Et pourquoi pas simplement un rsync du FS source vers le FS crypté monté ?Le 23 août 2018 à 10:44, dethegeek
<mailto: a écrit :
Bonjour,
J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un volume
chiffré. Mes recherches ne m'ont doné que des méthodes d'installation
frâiche.
Quelqu'un a t il une bonne ressource pour m'éviter de tout réinstaller
(et perdre du temps à tout reconfigurer) ?
--
Pierre Malard
«/Le courage, c'est de chercher la vérité et de la dire, /
/ c'est de ne pas subir la loi du mensonge triomphant qui passe /
/ et de ne pas faire écho de notre âme, de notre bouche et de nos mains /
/ aux applaudissements imbéciles et aux huées fanatiques./»
Jean Jaures - "Discours de jeunesse" - 1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Et pourquoi pas simplement un rsync du FS source vers le FS crypté monté ?
Le 23 août 2018 à 10:44, dethegeek <dethegeek@gmail.com
<mailto:dethegeek@gmail.com>> a écrit :
Bonjour,
J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un volume
chiffré. Mes recherches ne m'ont doné que des méthodes d'installation
frâiche.
Quelqu'un a t il une bonne ressource pour m'éviter de tout réinstaller
(et perdre du temps à tout reconfigurer) ?
--
Pierre Malard
«/Le courage, c'est de chercher la vérité et de la dire, /
/ c'est de ne pas subir la loi du mensonge triomphant qui passe /
/ et de ne pas faire écho de notre âme, de notre bouche et de nos mains /
/ aux applaudissements imbéciles et aux huées fanatiques./»
Jean Jaures - "Discours de jeunesse" - 1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Et pourquoi pas simplement un rsync du FS source vers le FS crypté monté ?Le 23 août 2018 à 10:44, dethegeek
<mailto: a écrit :
Bonjour,
J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un volume
chiffré. Mes recherches ne m'ont doné que des méthodes d'installation
frâiche.
Quelqu'un a t il une bonne ressource pour m'éviter de tout réinstaller
(et perdre du temps à tout reconfigurer) ?
--
Pierre Malard
«/Le courage, c'est de chercher la vérité et de la dire, /
/ c'est de ne pas subir la loi du mensonge triomphant qui passe /
/ et de ne pas faire écho de notre âme, de notre bouche et de nos mains /
/ aux applaudissements imbéciles et aux huées fanatiques./»
Jean Jaures - "Discours de jeunesse" - 1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Et pourquoi pas simplement un rsync du FS source vers le FS crypté
monté ?
Le 23 août 2018 à 10:44, dethegeek a écrit :
Bonjour,
J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un
volume
chiffré. Mes recherches ne m'ont doné que des méthodes
d'installation
frâiche.
Quelqu'un a t il une bonne ressource pour m'éviter de tout
réinstaller
(et perdre du temps à tout reconfigurer) ?
--
Pierre Malard
«Le courage, c'est de chercher la vérité et de la dire,
c'est de ne pas subir la loi du mensonge triomphant qui passe
et de ne pas faire écho de notre âme, de notre bouche et de nos
mains
aux applaudissements imbéciles et aux huées fanatiques.»
Jean Jaures - "Discours de jeunesse" -
1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Et pourquoi pas simplement un rsync du FS source vers le FS crypté
monté ?
> Le 23 août 2018 à 10:44, dethegeek <dethegeek@gmail.com> a écrit :
>
> Bonjour,
>
> J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un
> volume
> chiffré. Mes recherches ne m'ont doné que des méthodes
> d'installation
> frâiche.
>
> Quelqu'un a t il une bonne ressource pour m'éviter de tout
> réinstaller
> (et perdre du temps à tout reconfigurer) ?
>
--
Pierre Malard
«Le courage, c'est de chercher la vérité et de la dire,
c'est de ne pas subir la loi du mensonge triomphant qui passe
et de ne pas faire écho de notre âme, de notre bouche et de nos
mains
aux applaudissements imbéciles et aux huées fanatiques.»
Jean Jaures - "Discours de jeunesse" -
1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Et pourquoi pas simplement un rsync du FS source vers le FS crypté
monté ?
Le 23 août 2018 à 10:44, dethegeek a écrit :
Bonjour,
J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un
volume
chiffré. Mes recherches ne m'ont doné que des méthodes
d'installation
frâiche.
Quelqu'un a t il une bonne ressource pour m'éviter de tout
réinstaller
(et perdre du temps à tout reconfigurer) ?
--
Pierre Malard
«Le courage, c'est de chercher la vérité et de la dire,
c'est de ne pas subir la loi du mensonge triomphant qui passe
et de ne pas faire écho de notre âme, de notre bouche et de nos
mains
aux applaudissements imbéciles et aux huées fanatiques.»
Jean Jaures - "Discours de jeunesse" -
1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Bonjour,
J'imagine qu'il n'y a peut-être pas la place de tout dupliquer ;-)
Sinon, je pense en effet qu'il n'y a pas de migration possible.
D'ailleurs, quand je ré-installe mon ordinateur, je suis obligé de
tout
sauvegarder au préalable (via rsync d'ailleurs), d'effectuer une
nouvelle installation et enfin de tout ré-injecter (mon home,
toujours
via rsync).
L'idéal serait une solution pour reprendre une partition chiffrée
lors
d'une nouvelle installation (à moins que je ne sois passé à côté de
quelque chose)...
David.
Le 23/08/2018 à 11:49, Pierre Malard a écrit :Et pourquoi pas simplement un rsync du FS source vers le FS crypté
monté ?
> Le 23 août 2018 à 10:44, dethegeek
> <mailto: a écrit :
>
> Bonjour,
>
> J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un
> volume
> chiffré. Mes recherches ne m'ont doné que des méthodes
> d'installation
> frâiche.
>
> Quelqu'un a t il une bonne ressource pour m'éviter de tout
> réinstaller
> (et perdre du temps à tout reconfigurer) ?
>
--
Pierre Malard
«/Le courage, c'est de chercher la vérité et de la dire, /
/ c'est de ne pas subir la loi du mensonge triomphant qui
passe /
/ et de ne pas faire écho de notre âme, de notre bouche et de
nos mains /
/ aux applaudissements imbéciles et aux huées fanatiques./»
Jean Jaures - "Discours de jeunesse" - 1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A-
)
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Bonjour,
J'imagine qu'il n'y a peut-être pas la place de tout dupliquer ;-)
Sinon, je pense en effet qu'il n'y a pas de migration possible.
D'ailleurs, quand je ré-installe mon ordinateur, je suis obligé de
tout
sauvegarder au préalable (via rsync d'ailleurs), d'effectuer une
nouvelle installation et enfin de tout ré-injecter (mon home,
toujours
via rsync).
L'idéal serait une solution pour reprendre une partition chiffrée
lors
d'une nouvelle installation (à moins que je ne sois passé à côté de
quelque chose)...
David.
Le 23/08/2018 à 11:49, Pierre Malard a écrit :
> Et pourquoi pas simplement un rsync du FS source vers le FS crypté
> monté ?
>
> > Le 23 août 2018 à 10:44, dethegeek <dethegeek@gmail.com
> > <mailto:dethegeek@gmail.com>> a écrit :
> >
> > Bonjour,
> >
> > J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un
> > volume
> > chiffré. Mes recherches ne m'ont doné que des méthodes
> > d'installation
> > frâiche.
> >
> > Quelqu'un a t il une bonne ressource pour m'éviter de tout
> > réinstaller
> > (et perdre du temps à tout reconfigurer) ?
> >
>
> --
> Pierre Malard
>
> «/Le courage, c'est de chercher la vérité et de la dire, /
> / c'est de ne pas subir la loi du mensonge triomphant qui
> passe /
> / et de ne pas faire écho de notre âme, de notre bouche et de
> nos mains /
> / aux applaudissements imbéciles et aux huées fanatiques./»
> Jean Jaures - "Discours de jeunesse" - 1903
> ("`-/")_.-'"``-._
> . . `; -._ )-;-,_`)
> (v_,)' _ )`-. ``-'
> _.- _..-_/ / ((.'
> ((,.-' ((,/ πr
>
> perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A-
> )
> )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
> 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
> - --> Ce message n’engage que son auteur <--
>
Bonjour,
J'imagine qu'il n'y a peut-être pas la place de tout dupliquer ;-)
Sinon, je pense en effet qu'il n'y a pas de migration possible.
D'ailleurs, quand je ré-installe mon ordinateur, je suis obligé de
tout
sauvegarder au préalable (via rsync d'ailleurs), d'effectuer une
nouvelle installation et enfin de tout ré-injecter (mon home,
toujours
via rsync).
L'idéal serait une solution pour reprendre une partition chiffrée
lors
d'une nouvelle installation (à moins que je ne sois passé à côté de
quelque chose)...
David.
Le 23/08/2018 à 11:49, Pierre Malard a écrit :Et pourquoi pas simplement un rsync du FS source vers le FS crypté
monté ?
> Le 23 août 2018 à 10:44, dethegeek
> <mailto: a écrit :
>
> Bonjour,
>
> J'ai un Debian sid sur raid 1 + LVM que je veux migrer dans un
> volume
> chiffré. Mes recherches ne m'ont doné que des méthodes
> d'installation
> frâiche.
>
> Quelqu'un a t il une bonne ressource pour m'éviter de tout
> réinstaller
> (et perdre du temps à tout reconfigurer) ?
>
--
Pierre Malard
«/Le courage, c'est de chercher la vérité et de la dire, /
/ c'est de ne pas subir la loi du mensonge triomphant qui
passe /
/ et de ne pas faire écho de notre âme, de notre bouche et de
nos mains /
/ aux applaudissements imbéciles et aux huées fanatiques./»
Jean Jaures - "Discours de jeunesse" - 1903
("`-/")_.-'"``-._
. . `; -._ )-;-,_`)
(v_,)' _ )`-. ``-'
_.- _..-_/ / ((.'
((,.-' ((,/ πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A-
)
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Le 24 août 2018 à 10:34, Daniel Caillibaud a écrit :
Le 23/08/18 à 16:38, dethegeek a écrit :bonjour
J'ai la chance d'avoir pris un réflexe: ne pas allouer tout l'espace
disque avec mes volumes logiques. De plus mes disques font 2 To et j'ai
des 4 To qui attendent la fin de l'opération pour aller dans une
machine de sauvegarde. L'espace disque n'est pas un souci.
Dans ce cas, tu peux comme le suggérait Pierre créer une partition et tout
copier
- si /boot n'est pas séparé, créer une petite partition /boot
non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab actuel
(prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein dès que
tu as plusieurs noyaux installés)
- créer une partition chiffrée (ou deux si tu veux sépare r /home)
- la monter dans ta debian actuelle
- rsync -ax / /partitionChiffreeMontee
- modifier /partitionChiffreeMontee/etc/fstab pour qu'elle ait une chance
de booter correctement, lui ajouter éventuellement un point de montage
pour la partition initiale non chiffrée
- créer un /partitionChiffreeMontee/etc/cryptab avec la bonne partition
(blkid pour avoir son uuid)
- update-grub et vérifier qu'il a bien trouvé cette nouvelle debian
- tenter un reboot sur ta nouvelle debian
Sinon, peut-être plus rapide, faire une nouvelle install et migrer ensuite
(les lignes suivantes supposent que tu as le même /boot pour l'ancienne et
la nouvelle, adapter si c'est pas le cas)
- enregistrer la liste des paquets de ta debian actuelle :
aptitude -F "%p" search ~i!~M > /boot/packages.list
# avec les paquets installés automatiquement
aptitude -F "%p" search ~i > /boot/packages.all.list
- lancer une install debian chiffrée sur de nouvelles partitions (install
minimale)
- booter sur cette debian chiffrée en root
- installer tous tes paquets avec
aptitude install $(</boot/packages.list)
- vérifier que tu as les mêmes dépendances
aptitude -F "%p" search ~i > /boot/packages.new.all.list
diff /boot/packages.new.list /boot/packages.new.all.list
- mount de ton ancienne partition
- rsync de ton home
- regarder chaque différence de /etc
diff -qr /etc /oldDebian/etc
il devrait pas y en avoir bcp plus que fstab et cryptab, pour vérifier que
tu oublie pas une config perso que tu avais faite
- reboot "normal" et login avec ton user ordinaire sur ta debian chiffrée
- après qq semaines tu devrais pouvoir virer l'ancienne debian
--
Daniel
Le philosophe cherche des solutions aux problèmes et
ne trouve que des problèmes sans solutions.
Sim
Le 24 août 2018 à 10:34, Daniel Caillibaud <ml@lairdutemps.org> a écrit :
Le 23/08/18 à 16:38, dethegeek <dethegeek@gmail.com> a écrit :
bonjour
J'ai la chance d'avoir pris un réflexe: ne pas allouer tout l'espace
disque avec mes volumes logiques. De plus mes disques font 2 To et j'ai
des 4 To qui attendent la fin de l'opération pour aller dans une
machine de sauvegarde. L'espace disque n'est pas un souci.
Dans ce cas, tu peux comme le suggérait Pierre créer une partition et tout
copier
- si /boot n'est pas séparé, créer une petite partition /boot
non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab actuel
(prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein dès que
tu as plusieurs noyaux installés)
- créer une partition chiffrée (ou deux si tu veux sépare r /home)
- la monter dans ta debian actuelle
- rsync -ax / /partitionChiffreeMontee
- modifier /partitionChiffreeMontee/etc/fstab pour qu'elle ait une chance
de booter correctement, lui ajouter éventuellement un point de montage
pour la partition initiale non chiffrée
- créer un /partitionChiffreeMontee/etc/cryptab avec la bonne partition
(blkid pour avoir son uuid)
- update-grub et vérifier qu'il a bien trouvé cette nouvelle debian
- tenter un reboot sur ta nouvelle debian
Sinon, peut-être plus rapide, faire une nouvelle install et migrer ensuite
(les lignes suivantes supposent que tu as le même /boot pour l'ancienne et
la nouvelle, adapter si c'est pas le cas)
- enregistrer la liste des paquets de ta debian actuelle :
aptitude -F "%p" search ~i!~M > /boot/packages.list
# avec les paquets installés automatiquement
aptitude -F "%p" search ~i > /boot/packages.all.list
- lancer une install debian chiffrée sur de nouvelles partitions (install
minimale)
- booter sur cette debian chiffrée en root
- installer tous tes paquets avec
aptitude install $(</boot/packages.list)
- vérifier que tu as les mêmes dépendances
aptitude -F "%p" search ~i > /boot/packages.new.all.list
diff /boot/packages.new.list /boot/packages.new.all.list
- mount de ton ancienne partition
- rsync de ton home
- regarder chaque différence de /etc
diff -qr /etc /oldDebian/etc
il devrait pas y en avoir bcp plus que fstab et cryptab, pour vérifier que
tu oublie pas une config perso que tu avais faite
- reboot "normal" et login avec ton user ordinaire sur ta debian chiffrée
- après qq semaines tu devrais pouvoir virer l'ancienne debian
--
Daniel
Le philosophe cherche des solutions aux problèmes et
ne trouve que des problèmes sans solutions.
Sim
Le 24 août 2018 à 10:34, Daniel Caillibaud a écrit :
Le 23/08/18 à 16:38, dethegeek a écrit :bonjour
J'ai la chance d'avoir pris un réflexe: ne pas allouer tout l'espace
disque avec mes volumes logiques. De plus mes disques font 2 To et j'ai
des 4 To qui attendent la fin de l'opération pour aller dans une
machine de sauvegarde. L'espace disque n'est pas un souci.
Dans ce cas, tu peux comme le suggérait Pierre créer une partition et tout
copier
- si /boot n'est pas séparé, créer une petite partition /boot
non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab actuel
(prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein dès que
tu as plusieurs noyaux installés)
- créer une partition chiffrée (ou deux si tu veux sépare r /home)
- la monter dans ta debian actuelle
- rsync -ax / /partitionChiffreeMontee
- modifier /partitionChiffreeMontee/etc/fstab pour qu'elle ait une chance
de booter correctement, lui ajouter éventuellement un point de montage
pour la partition initiale non chiffrée
- créer un /partitionChiffreeMontee/etc/cryptab avec la bonne partition
(blkid pour avoir son uuid)
- update-grub et vérifier qu'il a bien trouvé cette nouvelle debian
- tenter un reboot sur ta nouvelle debian
Sinon, peut-être plus rapide, faire une nouvelle install et migrer ensuite
(les lignes suivantes supposent que tu as le même /boot pour l'ancienne et
la nouvelle, adapter si c'est pas le cas)
- enregistrer la liste des paquets de ta debian actuelle :
aptitude -F "%p" search ~i!~M > /boot/packages.list
# avec les paquets installés automatiquement
aptitude -F "%p" search ~i > /boot/packages.all.list
- lancer une install debian chiffrée sur de nouvelles partitions (install
minimale)
- booter sur cette debian chiffrée en root
- installer tous tes paquets avec
aptitude install $(</boot/packages.list)
- vérifier que tu as les mêmes dépendances
aptitude -F "%p" search ~i > /boot/packages.new.all.list
diff /boot/packages.new.list /boot/packages.new.all.list
- mount de ton ancienne partition
- rsync de ton home
- regarder chaque différence de /etc
diff -qr /etc /oldDebian/etc
il devrait pas y en avoir bcp plus que fstab et cryptab, pour vérifier que
tu oublie pas une config perso que tu avais faite
- reboot "normal" et login avec ton user ordinaire sur ta debian chiffrée
- après qq semaines tu devrais pouvoir virer l'ancienne debian
--
Daniel
Le philosophe cherche des solutions aux problèmes et
ne trouve que des problèmes sans solutions.
Sim
Le 24 août 2018 à 10:34, Daniel Caillibaud a
écrit :
Le 23/08/18 à 16:38, dethegeek a écrit :
> bonjour
>
> J'ai la chance d'avoir pris un réflexe: ne pas allouer tout
> l'espace
> disque avec mes volumes logiques. De plus mes disques font 2 To
> et j'ai
> des 4 To qui attendent la fin de l'opération pour aller dans une
> machine de sauvegarde. L'espace disque n'est pas un souci.
Dans ce cas, tu peux comme le suggérait Pierre créer une partition
et tout
copier
- si /boot n'est pas séparé, créer une petite partition /boot
non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab
actuel
(prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein
dès que
tu as plusieurs noyaux installés)
- créer une partition chiffrée (ou deux si tu veux séparer /home)
- la monter dans ta debian actuelle
- rsync -ax / /partitionChiffreeMontee
Personnellement, j’ajouterai la copie d’éventuelles ACL (-A),
exclurait les inutiles dans ce cas (—exclude), afficherait les
statistiques à la fin (—stats) et, histoire de mettre les points sur
les « i » j’ajouterai un « / » à la fin. Ce qui donnerai après avoir
copié le contenu de « /boot » sur la nouvelle partition :
--
Pierre Malard
« le passé n'éclairant plus l'avenir, l'esprit marche dans les
ténèbres »
Alexis de Tocqueville -
Démocratie en Amérique
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
> Le 24 août 2018 à 10:34, Daniel Caillibaud <ml@lairdutemps.org> a
> écrit :
>
> Le 23/08/18 à 16:38, dethegeek <dethegeek@gmail.com> a écrit :
> > bonjour
> >
> > J'ai la chance d'avoir pris un réflexe: ne pas allouer tout
> > l'espace
> > disque avec mes volumes logiques. De plus mes disques font 2 To
> > et j'ai
> > des 4 To qui attendent la fin de l'opération pour aller dans une
> > machine de sauvegarde. L'espace disque n'est pas un souci.
>
> Dans ce cas, tu peux comme le suggérait Pierre créer une partition
> et tout
> copier
> - si /boot n'est pas séparé, créer une petite partition /boot
> non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab
> actuel
> (prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein
> dès que
> tu as plusieurs noyaux installés)
> - créer une partition chiffrée (ou deux si tu veux séparer /home)
> - la monter dans ta debian actuelle
> - rsync -ax / /partitionChiffreeMontee
Personnellement, j’ajouterai la copie d’éventuelles ACL (-A),
exclurait les inutiles dans ce cas (—exclude), afficherait les
statistiques à la fin (—stats) et, histoire de mettre les points sur
les « i » j’ajouterai un « / » à la fin. Ce qui donnerai après avoir
copié le contenu de « /boot » sur la nouvelle partition :
--
Pierre Malard
« le passé n'éclairant plus l'avenir, l'esprit marche dans les
ténèbres »
Alexis de Tocqueville -
Démocratie en Amérique
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Le 24 août 2018 à 10:34, Daniel Caillibaud a
écrit :
Le 23/08/18 à 16:38, dethegeek a écrit :
> bonjour
>
> J'ai la chance d'avoir pris un réflexe: ne pas allouer tout
> l'espace
> disque avec mes volumes logiques. De plus mes disques font 2 To
> et j'ai
> des 4 To qui attendent la fin de l'opération pour aller dans une
> machine de sauvegarde. L'espace disque n'est pas un souci.
Dans ce cas, tu peux comme le suggérait Pierre créer une partition
et tout
copier
- si /boot n'est pas séparé, créer une petite partition /boot
non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab
actuel
(prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein
dès que
tu as plusieurs noyaux installés)
- créer une partition chiffrée (ou deux si tu veux séparer /home)
- la monter dans ta debian actuelle
- rsync -ax / /partitionChiffreeMontee
Personnellement, j’ajouterai la copie d’éventuelles ACL (-A),
exclurait les inutiles dans ce cas (—exclude), afficherait les
statistiques à la fin (—stats) et, histoire de mettre les points sur
les « i » j’ajouterai un « / » à la fin. Ce qui donnerai après avoir
copié le contenu de « /boot » sur la nouvelle partition :
--
Pierre Malard
« le passé n'éclairant plus l'avenir, l'esprit marche dans les
ténèbres »
Alexis de Tocqueville -
Démocratie en Amérique
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- )
)-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_):
24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
Le 24/08/18 à 16:13, Daniel Caillibaud a écrit :/dev/mapper/sda5_crypt est le pv dans lequel j'ai mes 3 lv root,
swap et
home
Juste une remarque, la plupart des tutos / docs parlent de chiffrer
un lv
puis y mettre un filesystem, mais si tu as plusieurs partitions
chiffrées
et ne veut taper qu'une seule passphrase au boot, ça oblige à mettre
la
passphrase dans un fichier [1]
Je trouve plus simple de chiffrer une partition et de l'utiliser
comme pv
pour lvm, tous les lv qu'il contient seront de fait chiffrés (faut
juste
faire attention si tu as un vg à cheval sur plusieurs pv, mais ça
peut
justement servir dans ton cas pour déplacer un vg d'un pv non chiffré
à un
chiffré, et inversement, ou bien quand tu changera de disque à
déplacer le
vg d'un pv chiffré à un autre pv chiffré).
Si tu réussis à créer le pv chiffré et y déplacer ton vg et ses lv,
raconte
ça ici, ça servira sûrement à d'autres ;-)
[1] sur la partition / qui va monter les autres avec ce fichier, pas
si
grave car si elle est montée c'est qu'on a déjà tapé la passphrase,
mais
quun qui peut accéder aux droits root sur la machine qui tourne déjà
pourra
lire ce fichier même si c'est pas lui qui a tapé la passphrase)
Le 24/08/18 à 16:13, Daniel Caillibaud <ml@lairdutemps.org> a écrit :
> /dev/mapper/sda5_crypt est le pv dans lequel j'ai mes 3 lv root,
> swap et
> home
Juste une remarque, la plupart des tutos / docs parlent de chiffrer
un lv
puis y mettre un filesystem, mais si tu as plusieurs partitions
chiffrées
et ne veut taper qu'une seule passphrase au boot, ça oblige à mettre
la
passphrase dans un fichier [1]
Je trouve plus simple de chiffrer une partition et de l'utiliser
comme pv
pour lvm, tous les lv qu'il contient seront de fait chiffrés (faut
juste
faire attention si tu as un vg à cheval sur plusieurs pv, mais ça
peut
justement servir dans ton cas pour déplacer un vg d'un pv non chiffré
à un
chiffré, et inversement, ou bien quand tu changera de disque à
déplacer le
vg d'un pv chiffré à un autre pv chiffré).
Si tu réussis à créer le pv chiffré et y déplacer ton vg et ses lv,
raconte
ça ici, ça servira sûrement à d'autres ;-)
[1] sur la partition / qui va monter les autres avec ce fichier, pas
si
grave car si elle est montée c'est qu'on a déjà tapé la passphrase,
mais
quun qui peut accéder aux droits root sur la machine qui tourne déjà
pourra
lire ce fichier même si c'est pas lui qui a tapé la passphrase)
Le 24/08/18 à 16:13, Daniel Caillibaud a écrit :/dev/mapper/sda5_crypt est le pv dans lequel j'ai mes 3 lv root,
swap et
home
Juste une remarque, la plupart des tutos / docs parlent de chiffrer
un lv
puis y mettre un filesystem, mais si tu as plusieurs partitions
chiffrées
et ne veut taper qu'une seule passphrase au boot, ça oblige à mettre
la
passphrase dans un fichier [1]
Je trouve plus simple de chiffrer une partition et de l'utiliser
comme pv
pour lvm, tous les lv qu'il contient seront de fait chiffrés (faut
juste
faire attention si tu as un vg à cheval sur plusieurs pv, mais ça
peut
justement servir dans ton cas pour déplacer un vg d'un pv non chiffré
à un
chiffré, et inversement, ou bien quand tu changera de disque à
déplacer le
vg d'un pv chiffré à un autre pv chiffré).
Si tu réussis à créer le pv chiffré et y déplacer ton vg et ses lv,
raconte
ça ici, ça servira sûrement à d'autres ;-)
[1] sur la partition / qui va monter les autres avec ce fichier, pas
si
grave car si elle est montée c'est qu'on a déjà tapé la passphrase,
mais
quun qui peut accéder aux droits root sur la machine qui tourne déjà
pourra
lire ce fichier même si c'est pas lui qui a tapé la passphrase)
j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles: rootfs
et home. J'ai initialement prévu que boot soit non chiffré, mais c'est
pas une bone idée. On peut techniquement attaquer ce volume pour y
mettre un keylogger.
La bonne pratique est donc de chiffrer /boot, grub , de ce que je lis,
le gère
j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles: rootfs
et home. J'ai initialement prévu que boot soit non chiffré, mais c'est
pas une bone idée. On peut techniquement attaquer ce volume pour y
mettre un keylogger.
La bonne pratique est donc de chiffrer /boot, grub , de ce que je lis,
le gère
j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles: rootfs
et home. J'ai initialement prévu que boot soit non chiffré, mais c'est
pas une bone idée. On peut techniquement attaquer ce volume pour y
mettre un keylogger.
La bonne pratique est donc de chiffrer /boot, grub , de ce que je lis,
le gère
Le 24/08/2018 à 21:50, dethegeek a écrit :j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles:
rootfs
et home. J'ai initialement prévu que boot soit non chiffré, mais
c'est
pas une bone idée. On peut techniquement attaquer ce volume pour y
mettre un keylogger.
La bonne pratique est donc de chiffrer /boot, grub , de ce que je
lis,
le gère
Oui. Mais la core image de GRUB (qui demande de taper la passphrase
pour
déchiffrer le volume contenant /boot) reste en clair et donc
vulnérable.
Si le but est de se protéger de la divulgation des données en cas de
perte ou vol de l'ordinateur, alors le chiffrement de /boot n'est
pas
nécessaire, il ne contient pas de donnée sensible.
Si le but est de se protéger contre une intervention illicite sur
l'ordinateur passée inaperçue, alors le chiffrement quel qu'il soit
ne
suffit pas car il reste toujours une partie en clair pour l'amorçage.
Il
faut y ajouter la vérification de l'intégrité.
Le 24/08/2018 à 21:50, dethegeek a écrit :
> j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles:
> rootfs
> et home. J'ai initialement prévu que boot soit non chiffré, mais
> c'est
> pas une bone idée. On peut techniquement attaquer ce volume pour y
> mettre un keylogger.
>
> La bonne pratique est donc de chiffrer /boot, grub , de ce que je
> lis,
> le gère
Oui. Mais la core image de GRUB (qui demande de taper la passphrase
pour
déchiffrer le volume contenant /boot) reste en clair et donc
vulnérable.
Si le but est de se protéger de la divulgation des données en cas de
perte ou vol de l'ordinateur, alors le chiffrement de /boot n'est
pas
nécessaire, il ne contient pas de donnée sensible.
Si le but est de se protéger contre une intervention illicite sur
l'ordinateur passée inaperçue, alors le chiffrement quel qu'il soit
ne
suffit pas car il reste toujours une partie en clair pour l'amorçage.
Il
faut y ajouter la vérification de l'intégrité.
Le 24/08/2018 à 21:50, dethegeek a écrit :j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles:
rootfs
et home. J'ai initialement prévu que boot soit non chiffré, mais
c'est
pas une bone idée. On peut techniquement attaquer ce volume pour y
mettre un keylogger.
La bonne pratique est donc de chiffrer /boot, grub , de ce que je
lis,
le gère
Oui. Mais la core image de GRUB (qui demande de taper la passphrase
pour
déchiffrer le volume contenant /boot) reste en clair et donc
vulnérable.
Si le but est de se protéger de la divulgation des données en cas de
perte ou vol de l'ordinateur, alors le chiffrement de /boot n'est
pas
nécessaire, il ne contient pas de donnée sensible.
Si le but est de se protéger contre une intervention illicite sur
l'ordinateur passée inaperçue, alors le chiffrement quel qu'il soit
ne
suffit pas car il reste toujours une partie en clair pour l'amorçage.
Il
faut y ajouter la vérification de l'intégrité.