Le 24/08/2018 à 21:50, dethegeek a écrit :
j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles: rootfs et home. J'ai initialement prévu que boot soit non chiffré, mais c'est pas une bone idée. On peut techniquement attaquer ce volume pour y mettre un keylogger. La bonne pratique est donc de chiffrer /boot, grub , de ce que je lis, le gère
Oui. Mais la core image de GRUB (qui demande de taper la passphrase pour déchiffrer le volume contenant /boot) reste en clair et donc vulnérable.
Si le but est de se protéger de la divulgation des données en cas de perte ou vol de l'ordinateur, alors le chiffrement de /boot n'est pas nécessaire, il ne contient pas de donnée sensible.
Si le but est de se protéger contre une intervention illicite sur l'ordinateur passée inaperçue, alors le chiffrement quel qu'il soit ne suffit pas car il reste toujours une partie en clair pour l'amorçage. Il faut y ajouter la vérification de l'intégrité.