Forum Linux.général Interrompre la séquence d'amorçage pour monter ses systèmes cryptés

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
0
27
juin
2018

Salut,

j'implémente le DEAR (data encryption at rest) pour certaines de nos bases de données et s'il est facile de trouver des références pour crypter un LVM avec Luks l'intégration de ce procédé avec la séquence d'amorçage est moins souvent abordée.

Mon but est de définir une unité de type “target” (disons remote-session.target) pour systemd qui ne propose qu'un sous-ensemble minimal des services – essentiellement, SSH – qui permette à l'opérateur d'ouvrir une session distante pour basculer le système sur une autre “target” (monapplication.target) avec les volumes cryptés et la base de données dessus.

Voilà le plan en gros. Est-ce que quequ'un aurait une référence potable pour sa mise en œuvre? Je suppose que c'est bien banal mais je n'ai pas été fichu de trouver ce truc.

Si c'est compliqué d'intégrer la demande de mot-de-passe au basculement de target avec système d, ça ne me dérange pas d'écrire un petit script qui fasse tout bien comme il faut.

  • # regarder ce qu'il se fait ailleurs

    Posté par  . Évalué à 2.

    generalement le montage du systeme crypté se fait apres le demarrage de l'OS dans le cas d'une partition non vitale (/home par exemple)
    et le montage du root de l'OS se fait pendant l'initialisation (donc dans les scripts liés à l'initramfs, de meme que le changement de "target")

    c'est donc là que je regarderais pour faire un initramfs qui demande le mot de passe localement, ou bien ouvre une session ssh
    puis l'operateur se connecte via ssh pour saisir le mot de passe et permettre au systeme de continuer son demarrage

    • [^] # Re: regarder ce qu'il se fait ailleurs

      Posté par  (site web personnel) . Évalué à 2.

      ou bien ouvre une session ssh puis l'operateur se connecte via ssh pour saisir le mot de passe et permettre au systeme de continuer son demarrage

      C'est exactement ce que je veux faire et ma question porte sur les références possibles – donc si tu connais des implémentations de cela qu'on peut étudier, n'hésite pas à les partager. ;)

      • [^] # Re: regarder ce qu'il se fait ailleurs

        Posté par  . Évalué à 1.

        regarde avec les mots magiques initramfs et ssh
        http://lmgtfy.com/?q=ssh+initramfs

        je penses qu'il doit y avoir pas mal de tuto pour dire comment integrer tes scripts dans l'initramfs

        ensuite regarde comment fait une distribution (installe là dans une VM) pour ouvrir la partition systeme quand elle est chiffrée (root temporaire, clef de dechiffrement, bascule sur le root definitif)

        jumelle les deux

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.