Jean-Yves F. Barbier a écrit :
dans ce cas, pourquoi utiliser LVM ontop?
Pour pouvoir redistribuer l'espace sécurisé entre les partitions et eventuellement avec un
instantanné LVM.
(et ça n'est pas logique de poser du RAID sur du dm-crypt)
Tout dépend du point de vue, je cache à l'attaquant la structure de mes disques. Il n'a pour seule
info que des données chiffrées et ne sait pas ce qui à l'intérieur. S'il a une idée de ce qui se
trouve à l'intérieur, le décryptage est facilité.
En plus, je me laisse la possibilité d'ajouter un disque à mon RAID facilement, il me suffit de le
chiffrer et de l'ajouter. Sinon, je devrais l'ajouter et tenter de redimmensionner le volume RAID
chiffré.
je ne cherche pas la controverse, mais si "on" te pique des données encryptées,
c'est en règle Gale que le "on" sait exactement ce qu'il fait, ou qu'un
autre "on" a bien expliqué la chose au 1er "on". Honhon.
(Abstraction faite de ceux qui le font juste pour nuire.)
Il sait ce qu'il cherche d'un point de vue métier/fonctionnel, bien sûr, mais il ne connaît pas la
structure qui héberge les données recherchées. Autant ne pas le lui indiquer et lui compliquer la
tâche. D'autre part, il ne sait pas forcément ce qu'il vole si le but originel est un vol de
matériel. Les données trouvées sur le matériel sont en bonus. Enfin, il y a la mise au rebut, je
préfère évidemment "shred"er les disques avant, mais si un disque dur part à la poubelle sans avoir
été écrasé, je reste serein.
Ne va pas croire que je sois paranoïaque, j'ai choisi cette architecture car elle ne me coute pas
plus cher qu'une autre (en sous, en temps de mise en oeuvre et en maintenance) tout en m'offrant une
certaine sérénité.
Et comme la toute 1ère des sécurités informatique est physique...
Tu as raison, je vais couper la broche de mise à la terre sur les boitier et souder un petit fil
entre la phase et la carcasse ! ;-)
Fanfan
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers [email protected]
En cas de soucis, contactez EN ANGLAIS [email protected]
