Bonjour,
J'ai actuellement un petit serveur HP Proliant Gen 8 que j'utilise notamment comme NAS via Proxmox.
J'ai deux disques chiffrés via LUKS dans un pool ZFS et je vais en mettre deux supplémentaires.
Je me pose la question de chiffrer les deux nouveaux.
J'y vois deux inconvénients aujourd'hui:
- action manuel au reboot
- difficultés pour récupérer les données en cas de crash du disque
Pour ce dernier point, j'ai un disque en cours de récupération et j'ai l'impression que ça faciliterait pas les choses sur un disque chiffré.
Pour moi, le chiffrement me protège uniquement d'un éventuel vol dans ma maison.
Des avis?
Merci!
# sauvegardes + clé sur le réseau ?
Posté par cg . Évalué à 5. Dernière modification le 20 janvier 2022 à 00:45.
Déjà, fais des sauvegardes ! (chiffrées, avec un copie de la clé en dehors de l'ordi)
Tu pourrais avoir la clé (ou une seconde clé) sur un autre ordi du réseau, et aller la chercher au boot (avec curl par exemple). Si ton NAS boote en dehors de ton réseau, la clé n'est plus accessible. Bien sûr, c'est compliqué si c'est ton / qui est chiffré, mais pour une partition de données ça se fait. Je crois même qu'il y a des paquets qui servent à ça.
[^] # Re: sauvegardes + clé sur le réseau ?
Posté par Julien_J06 . Évalué à 5.
Ayant un petit NAS facile à emporter (cf commentaire du-dessous - j'ai eu la même reflexion) j'ai préféré chiffrer le disque du coup j’utilise dropbear pour me connecter en ssh sur le NAS et déverrouiller le disque système (le disque DATA est déverrouillé automatiquement ensuite) en suivant ce tutoriel : https://www.arminpech.de/2019/12/23/debian-unlock-luks-root-partition-remotely-by-ssh-using-dropbear/
Julien_c'est_bien (y'a pas que Seb)
# Evaluation du risque
Posté par dr191 . Évalué à 2.
Quel est le risque ?
Je suppose que votre crainte est le vol du matériel à votre domicile.
Pour ma part, je n'ai rien de confidentiel défense qui justifierait un vol ciblé. Je peux me tromper
mais mon hypothèse, c'est que les voleurs prendront, portable, téléphone, clé usb, tablettes: facile à transporter, facile à revendre. Un NAS de 20 kg n'a sans doute pas une grande valeur de revente ou demande trop d'effort.
Au final, NAS non chiffré, sauf les données critiques type clés ssh, mots de passe, données personnelles critiques qui sont dans un conteneur chiffré. La sauvegarde sur disque usb est elle par contre chiffrée.
# Gocryptfs
Posté par bertile . Évalué à 1.
Bonjour,
Pour ma part, j'ai choisi de ne pas chiffrer directement les disques de mon NAS. Par contre je chiffre les données depuis les clients via gocryptfs. C'est simple et sa fonctionne avec n'importe quel NAS.
# Commentaire supprimé
Posté par archi1491 . Évalué à 0. Dernière modification le 21 janvier 2022 à 08:14.
Ce commentaire a été supprimé par l’équipe de modération.
# Commentaire supprimé
Posté par archi1491 . Évalué à 0. Dernière modification le 21 janvier 2022 à 08:14.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.