Forum Linux.débutant Chiffer le disque entier ou les partitions ?

Posté par . Licence CC by-sa
3
31
déc.
2012

Bonjour !

Dîtes-moi s'il vous plaît, faut-il chiffrer les partitions après avoir partitionné ou le contraire ?

Sur mes deux disques externes de backup, j'ai fait le "cryptsetup luksFormat" avant de créer les partitions, et ça fonctionne sans aucun problème.

Donc, lorsque je veux accéder au contenu de ces disques, je fais d'abord un :

cryptsetup luksOpen /dev/sdg DATASE1 (et pas sdg1 !!!!)
mount /dev/mapper/DATASE1

Est-ce important ?
Quelle est la "recommandation" ?

L'avantage est que la partition table est illisible si on ne connaît pas la clef, mais est-ce important ?

+

  • # tout est fichier, et c'est une question de choix

    Posté par . Évalué à 5.

    ca va paraitre bete, mais sous linux tout est fichier.

    du coup tu peux chiffrer un disque, une partition, un dossier ou un fichier.

    apres c'est une question de choix.
    sur ton disque systeme, ca va me sembler delicat de chiffre le disque en lui meme car grub doit pouvoir lire ses fichiers depuis l'amorce du disque. tu choisiras donc de chiffrer les partitions apres le /boot

    par contre sur tes disques de données, c'est toi qui vois à quel niveau tu veux chiffrer :
    - au niveau du disque = un mot de passe pour lire toutes les partitions
    - au niveau de la partition = pour proteger differemment tes fichiers courant et tes fichiers hyper important
    - au niveau du dossier ? pour partager certains dossiers avec d'autres utilisateurs
    etc

    • [^] # Re: tout est fichier, et c'est une question de choix

      Posté par . Évalué à 1.

      Bonjour Neox,

      Question annexe, j'ai utilisé un périphérique (voice recorder) il y a quelques semaines.
      Je le branche sur ma Arch, via USB, pour accéder aux fichiers (WMA….) et je vois bien le fichier de périphérique /dev/sdc mais aucune partition.
      J'ai du monter /dev/sdc (tout court, sans chiffre).
      Etrange, n'est-ce pas ?

      Je précise que ce périphérique voice recorder ne gère pas du tout le chiffrement !

      Et merci encore…

      PS : j'ai transformé ma grappe RAID1 en RAID5. roulez !

  • # Partition + LUKS + LVM

    Posté par (page perso) . Évalué à 6.

    Personnellement, je partitionne toujours mes périphériques de stockage fixe, même si c'est pour n'y définir qu'une seule partition, pour au moins deux raisons :

    • un périphérique fixe n'est pas vraiment censé être utilisé directement, ou du moins c'est un usage non standard ;
    • les partitions ont un type, qui permet d'identifier ce qu'elles contiennent : un système de fichiers, de la swap, du LUKS, du LVM.

    Si je veux faire du LUKS, je ne définis donc qu'une seule partition couvrant toute la surface du périphérique. Je fais donc du LUKS, et j'effectue mon partitionnement au-dessus. Et puisque j'utilise de toute façon des fonctionnalités avancées de Linux en matière de gestion de périphérique bloc avec LUKS, tant qu'à faire j'utilise du LVM pour effectuer ce partitionnement.

    Donc, ça donne : partitionnement GPT (parce que MS-DOS ça craint), une seule grosse partition, LUKS, puis LVM.

  • # Metadata et RAID

    Posté par . Évalué à 3.

    Bonjour,

    Comme tu veux, mais il y a quelques petit trucs à prendre en compte.

    Les metadata:
    - Avec un disque entièrement chiffré, seules les metadata de LUKS sont en clair au début du disque.
    - Avec les partitions chiffrées, si tu fait d'abord des partitions LVM, ou du RAID, alors les metadata de ces partitions seront en clair en début de chaque partitions. Après il faut savoir que ces metadata contiennent au pire le nom logique de la partition, rien de sérieusement privé.

    En ce qui concerne le raid:
    - si tu chiffres entièrement deux disques, que dans chacun de ces disques tu créer une partition et que tu la redonde en RAID1, alors le système va alors chiffrer deux fois les données (une fois par disque) ce qui consomme du temps processeur.
    - si tu chiffres la partition et que tu le redonde ensuite sur deux disque en clair, alors cette fois le système va ne chiffrer qu'une seule fois les données.

    • [^] # Re: Metadata et RAID

      Posté par . Évalué à 1.

      Très intéressantes remarques.
      Merci beaucoup.

    • [^] # Re: Metadata et RAID

      Posté par (page perso) . Évalué à 2.

      Autre remarque :

      Un chiffrage d'un disque contenant système + données sera plus facilement déchiffrable qu'un disque contenant uniquement les données.

      Je m'explique si le disque contient le système, le pirate peut tenter de supposer de l'existence de certain fichiers à une certaine version (exemple /bin/ls, /bin/mount le noyaux, …).

      Théoriquement en connaissant la partie chiffré, et la partie déchiffré, on peut retrouver la clé (c'est de la théorie, car il faut aussi connaitre l'emplacement du fichier). Du coup il serait envisageable de décrypter le disque en supposant de l’existence de certains fichier.

      Par exemple si je suppose que la distrib est une debian stable, je peux supposé de la version du noyaux et que celui ci se trouve au début du disque. Je devine la clé puis je décrypte l'intégralité.
      Pour faire cela, il faut quand même d'énorme moyen.

      Chiffrer le système à peu d'intérêt et chiffrer les données en a plus. Du coup je préfère chiffrer data + swap d'un coté et ne pas chiffrer le système qui boottera plus rapidement.

      Je ne suis pas spécialiste, donc si des personnes ont des remarques

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.