Le 29/11/2011 16:32, jerome moliere a écrit : > Quitte à faire bondir certains ,je ne vois guère l'intérêt d'aller > chiffrer des partitions comme /usr par exemple , avec du logiciel > libre chiffrer le contenu de binaires disponibles en open source me > parait limite crétin... Il faut chiffrer / tout simplement pour éviter que quelqu’un puisse démarrer ton système via une clé USB, modifier tes binaires et compromettre tes données. Par exemple, on peut : - remplacer ta version de login par une qui envoi par courriel les mots de passe - installer un keylogueur ou un cheval de Troie sur ta machine (coucou la DCRI et la police qui peuvent désormais faire ça sans réelles contraintes juridiques) Bref, si tes données son immédiatement inaccessibles, elles ne sont pas pour autant en sécurité. De la même façon, avoir son /boot en clair sur la machine est une faille de sécurité : rien n’empêche l’attaquant de remplacer ton initramfs par le sien, qui installera alors ses cochonneries lors de ton prochain démarrage réussi. Bref, soit il faut conserver son /boot dans un endroit sur (clé USB dans sa poche ?), soit appeler très tôt un script situé dans son volume chiffré (donc fiable) afin de vérifier que l’initramfs et le noyau utilisés sont bien les siens (comparaison de checksum ?). Le cas échéant, le script éteint la machine en catastrophe. Bon courage :) Damien -- Save the seals, save the world
Attachment:
signature.asc
Description: OpenPGP digital signature