• # Probablement…

    Posté par  . Évalué à 3.

    Je ne sais pas s'il « existe un logiciel » tout fait et dédié à cette tâche en particulier mais, à mon avis, si tu utilises cryptsetup ou une solution similaire, tu dois pouvoir t'en sortir avec un simple script. Le problème est que si tu veux que ta partition soit montée au boot, ton périphérique amovible doit être présent dès ce moment et à chaque démarrage. De fait, ça en fait un périphérique un peu moins amovible.

    Quel comportement souhaites-tu obtenir ? Est-ce que tu veux déverrouiller automatiquement tes partitions dès lors que tu introduis un dongle une ou clé USB spéciale dans l'emplacement idoine ?

    • [^] # Re: Probablement…

      Posté par  . Évalué à 3.

      Je me permet de me faire un post-it pour ce sujet qui m’intéresse ;)

      Dans le même j'ai vu ceci à propos de cryptsetup aujourd'hui (un pansement à faire soi-même pour le moment) : http://www.techrepublic.com/article/how-to-fix-the-cryptsetup-vulnerability-in-linux/

      • [^] # Re: Probablement…

        Posté par  (site Web personnel) . Évalué à 1.

        À ce sujet, je conseille la lecture des commentaires d'Yves-Alexis Perez sur LWN, notamment cette partie :

        What you gain is a root access to the initramfs, which you usually can access in other ways if you already have physical access to enter a passphrase to unlock the encrypted partition.

        Debian Consultant @ DEBAMAX

    • [^] # Re: Probablement…

      Posté par  . Évalué à 1.

      Je voudrais que les partitions ne soient pas accessible si la clés usb n'est pas branchée et que le montage s'effectue automatiquement.

      J'avoue que j'avais songé à ça comme sécurité si je veux couper le serveur et empêcher quelqu'un d'autre d'accéder aux données, donc montée au boot. Mais si ça peut se monter automatiquement avec le système déjà en cours de fonctionnement, c'est un plus :)

      A une époque j'avais testé un montage truecrypt au boot et placé MySQL dans la "partition" chiffrée mais le fait de devoir entrer obligatoirement le password au démarrage rendait les reboot désagréable ^ ^

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: Probablement…

        Posté par  . Évalué à 3. Dernière modification le 17/11/16 à 03:02.

        Si tu sais à quel endroit est déjà monté ton périphérique amovible, alors une simple ligne de commande du style :

        [ -e /répertoiredetaclé/tonfichier ] && cryptsetup --key-file /répertoiredetaclé/tonfichier open /dev/tapartition MonVolume && mount /dev/mapper/MonVolume /monpointdemontage

        … devrait suffire. Après, il te suffit de l'ajouter aux scripts de démarrage gérés par init ou systemd selon ta distribution (et son âge). Tu peux également demander à udev ou systemd (là encore, selon la distrib et son âge) de définir un événement correspondant à l'insertion de la clé sur lequel le script sera appelé, après montage de la clé.

        Par contre, les volumes ne seront pas automatiquement démontés si tu retires la clé après les avoir montés. Tu peux demander à le faire faire de la même façon mais si un processus quelconque (par exemple un shell) est au même moment dans un des répertoires de ta partition chiffrée, le démontage échouera.

        • [^] # Re: Probablement…

          Posté par  . Évalué à 1.

          Merci @Obsidian, je vais tester puis en ferai un tuto en retour. J'ai aussi trouvé quelques infos ici.

          La clés privée est-elle dans un format lisible (permettant par exemple de l'exporter sur un support non informatique)?

          Aurais-tu une estimation de l'impact sur les ressources machine?

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: Probablement…

            Posté par  . Évalué à 3.

            La clés privée est-elle dans un format lisible (permettant par exemple de l'exporter sur un support non informatique)?

            Ça dépend de la méthode de chiffrage que tu as choisie. Si c'est un système s'appuyant sur une passphrase, alors il suffit d'écrire cette passphrase telle quelle dans le fichier concerné.

            Aurais-tu une estimation de l'impact sur les ressources machine?

            Aucune idée, parce que je n'utilise pratiquement pas les partitions chiffrées. En fait, j'ai créé quelques fichiers ordinaires de quelques méga-octets que je monte en loopback lorsque j'en ai besoin et qui sont ensuite exploités comme des volumes habituels. Ils me servent à contenir les quelques informations réellement confidentielles comme des listes de mots de passe. Je les monte et démonte sur demande à l'aide d'un script lorsque j'ai besoin de les consulter.

            • [^] # Re: Probablement…

              Posté par  . Évalué à 1.

              En fait, j'ai créé quelques fichiers ordinaires de quelques méga-octets que je monte en loopback lorsque j'en ai besoin et qui sont ensuite exploités comme des volumes habituels.

              Très intéressant, c'est le mécanisme de TrueCrypt :)
              Tu sais si ça fonctionne aussi à distance par exemple si on stocke un fichier sur une autre machine, que l'on monte le système de fichier distant avec SSHFS puis que l'on monte le fichier chiffré en volume? (permettant ainsi que même la machine qui gère le disque soit incapable de lire son contenu)

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

              • [^] # Re: Probablement…

                Posté par  . Évalué à 4.

                Tu sais si ça fonctionne aussi à distance par exemple si on stocke un fichier sur une autre machine, que l'on monte le système de fichier distant avec SSHFS puis que l'on monte le fichier chiffré en volume? (permettant ainsi que même la machine qui gère le disque soit incapable de lire son contenu)

                y a pas raison de ne pas pouvoir

                1°) c'est un fichier comme un autre => accessible via sshfs
                2°) tu le montes localement et tu le dechiffres

                par contre car à la corruption possible en cas de soucis reseau,
                le fichier ne sera pas demonté, mais ne sera plus accessible, avec des données partiellement ecrites etc

            • [^] # Re: Probablement…

              Posté par  . Évalué à 3.

              En fait, j'ai créé quelques fichiers ordinaires de quelques méga-octets que je monte en loopback lorsque j'en ai besoin et qui sont ensuite exploités comme des volumes habituels

              Il faut juste pas que ton système swappe ou que tu fasses du suspend2disk.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.