[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Migrer un système debian vers un système de fichiers chiffré luks

j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles: rootfs
et home. J'ai initialement prévu que boot soit non chiffré, mais c'est
pas une bone idée. On peut techniquement attaquer ce volume pour y
mettre un keylogger.

La bonne pratique est donc de chiffrer /boot, grub , de ce que je lis,
le gère; et vérifier avant tout déchiffrement qu'il n'y a pas de
hardware suspect sur un port USB, un clavier modifié, et autres
joyeusetés. Reste encore des failles côté bios / uefi; ça devient
vraiment de la paranoïa à ce stade, mais à force d'apprendre ce qu'il
est possible de faire pour pénétrer une forteresse numérique, je finis
par me dire qu'on ne peut que se protéger des "petits joueurs". 

Cela dit il y a encore cette solution pour attaquer: 
https://www.engadget.com/2008/10/20/keyboard-eavesdropping-just-got-way-easier-thanks-to-electrom/

Il s'agit d'écouter les émissions éléctromagnétiques des claviers pour
trouver les frappes. Ca peut se faire au travers d'un mur, à 20m de
distance. Pour votre gouverne...

A défaut de solution prêt à l'emploi, je vais continuer la création de
ma procédure en comparant ce que j'ai fait avec vos propositions. Je
sais que je ne suis pas très loin; je peux presque migrer à chaud, avec
une toute petite iinterruption de service (j'adore chercher la solution
qui vise à ne pas interrompre la machine ou très peu; LVM aide
énormément pour cela).

Le vendredi 24 août 2018 à 16:32 +0200, Daniel Caillibaud a écrit :
> Le 24/08/18 à 16:13, Daniel Caillibaud <ml@lairdutemps.org> a écrit :
> 
> > /dev/mapper/sda5_crypt est le pv dans lequel j'ai mes 3 lv root,
> > swap et
> > home
> 
> Juste une remarque, la plupart des tutos / docs parlent de chiffrer
> un lv
> puis y mettre un filesystem, mais si tu as plusieurs partitions
> chiffrées
> et ne veut taper qu'une seule passphrase au boot, ça oblige à mettre
> la
> passphrase dans un fichier [1]
> 
> Je trouve plus simple de chiffrer une partition et de l'utiliser
> comme pv
> pour lvm, tous les lv qu'il contient seront de fait chiffrés (faut
> juste
> faire attention si tu as un vg à cheval sur plusieurs pv, mais ça
> peut
> justement servir dans ton cas pour déplacer un vg d'un pv non chiffré
> à un
> chiffré, et inversement, ou bien quand tu changera de disque à
> déplacer le
> vg d'un pv chiffré à un autre pv chiffré).
> 
> Si tu réussis à créer le pv chiffré et y déplacer ton vg et ses lv,
> raconte
> ça ici, ça servira sûrement à d'autres ;-)
> 
> 
> [1] sur la partition / qui va monter les autres avec ce fichier, pas
> si
> grave car si elle est montée c'est qu'on a déjà tapé la passphrase,
> mais
> quun qui peut accéder aux droits root sur la machine qui tourne déjà
> pourra
> lire ce fichier même si c'est pas lui qui a tapé la passphrase)
>
Reply to: