Le 29/11/2011 15:23, David BERCOT a écrit : > Bonjour, > > Sur une machine, je souhaiterais mettre en place des volumes chiffrés. > Apparemment, l'idéal consiste à chiffrer toutes les partitions (/, > swap, /home, voire d'autres), sauf /boot. > > Maintenant, l'installer de Debian propose d'utiliser LVM pour créer un > volume global (tout sauf /boot) et découper ensuite ce volume. Soit. > > A la base, je pensais simplement chiffrer /home mais ce n'est pas très > "secure". Je peux également faire 3 partitions (en plus de /boot) > séparées /, swap & /home et chiffrer chacune d'elles. > > Y a-t-il des différences importantes entre ces méthodes ? Des > contraintes liées à l'une d'elles ? Bref, tout conseil en la matière > sera le bienvenu ;-) > > Merci d'avance. > > David. >
Salut, pour être efficaces le chiffrage doit être fait au minimum pour /home et la swap, /tmp et /var/tmp sont des bons candidats également (caches), mais à mon avis il vaut mieux chiffrer l'ensemble du système que de compromettre l'ensemble en oubliant un répertoire. La pénalité en ressource est négligeable avec un processeur moderne quel que soit la configuration. Sur un vieux portable par contre ça peut être sensible et entraîner surchauffe et réduction de l'autonomie de la batterie. La méthode de l'installateur Debian est intéressante, une seule phrase à taper ou un seul fichier-clé, tout est protégé à l'intérieur du lvm unique. Comme de toute façon il faut réinstaller pour chiffrer c'est la solution de simplicité. Pour ma part j'utilise "luks" et je conserve pour les stations de travail mon partitionnement habituel /boot, /root, /home et swap (+ partitions de données). /boot n'est pas chiffré, dans mon cas il est sur clé usb. /root est chiffré avec une phrase ou un fichier-clé (sur la même clé usb, elle est cryptée matériellement par un système de "padlock"). swap est soit chiffrée par clé aléatoire (pas besoin de veille sur disque) ou par la méthode "decrypt-derived" (clé de chiffrement dérivée de la partition /root). /home et les partitions de données sont chiffrés avec "pam-mount". De cette façon je tape une phrase de passe (ou je fourni un fichier-clé au démarrage), et ensuite je n'ai qu'à taper mon mot de passe de login pour déchiffrer le reste. C'est un peu complexe à mettre en place mais ça fonctionne parfaitement. La principale contrainte est de synchroniser le mot de passe de login et celui des conteneurs luks à déchiffrer par "pam-mount". L'intérêt pour moi est de pouvoir placer les partitions chiffrées sur des disques différents (j'ai du RAID en dessous du LUKS sur les ordi de bureau), et de les "déménager" si besoin sur des machines différentes. Il y a une page qui décrit plus ou moins la technique que j'utilise là : http://www.linuxpedia.fr/doku.php/expert/systeme_chiffre_luks_pam_cryptsetup Si tu lis l'anglais il y a un sujet en cours sur la liste anglophone intitulé "Full Disk Encryption" avec des idées et quelques stat de performances. Bon amusement. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4ed505d0.80...@googlemail.com
