Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Choix pour des volumes chiffrés

19 réponses
Avatar
David BERCOT
Bonjour,

Sur une machine, je souhaiterais mettre en place des volumes chiffr=C3=A9s.
Apparemment, l'id=C3=A9al consiste =C3=A0 chiffrer toutes les partitions (/,
swap, /home, voire d'autres), sauf /boot.

Maintenant, l'installer de Debian propose d'utiliser LVM pour cr=C3=A9er un
volume global (tout sauf /boot) et d=C3=A9couper ensuite ce volume. Soit.

A la base, je pensais simplement chiffrer /home mais ce n'est pas tr=C3=A8s
"secure". Je peux =C3=A9galement faire 3 partitions (en plus de /boot)
s=C3=A9par=C3=A9es /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des diff=C3=A9rences importantes entre ces m=C3=A9thodes ? Des
contraintes li=C3=A9es =C3=A0 l'une d'elles ? Bref, tout conseil en la mati=
=C3=A8re
sera le bienvenu ;-)

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111129152339.332cdaa0@debian-david

10 réponses

1 2
Avatar
vincent
--543047754-1740921648-1322578563=:76871
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,
je souhaite installer debian depuis ma clef USB(2Go).
sur le s ite debian.org, je suis arrivé au site http://www.debian.org/distrib/neti nst qui redirige vers un site néerlandais pour la création de sa clef b ootable. Mais je ne comprends pas trop ce qu'il y a sur ce depot.

je p eux aussi rendre l'image iso du CD d'install, copiée sur ma clef USB, boo table, non ?
par exple http://cdimage.debian.org/debian-cd/6.0.3/i386/iso" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://cdimage.debian.org/debian-cd/6.0.3/i386/iso -cd/

dans ce cas, l'utilisation du CD 1 est-elle suffisante ?
les au tres CD peuvent-ils être récupérés par le reseau (PC branché au r eseau pendant l'install) ?

Cordialement,
Vincent
--543047754-1740921648-1322578563=:76871
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><body><div style="color:#000; background-color:#fff; font-family:ti mes new roman, new york, times, serif;font-size:12pt"><div style="font-fa mily: 'times new roman', 'new york', times, serif; font-size: 12pt; ">Bonjo ur,</div><div style="font-family: 'times new roman', 'new york', times, s erif; font-size: 12pt; ">je souhaite installer debian depuis ma clef USB(2G o).</div><div style="font-family: 'times new roman', 'new york', times, s erif; font-size: 12pt; ">sur le site debian.org, je suis arrivé au site h ttp://www.debian.org/distrib/netinst qui redirige vers un site néerlandai s pour la création de sa clef bootable. Mais je ne comprends pas trop ce qu'il y a sur ce depot.</div><div style="font-family: 'times new roman', 'new york', times, serif; font-size: 12pt; "><br></div><div style="font-f amily: 'times new roman', 'new york', times, serif; font-size: 12pt; ">je p eux aussi rendre l'image iso du CD d'install, copiée sur ma clef USB, boo table,
non ?</div><div>par exple http://cdimage.debian.org/debian-cd/6.0.3/i386/i so-cd/<br></div><div style="font-family: 'times new roman', 'new york', t imes, serif; font-size: 12pt; ">dans ce cas, l'utilisation du CD 1 est-elle suffisante ?</div><div style="font-family: 'times new roman', 'new york' , times, serif; font-size: 12pt; ">les autres CD peuvent-ils être récup érés par le reseau (PC branché au reseau pendant l'install) ?</div><d iv style="font-family: 'times new roman', 'new york', times, serif; font- size: 12pt; "><br></div><div style="font-family: 'times new roman', 'new york', times, serif; font-size: 12pt; ">Cordialement,</div><div style="fo nt-family: 'times new roman', 'new york', times, serif; font-size: 12pt; "> Vincent</div><div style="font-family: 'times new roman', 'new york', time s, serif; font-size: 12pt; ">&nbsp;</div> </div></body></html>
--543047754-1740921648-1322578563=:76871--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
David BERCOT
Bonjour,

Une procédure éprouvée :

1. Télécharger boot.img.gz à partir de
http://d-i.debian.org/daily-images/amd64/daily/hd-media/

2. Télécharger debian-testing-amd64-netinst.iso à partir de
http://cdimage.debian.org/cdimage/daily-builds/sid_d-i/current/amd64/iso-cd/

3. Pour mémoire, trouver la bonne clé dans la liste :
ls -l /dev/disk/by-id/usb*

4. Construire la clé, amorcée par syslinux :
zcat boot.img.gz > /dev/sdc [la clé est entièrement effacée !!!]

5. Monter la clé : mount /dev/sdc /mnt

6. Y copier l'image ISO : cp debian-testing-amd64-businesscard.iso /mnt

7. Démonter la clé : umount /mnt

Bon courage !

David.

Le Tue, 29 Nov 2011 14:56:03 +0000 (GMT),
vincent a écrit :
Bonjour,
je souhaite installer debian depuis ma clef USB(2Go).
sur le site debian.org, je suis arrivé au site
http://www.debian.org/distrib/netinst qui redirige vers un site
néerlandais pour la création de sa clef bootable. Mais je ne com prends
pas trop ce qu'il y a sur ce depot.

je peux aussi rendre l'image iso du CD d'install, copiée sur ma clef
USB, bootable, non ? par exple
http://cdimage.debian.org/debian-cd/6.0.3/i386/iso-cd/

dans ce cas, l'utilisation du CD 1 est-elle suffisante ?
les autres CD peuvent-ils être récupérés par le reseau (PC branché au
reseau pendant l'install) ?

Cordialement,
Vincent



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
jerome moliere
Quitte à faire bondir certains ,je ne vois guère l'intérà ªt d'aller
chiffrer des partitions comme /usr par exemple , avec du logiciel
libre chiffrer le contenu de binaires disponibles en open source me
parait limite crétin...
Après chiffrer le /var si tu as des bases de données ou que tu ne veux
montrer les logs en clair OK

Mais essentiellement ce que je veux protéger c'est mes données et mon
travail donc mon /home...
mais chacun voit midi à sa porte...
/etc peut être si tu as stocké des mdp en clair dans certains fic hiers
de config ???

mais c'est une intéressante question à défaut de te donner d es pistes
plus sérieuses..
J.MOLIERE - Mentor/J
auteur Eyrolles
blog: http://romjethoughts.blogspot.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAEGYFEL0BCO-brNwKdkNRU+
Avatar
Anthony Bourguignon
Le mardi 29 novembre 2011 à 15:23 +0100, David BERCOT a écrit :
A la base, je pensais simplement chiffrer /home mais ce n'est pas très
"secure".



Qui a dit que ce n'était pas sûr ? Après faut voir, mis à part
travailler pour une haute instance du gouvernement, chiffrer uniquement
le home est largement suffisant.

Pour mon laptop, j'utilise ecryptfs sous Debian et ça tourne franchement
pas mal. Simple à mettre en œeuvre, pas de perte de perfs, migration à
partir de homes déjà présents.

À réfléchir donc.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Tue, 29 Nov 2011 15:23:39 +0100
David BERCOT wrote:

Sur une machine, je souhaiterais mettre en place des volumes chiffré s.
Apparemment, l'idéal consiste à chiffrer toutes les partitions (/,
swap, /home, voire d'autres), sauf /boot.

Maintenant, l'installer de Debian propose d'utiliser LVM pour créer un
volume global (tout sauf /boot) et découper ensuite ce volume. Soit.

A la base, je pensais simplement chiffrer /home mais ce n'est pas trà ¨s
"secure".



Étant donné qu'on n'a ni les tenants ni les aboutissants, on surf e
sur de l'air...

Est-ce qu'il s'agit juste de protéger des données perso uniquemen t
stockées dans /home, ou d'autres choses (et lesquelles?)

Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la ma tière
sera le bienvenu ;-)



Tout dépend de la réponse à la question ci-avant; s'il s'agit
juste des données perso, encrypter /home et SWAP est suffisant.

--
***
*******
*********
****** Confucious say: "Is stuffy inside fortune cookie."
*******
***

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
tv.debian
Le 29/11/2011 15:23, David BERCOT a écrit :
Bonjour,

Sur une machine, je souhaiterais mettre en place des volumes chiffrés.
Apparemment, l'idéal consiste à chiffrer toutes les partitions (/,
swap, /home, voire d'autres), sauf /boot.

Maintenant, l'installer de Debian propose d'utiliser LVM pour créer un
volume global (tout sauf /boot) et découper ensuite ce volume. Soit.

A la base, je pensais simplement chiffrer /home mais ce n'est pas très
"secure". Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la matière
sera le bienvenu ;-)

Merci d'avance.

David.




Salut, pour être efficaces le chiffrage doit être fait au minimum pour
/home et la swap, /tmp et /var/tmp sont des bons candidats également
(caches), mais à mon avis il vaut mieux chiffrer l'ensemble du système
que de compromettre l'ensemble en oubliant un répertoire.
La pénalité en ressource est négligeable avec un processeur moderne quel
que soit la configuration. Sur un vieux portable par contre ça peut être
sensible et entraîner surchauffe et réduction de l'autonomie de la batterie.

La méthode de l'installateur Debian est intéressante, une seule phrase à
taper ou un seul fichier-clé, tout est protégé à l'intérieur du lvm
unique. Comme de toute façon il faut réinstaller pour chiffrer c'est la
solution de simplicité.

Pour ma part j'utilise "luks" et je conserve pour les stations de
travail mon partitionnement habituel /boot, /root, /home et swap (+
partitions de données). /boot n'est pas chiffré, dans mon cas il est sur
clé usb. /root est chiffré avec une phrase ou un fichier-clé (sur la
même clé usb, elle est cryptée matériellement par un système de
"padlock"). swap est soit chiffrée par clé aléatoire (pas besoin de
veille sur disque) ou par la méthode "decrypt-derived" (clé de
chiffrement dérivée de la partition /root). /home et les partitions de
données sont chiffrés avec "pam-mount". De cette façon je tape une
phrase de passe (ou je fourni un fichier-clé au démarrage), et ensuite
je n'ai qu'à taper mon mot de passe de login pour déchiffrer le reste.
C'est un peu complexe à mettre en place mais ça fonctionne parfaitement.
La principale contrainte est de synchroniser le mot de passe de login et
celui des conteneurs luks à déchiffrer par "pam-mount".
L'intérêt pour moi est de pouvoir placer les partitions chiffrées sur
des disques différents (j'ai du RAID en dessous du LUKS sur les ordi de
bureau), et de les "déménager" si besoin sur des machines différentes.

Il y a une page qui décrit plus ou moins la technique que j'utilise là :

http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup

Si tu lis l'anglais il y a un sujet en cours sur la liste anglophone
intitulé "Full Disk Encryption" avec des idées et quelques stat de
performances.

Bon amusement.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
David BERCOT
A la base, je pensais simplement chiffrer /home mais ce n'est pas
très "secure".


Étant donné qu'on n'a ni les tenants ni les aboutissants, on sur fe
sur de l'air...



OK, je n'ai pas été assez précis ;-)
Disons que Debian a crié en me disant que SWAP n'était pas crypt é.
Et je me suis donc posé la question du reste (/etc par exemple).

Mais bon, on est d'accord sur le fait que le principal (pour moi),
c'est /home.

Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la m atière
sera le bienvenu ;-)



Tout dépend de la réponse à la question ci-avant; s'il s'ag it
juste des données perso, encrypter /home et SWAP est suffisant.



Non, pas tout à fait ! En effet, chiffrer /home et SWAP est suffisant
sur le papier. Mais ça apporte déjà la contrainte d'avoir 2 partitions
et donc 2 phrases à saisir au boot. En LVM (je mets en parallèle LVM
et des partitions "classiques"), je n'en ai qu'une...

C'était sur ces aspects pratiques que je posais la question.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Tue, 29 Nov 2011 17:18:02 +0100
David BERCOT wrote:

Mais bon, on est d'accord sur le fait que le principal (pour moi),
c'est /home.




Ok

Non, pas tout à fait ! En effet, chiffrer /home et SWAP est suffisant
sur le papier. Mais ça apporte déjà la contrainte d'avoir 2 partitions
et donc 2 phrases à saisir au boot. En LVM (je mets en parallèl e LVM
et des partitions "classiques"), je n'en ai qu'une...



Rien ne t'empêche d'y mettre la même phrase... Mais il est é vident
que tu ne pourras faire autrement que de la saisir 2 fois.

Il faudrait V. ce que disent les sites spécialisés parce qu'avec les
anciens systèmes on pouvait déporter la clé d'encryption sur une clé
USB qu'il suffisait de plugger au moment du boot ou avant.

Pour ce qui est de /tmp & /var/tmp, les encrypter n'offre un intérà ªt
que si ce ne sont pas des partitions à part et si tu travailles sur
de très gros documents.

C'était sur ces aspects pratiques que je posais la question.



Perso, afin d'éviter de se poser des questions (presque) sans fin
et aussi parce que j'ai des devs dans /usr/local/, je ne me ferais
pas chier et j'encrypterai tout avec http://www.truecrypt.org/.

À partir du moment où ton CPU est au moins bi-core et qu'il-y-a
assez de RAM, le ralentissement est peu perceptible (sauf peut-être
avec Serpent qui est plus secure mais prend plus d'opérations CPU);
Twofish est un excellent compromis efficacité/vitesse.

Goody: on peut déporter la clé et la "cacher" dans un fichier
compressé ayant une extension bateau (mp3, zip, txt, etc).

Cependant, TrueCrypt comporte qq pièges et il faut lire
attentivement et complètement les docs avant de tenter quoique ce
soit.

--
Can I have an IMPULSE ITEM instead?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Goldy
Le 29/11/2011 17:18, David BERCOT a écrit :
A la base, je pensais simplement chiffrer /home mais ce n'est pas
très "secure".


Étant donné qu'on n'a ni les tenants ni les aboutissants, on surfe
sur de l'air...



OK, je n'ai pas été assez précis ;-)
Disons que Debian a crié en me disant que SWAP n'était pas crypté.
Et je me suis donc posé la question du reste (/etc par exemple).

Mais bon, on est d'accord sur le fait que le principal (pour moi),
c'est /home.

Je peux également faire 3 partitions (en plus de /boot)
séparées /, swap & /home et chiffrer chacune d'elles.

Y a-t-il des différences importantes entre ces méthodes ? Des
contraintes liées à l'une d'elles ? Bref, tout conseil en la matière
sera le bienvenu ;-)



Tout dépend de la réponse à la question ci-avant; s'il s'agit
juste des données perso, encrypter /home et SWAP est suffisant.



Non, pas tout à fait ! En effet, chiffrer /home et SWAP est suffisant
sur le papier. Mais ça apporte déjà la contrainte d'avoir 2 partitions
et donc 2 phrases à saisir au boot. En LVM (je mets en parallèle LVM
et des partitions "classiques"), je n'en ai qu'une...

C'était sur ces aspects pratiques que je posais la question.

David.





Bonjour,

Swap peut être chiffré avec une clé aléatoire qui sera réinitialisée à
chaque démarrage de la machine. Ainsi il est possible d'avoir une
partition home et une partition swap chiffrée sans nécessairement devoir
saisir deux phrases de passe.

Christophe

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
J
Le mardi 29 novembre 2011 à 16:02 +0100, David BERCOT a écrit :
Bonjour,

Une procédure éprouvée :

1. Télécharger boot.img.gz à partir de
http://d-i.debian.org/daily-images/amd64/daily/hd-media/

2. Télécharger debian-testing-amd64-netinst.iso à partir de
http://cdimage.debian.org/cdimage/daily-builds/sid_d-i/current/amd64/iso-cd/

3. Pour mémoire, trouver la bonne clé dans la liste :
ls -l /dev/disk/by-id/usb*

4. Construire la clé, amorcée par syslinux :
zcat boot.img.gz > /dev/sdc [la clé est entièrement effacée !!!]

5. Monter la clé : mount /dev/sdc /mnt

6. Y copier l'image ISO : cp debian-testing-amd64-businesscard.iso /mnt

7. Démonter la clé : umount /mnt

Bon courage !

David.

Le Tue, 29 Nov 2011 14:56:03 +0000 (GMT),
vincent a écrit :
>Bonjour,
>je souhaite installer debian depuis ma clef USB(2Go).
>sur le site debian.org, je suis arrivé au site
>http://www.debian.org/distrib/netinst qui redirige vers un site
>néerlandais pour la création de sa clef bootable. Mais je ne comprends
>pas trop ce qu'il y a sur ce depot.
>
>je peux aussi rendre l'image iso du CD d'install, copiée sur ma clef
>USB, bootable, non ? par exple
>http://cdimage.debian.org/debian-cd/6.0.3/i386/iso-cd/
>
>dans ce cas, l'utilisation du CD 1 est-elle suffisante ?
>les autres CD peuvent-ils être récupérés par le reseau (PC branché au
>reseau pendant l'install) ?
>
>Cordialement,
>Vincent




Même pas, il suffit de copier l'image iso depuis Squeeze :
# cat debian.iso > /dev/sdX
# sync

source : http://www.debian.org/releases/stable/amd64/ch04s03.html.fr


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2