Bonjour,
Le 07/02/2020 à 22:21, Patrick Dupre a écrit :
>
> Bref, en quoi une partition LVM est plus securisee ?
Ce n'est pas ce que j'ai écrit. LVM n'apporte pas la sécurité, c'est
LUKS qui s'en charge :
>> La bonne combinaison du multicouche est :
>> LUKS + LVM + les partitions Linux & swap
Voilà en détail comment c'est configuré chez moi:
- /dev/sda1 est une partition EFI de petite taille (100Mo), qui ne
contient que les fichiers EFI. Sur un système non-EFI, tu peux t'en passer
- /dev/sda2 est une partition ext4 qui ne contient que le /boot. 1Go
grand grand max sont nécessaire, si par exemple tu veux y mettre
beaucoup de kernels
- /dev/sda3 est "LA" partition principale de la machine, qui contiendra
le volume LUKS, entièrement chiffré
Il n'y a pas d'autres partitions.
On utilise la commande "cryptsetup luksOpen /dev/sda3 crypted" pour
"ouvrir" /dev/sda3. C'est à ce moment-là que la phrase de passe est
demandée.
Une fois le volume ouvert, le kernel accède au contenu DECHIFFRE via
/dev/mapper/crypted
Dans ce /dev/mapper/crypted, on peut:
- soit simplement créer une partition unique, dans laquelle on mettra
tout le Linux. Mais il n'y aura pas de swap, ce qui peut être un problème
- soit installer un LVM à l'intérieur, pour y mettre autant de
partitions que l'on veut. Par exemple un /, plus un /home, plus un swap,
plus tout ce que tu veux d'autre
Donc le LVM n'assure nullement le chiffrement des données. Il permet
juste de créer plusieurs sous-partitions dans le /dev/mapper/crypted.
Lorsque je parle du multi-couche, concrètement on a ceci :
============= Partition /dev/sda3 crypté par LUKS ============
======================= Mécanisme LVM ========================
============ ROOT ========== HOME ========== SWAP ============
Ce dessin est plus explicatif:
https://doc.ubuntu-fr.org/_detail/image/dm-crypt_lvm.png?id=tutoriel%3Achiffrer_son_disque
Il y a plein de tuto sur le web qui explique comment faire. Par exemple:
https://doc.ubuntu-fr.org/tutoriel/chiffrer_son_disque
https://wiki.alpinelinux.org/wiki/LVM_on_LUKS
Critique:
- Indiscutablemment, ce système marche bien. Et en cas de crash du
Linux, on peut quand même accéder à ses données chiffrées en boutant la
machine sur une clé USB. Bien entendu, il faudra quand même fournir la
phrase de passe pour ouvrir le conteneur LUKS.
- Néanmoins, il y a un truc qui me chiffonne : Le /boot n'est pas
chiffré, donc le kernel et le initrd sont vulnérables. Ainsi, si
quelqu'un à un accès physique à ta machine, il peut modifier le initrd,
afin de bidouiller un "cryptsetup" qui sauvegarde (sur le /boot) la
phrase de passe au moment où tu la tapes. Ainsi, avec un 2nd accès
physique à ta machine, il peut récupérer ton mot de passe.
- ce problème semble être solutionné par
https://wiki.archlinux.org/index.php/GRUB#Encrypted_/boot , il faudra
que je regarde cela de plus près.
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
%20la%0A>%20phrase%20de%20passe%20au%20moment%20o%C3%B9%20tu%20la%20tapes.%20Ainsi,%20avec%20un%202nd%20acc%C3%A8s%0A>%20physique%20%C3%A0%20ta%20machine,%20il%20peut%20r%C3%A9cup%C3%A9rer%20ton%20mot%20de%20passe.%0A>%20%0A>%20-%20ce%20probl%C3%A8me%20semble%20%C3%AAtre%20solutionn%C3%A9%20par%0A>%20https://wiki.archlinux.org/index.php/GRUB#Encrypted_/boot%20,%20il%20faudra%0A>%20que%20je%20regarde%20cela%20de%20plus%20pr%C3%A8s.%0A>%20%0A>%20%0A>%20%0A>%20%0A>%20 "Répondre à ce message")
