Forum Linux.debian/ubuntu [WorkFlow] [Ubuntu/Debian] Chiffrer ses partitions avec montage via commande SSH

Posté par  . Licence CC By‑SA.
Étiquettes :
-1
4
oct.
2018

Ce topic fait suite à cette discutions : https://linuxfr.org/users/aleklyon/journaux/horodater-un-cambriolage-avec-des-logs#comment-1750458
Brouillon du tuto : https://wiki.0rion.netlib.re/doku.php?id=workflow_ubuntu_debian_chiffrer_ses_partitions_avec_montage_via_commande_ssh

Ce thread ci-présent sera édité de nombreuses fois en fonction de l'évolution des discu et de l'article.

Donc ce thread traite de la possibilité de chiffrer les partitions, dont surtout celle système, de serveur. Le montage des partitions chiffrées se faisant via une commande SSH la plus standardisée possible (en vue de son automatisation).
Les tests seront effectué sur un Odroid-Xu4 ainsi que probablement sur un Rasbperry Pi.

Questions (un petit V devant une question indique le status résolu):

  • Avez-vous un retour d'utilisation sur microSD et eMMC ? Quid de la durée de vie/stabilité ? Testé sur Raspberry Pi avec système sur partition chiffrée ?

  • Peut-on convertir un système (par exemple via une méthode de ce type (not work sur odroid-xu4) voir même "à chaud")?

  • Quid des perfs sur des gros volumes de données (exemple jbod imaginaire de 2x5To)

  • # Mon retour....

    Posté par  . Évalué à 5.

    1. Ton site pique les yeux. Vraiment, ça en donne aucune envie de lire ou de contribuer à ton article.

    2. La formulation "Donc ce thread traite de la possibilité de chiffrer les partitions, dont surtout celle système. Le montage des partitions chiffrées se faisant via une commande SSH la plus standardisée possible (en vue de son automatisation)." porte à confusion: on a l'impression que tu veux chiffrer ton FS avec SSH. Il faudrait plus parler de "rentrer la passphrase via une commande SSH".

    3. Qu'attends tu précisément sur la partie "Questions": qu'on aille lire ton site, et qu'on réponde là bas ? (sans moi). Qu'on réponde ici ?. Bon, je me lance ici:

      • Globalement un filesystem sur du stockage *SD, c'est pas la panacée: il faut s'assurer de réduire au maximum les écritures, mettre du noatime, etc… Il y a énormément de retour d'expérience sur ce sujet et ils sont globalement assez négatif. Une eMMC résistera à priori mieux.
      • Tout est possible … Mais ici, cela dépend
        • du taux d'utilisation de ton filesystem
        • de l'importance des données qui y sont stockées.
        • du partitionnement: dans un cas idéal, tu utilises LVM, tu réduis au strict minimum la taille du volume "en clair", tu crées un second volume chiffré, et tu migres ton contenu. Dans le cas d'une utilisation du disque en direct sans la couche LVM, ça va être un poil plus complexe (utilisation d'un disque externe temporairement).
        • A chaud ça risque d'être plus compliqué, un reboot au minimum sera nécessaire pour être "propre" et t'assurer que ta machine ne sera pas en carafe au prochain reboot, surtout que, loi d'emmerdement maximum, ce reboot aura lieu à cause d'EDF 6 mois après tes bidouilles et tu auras tout oublié ;-)
      • Les performances seront bien évidemment impactées. L'impact sera plus ou moins violent en fonction de ton hardware, de la présence (et le support correct par le noyau) d'un chip d'accélération crypto, etc…

    Personnellement, j'opterai plus pour un système "en clair" et un /home chiffré…

    • [^] # Re: Mon retour....

      Posté par  . Évalué à 2.

      Le lien du brouillon n'est posté qu'a titre indicatif, toute participation linufrienne se fait ici même ou dans l'article wiki qui en découlera une fois ce dernier posté :)

      Personnellement, j'opterai plus pour un système "en clair" et un /home chiffré…

      Chiffrer l'entièreté permet de rendre complètement inutilisable le système, ainsi que les mariadb, les fichiers de confs etc. (sans devoir aller modifier chaque logiciel qui, comme à l'accoutumée, prendront chacun une plombe en apportant leur lots de bugs, de problèmes de Umask/permissions etc :P )

      • [^] # Re: Mon retour....

        Posté par  . Évalué à 3.

        Chiffrer l'entièreté permet de rendre complètement inutilisable le système

        Je vois pas trop l'intérêt… dans le cas d'une machine volée, de toutes façons, même si le cambrioleur/receleur/acheteur est utilisateur de Linux, il ré-installera la machine.

        ainsi que les mariadb,

        Je ne sais pas ou sont stockées les DB maria … mais rien ne t'empêche de faire

        mkdir ~/mariadb/
        ln -s ~/mariadb/

        Et tes DB sont chiffrées aussi.

        les fichiers de confs etc

        Encore une fois, intérêt quasi nul à moins que tu aies des certificats ou clefs stockées dans /etc/.
        Mais, encore une fois, cela peut se solutionner facilement en customisant des configs ou à coup de lien symboliques.

        Tu es libre de faire comme tu veux, et de perdre des perfs si cela te chante.
        Après, je peux aussi comprendre que tu veuilles le faire "pour le fun" :-)

        • [^] # Re: Mon retour....

          Posté par  . Évalué à 1. Dernière modification le 05/10/18 à 11:59.

          Après, je peux aussi comprendre que tu veuilles le faire "pour le fun" :-)

          Pour le moment on est clairement dans l'expérimentation. (surtout que je ne sais pas si le chiffrement est efficace ou non sur techno Flash)
          Je vais tester sur un Odroid-xu4 et un raspberry pi fraîchement installé, si ça pète c'est pas grave on recommence. (côté dommage, je n'ai pas de eMMC pour tester)
          Par contre après je testerai sur un vrai serveur de prod :)

          Je vois pas trop l'intérêt… dans le cas d'une machine volée, de toutes façons, même si le cambrioleur/receleur/acheteur est utilisateur de Linux, il ré-installera la machine.

          Le but n'est pas de protéger la machine mais les datas :)

          • [^] # Re: Mon retour....

            Posté par  . Évalué à 3.

            Le but n'est pas de protéger la machine mais les datas :)

            Et donc je persiste… avec un partitionnement intelligent (/home séparé et, sur un serveur de prod, /srv || /opt || /data séparés), nul besoin de crypter l'intégralité du disque, et surtout pas /, puisque c'est du pur "standard".

            • [^] # Re: Mon retour....

              Posté par  . Évalué à 1.

              Et donc je persiste… avec un partitionnement intelligent (/home séparé et, sur un serveur de prod, /srv || /opt || /data séparés), nul besoin de crypter l'intégralité du disque, et surtout pas /, puisque c'est du pur "standard".

              Supposition : Si on chiffre l'entièreté de la partition système, on rend impossible l'injection de fichiers même si on a accès physiquement a l'espace de stockage ?

              Il faut voir se que cela implique niveau conf d'exporter ailleurs ces dossiers. (je me rappel un jour avoir tenté de mettre mysql dans un container truecrypt, AppArmor m'a tellement gavé que j'avais formaté le serveur :D j'essaye d'éviter la cascade de configuration/bugs )

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.