation mais je n'utilise pas cette
fonction, je ne pourrai donc pas t'aider sur ce point.

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
stephane.gargoly
Le #25653952
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 11/09/13 à 20:32, TAR Gz a écrit :
Aujourd'hui je tourne sous une sid, avec un SSD composé des partitio ns :
1 - boot en ext2
2 - / en reiserfs
3 - partition chiffré luks pour le /home en reiserfs
4 - partition chiffré luks pour la swap

Le problème, je me suis rendu compte que des fichiers critiques
étaient accessible. Le dossier /etc par exemple. Cela me pose un
problème de paranoïa :).



Quels sont les fichiers dits "critiques" et à qui sont-ils accessibles ?

S'agissant du dossier /etc, ce n'est pas forcément anormal qu'il soit accessible à tous le monde (ou, du moins, aux utilisateurs qui peuvent s'authentifier sur le système GNU/Linux).

Après, tout dépend des fichiers : il est clair que, pour certain fichiers comme shadow ou sudoers, il serait préférable qu'il ne s oient accessibles qu'à root. :-)

Mais bon, en principe, ils le sont par défaut.

Autrement et pour le reste, il y peut-être un problème de droits (rwx) et d'appartenance (owner:group).

Cependant, des restrictions au niveau d'accès ou d'appartenance (d'un fichier) excessives ou irréfléchies peut amener, potentiellement, jusqu'au dysfonctionnement de ton système...

En plus, je souhaiterai supprimer la partition home dédié et ut iliser
l'hibernation prolongé pm-hybernate il me semble (je ne connais pas
trop le sujet de la mise en veille).



Supprimer la partition /home (sous unstable de surcroit) ? Un peu risquà ©, non ? ;-)

Sinon, prévoir une politique de sauvegarde des plus rigoureuses...

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sébastien NOBILI
Le #25654352
Le jeudi 12 septembre 2013 à 10:23, a écrit :
Quels sont les fichiers dits "critiques" et à qui sont-ils accessibles ?



Tout fichier contenant un mot de passe (fetchmailrc, par exemple) qui, en
général, ont des permissions très restrictives.

S'agissant du dossier /etc, ce n'est pas forcément anormal qu'il soit accessible à tous le monde (ou, du moins, aux utilisateurs qui peuvent s'authentifier sur le système GNU/Linux).

Après, tout dépend des fichiers : il est clair que, pour certain fichiers comme shadow ou sudoers, il serait préférable qu'il ne soient accessibles qu'à root. :-)



D'accord mais ça ne répond au « problème » que dans le contexte du système. Si
on peut considérer que je ne suis pas root sur *ta* machine, avec un simple
tournevis, je peux mettre ton disque dur sur une machine sur laquelle je suis
root.

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
stephane.gargoly
Le #25654522
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 12/09/13 à 11:58, Sébastien NOBILI a écr it :
Le jeudi 12 septembre 2013 à 10:23, a écrit :
D'accord mais ça ne répond au « problème  » que dans le contexte du système. Si
on peut considérer que je ne suis pas root sur *ta* machine, avec un simple
tournevis, je peux mettre ton disque dur sur une machine sur laquelle je suis
root.



Avant de pouvoir brancher mon disque dur - ou plutôt mes disques durs car j'en ai 2 - sur ton ordinateur, il faut que tu saches que :
1. J'ai monté le boîtier (de l'unité centrale) avec des vis de sécurité qu'on ne peut ôter qu'avec une clé de sà ©curité (et non avec un "simple tournevis"),
2. Le même boîtier - grâce à une anse (sous forme d'un anneau) dont elle est dotée - me permet, au moyen d'un cadenas, d'emp êcher (ou, au moins, de gêner considérablement) son ouvertur e, même sans les vis de sécurité, et
3. Toujours avec le même cadenas et d'une chaîne de sécurit é, je l'ai attachée à mon bureau informatique, là encor e empêchant (ou gênant largement) sa saisie.

Bon d'accord, je n'ai pas - encore - acheté un coffre-fort pour y rang er mon unité centrale mais comme tu peux le voir, cela risque d'ê tre un peu plus compliqué de pouvoir jeter un coup d'œil sur mes petits secrets... :-p

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sébastien NOBILI
Le #25654532
Le jeudi 12 septembre 2013 à 13:04, a écrit :
Avant de pouvoir brancher mon disque dur - ou plutôt mes disques durs car j'en ai 2 - sur ton ordinateur, il faut que tu saches que :
1. J'ai monté le boîtier (de l'unité centrale) avec des vis de sécurité qu'on ne peut ôter qu'avec une clé de sécurité (et non avec un "simple tournevis"),
2. Le même boîtier - grâce à une anse (sous forme d'un anneau) dont elle est dotée - me permet, au moyen d'un cadenas, d'empêcher (ou, au moins, de gêner considérablement) son ouverture, même sans les vis de sécurité, et
3. Toujours avec le même cadenas et d'une chaîne de sécurité, je l'ai attachée à mon bureau informatique, là encore empêchant (ou gênant largement) sa saisie.

Bon d'accord, je n'ai pas - encore - acheté un coffre-fort pour y ranger mon unité centrale mais comme tu peux le voir, cela risque d'être un peu plus compliqué de pouvoir jeter un coup d'½il sur mes petits secrets... :-p



Sauf à démarrer sur un LiveCD / LiveUSB !

Le niveau de sécurité est évidemment à adapter au contexte. Sur mon serveur, les
données sont en clair. La configuration que j'ai décrite est en place sur un
disque 2,5" que je balade systématiquement avec moi, donc exposé aux pertes et
au vol. D'où le chiffrement.

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Haricophile
Le #25654952
Le jeudi 12 septembre 2013 à 13:23 +0200, Sébastien NOBILI a écrit :
Sauf à démarrer sur un LiveCD / LiveUSB !



C'est généralement désactivable dans le bios (ou l'on peut souvent
mettre un mot de passe), on peut aussi le désactiver dans le chargeur
d'amorçage (sur lequel on peut mettre un mot de passe)...
Tant qu'on ne peut pas ouvrir le boitier, c'est quand même plutôt
sécurisé à défaut d'être inviolable.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
TAR Gz
Le #25656062
@Sebastien, merci pour le schéma de partitionnement, je vais tester
ça. je donnerai le résultat sur cette ML.

Concernant la réponse de Stéphane et comme l'a dit Sébastien , mon
problème n'ai pas pendant l’exécution de l'OS et donc ne concerne pas
une histoire de droit.

Pour les fichiers critiques de /etc, c'est le dossier openvpn qui est
critique pour moi.
Si tout est chiffré, et comme cela a était évoqué, je s erai rassuré si
je perd ou on me vole la machine.

Merci à vous pour les réponses, je donnerai des nouvelles sous pe u :)
Tgz :)

Le 12 septembre 2013 11:58, Sébastien NOBILI
Le jeudi 12 septembre 2013 à 10:23, a écrit :
Quels sont les fichiers dits "critiques" et à qui sont-ils accessib les ?



Tout fichier contenant un mot de passe (fetchmailrc, par exemple) qui, en
général, ont des permissions très restrictives.

S'agissant du dossier /etc, ce n'est pas forcément anormal qu'il so it accessible à tous le monde (ou, du moins, aux utilisateurs qui peuv ent s'authentifier sur le système GNU/Linux).

Après, tout dépend des fichiers : il est clair que, pour certa in fichiers comme shadow ou sudoers, il serait préférable qu'il n e soient accessibles qu'à root. :-)



D'accord mais ça ne répond au « problème » que d ans le contexte du système. Si
on peut considérer que je ne suis pas root sur *ta* machine, avec un simple
tournevis, je peux mettre ton disque dur sur une machine sur laquelle je suis
root.

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/ eip.net




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CADJ1h1QO38jJRV9wp=
stephane.gargoly
Le #25656442
Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 12/09/13 à 13:23, Sébastien NOBILI a écr it :
Sauf à démarrer sur un LiveCD / LiveUSB !

Le niveau de sécurité est évidemment à adapter au con texte. Sur mon serveur, les
données sont en clair. La configuration que j'ai décrite est en place sur un
disque 2,5" que je balade systématiquement avec moi, donc exposà © aux pertes et
au vol. D'où le chiffrement.



Dans son message du 12/09/13 à 14:49, Haricophile a écrit :
C'est généralement désactivable dans le bios (ou l'on peut souvent
mettre un mot de passe), on peut aussi le désactiver dans le chargeu r
d'amorçage (sur lequel on peut mettre un mot de passe)...
Tant qu'on ne peut pas ouvrir le boitier, c'est quand même plutà ´t
sécurisé à défaut d'être inviolable.



Comme Haricophile l'a bien dit, il y a des parades contre l'amorçage d 'un LiveCD/DVD/USB (mais aussi contre l'activation d'un shell au prompt de boot) et dont je les applique à mon système GNU/Linux. ;-)

Mais je suis d'accord avec toi : les exigences (en matière de séc urité, tant au niveau matériel que logiciel) ne sont pas les mà ªmes selon qu'on a affaire à un ordinateur privé/familial ou à un système informatique professionnel ou d'entreprise (serveurs , clients sédentaires/nomades).

Et, bien sûr, mes précautions que j'ai prises pour mon systè me personnel (que j'utilise à titre domestique et ludique) - et que ce rtains peuvent juger inutiles ou excessives - peuvent être insuffisant es dans d'autres cadres...

D'autre part, je savais déjà qu'il existe des solutions de chiffr ement - peut-on également parler de cryptage ? - concernant des disque s durs. Je ne les ai pas choisi pour mon système car je craignais - ma is ai-je tort ? - une trop forte consommation de ressources (je pense, en p articulier, au processeur).

Pour information : mon ordinateur fixe se compose, brièvement, d'un pr ocesseur AMD Athlon 64 x2 3 GHz, d'une mémoire vive 8 Go DDR2 800 MHz et de 2 disques durs SATA II de 1000 Go à 7200 tr/mn avec cache de 32 Mo et ne contient qu'un seul système d'exploitation (Debian GNU/linux, bien sûr) .

Enfin, concernant ton disque dur nomade, une solution alternative serait d' utiliser un VPN (virtual private network ou, si tu préfères, un r éseau privé virtuel) te permettant d'accéder, avec un ordina teur portable, à des données confidentielles/sensibles resté es sur ton serveur (et non pas avec toi pendant tes déplacements).

Mais peut-être cela n'est pas possible en mettre en place pour des rai sons X, Y ou Z...

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sébastien NOBILI
Le #25658272
Le jeudi 12 septembre 2013 à 21:26, a écrit :
D'autre part, je savais déjà qu'il existe des solutions de chiffrement - peut-on également parler de cryptage ? - concernant des disques durs. Je ne les ai pas choisi pour mon système car je craignais - mais ai-je tort ? - une trop forte consommation de ressources (je pense, en particulier, au processeur).



Chiffrement, cryptage, vaste sujet avec souvent des points de vue divergents.
Pour ma part j'ai le mien et je suis d'accord avec :-)
https://fr.wikipedia.org/wiki/Chiffrement#Terminologie
http://www.bibmath.net/forums/viewtopic.php?pid68#p8168

Pour information : mon ordinateur fixe se compose, brièvement, d'un processeur AMD Athlon 64 x2 3 GHz, d'une mémoire vive 8 Go DDR2 800 MHz et de 2 disques durs SATA II de 1000 Go à 7200 tr/mn avec cache de 32 Mo et ne contient qu'un seul système d'exploitation (Debian GNU/linux, bien sûr) .



S'agissant de la consommation de ressources, ça passera sans problème sur ta
configuration. J'utilise souvent mon système dans une machine virtuelle sur une
machine physique de configuration inférieure à la tienne et c'est surtout l'USB
qui ralentit.

Enfin, concernant ton disque dur nomade, une solution alternative serait d'utiliser un VPN (virtual private network ou, si tu préfères, un réseau privé virtuel) te permettant d'accéder, avec un ordinateur portable, à des données confidentielles/sensibles restées sur ton serveur (et non pas avec toi pendant tes déplacements).

Mais peut-être cela n'est pas possible en mettre en place pour des raisons X, Y ou Z...



Possible techniquement en effet, mais inacceptable, je ne *veux* pas me rendre
dépendant de la présence d'une connexion Internet !

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme