#1 Le 06/04/2015, à 14:44
- Arbiel
Initialisation par /dev/urandom de l'extension d'un volume logique
Bonjour à tous
Quelques documents préconisent d'initialiser avec /dev/(u)random un conteneur que l'on désire chiffrer pour en augmenter la protection contre une cryptanalyse.
Je ne sais si une telle mesure est souhaitable ou non dans mon cas personnel. Je m'interroge cependant sur la manière dont il faut s'y prendre pour augmenter la taille d'un volume logique pour appliquer cette initialisation aux nouveaux segments (contrairement aux recommandations habituelles, je considère inutile le chiffrement de tout le LVM car tous les fichiers ne nécessitent pas le même niveau de protection, et en particulier l'initialisation par /dev/urandom, sans parler de /dev/random).
En particulier la seule solution est-elle de créer un nouveau volume de la taille souhaitée, de l'initialiser et d'y recopier le contenu de l'actuel volume logique à agrandir ?
D'avance, merci pour vos conseils.
Arbiel
Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04, GNOME 3.36.8
24.04 en cours de tests
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.
Hors ligne
#2 Le 06/04/2015, à 16:14
- tiramiseb
Re : Initialisation par /dev/urandom de l'extension d'un volume logique
Salut,
Pour un volume logique LVM, c'est plus difficile car il n'y a aucune assurance que le volume ne bougera pas. Un volume logique a une existence "virtuelle" et je ne suis pas sûr que son espace soit réellement alloué d'un bloc : si ça se trouve c'est alloué progressivement au fur et à mesure de son utilisation. Ça dépend de l'implémentation.
De toute façon si tu n'es pas un agent secret au service de sa majesté NicoFrançois, je doute que le chiffrement soit réellement utile...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 06/04/2015, à 18:27
- Arbiel
Re : Initialisation par /dev/urandom de l'extension d'un volume logique
Bonsoir tiramiseb
Je te remercie pour ta réponse.
je doute que le chiffrement soit réellement utile.
Veux-tu vraiment dire "chiffrement" ou plutôt "initialisation du volume avec /dev/urandom" ?
Pour ce qui est du chiffrement lui-même, je me souviens avoir laissé partir mon PC en réparation sans avoir effacé ceux de mes fichiers qui contenaient des données sensibles. Une telle situation pouvant se reproduire, je pense certains volumes méritent d'être chiffrés, même si, je l'avoue, le risque qu'ils soient la cible d'une cryptanalyse est pratiquement nul. Ma question est plus théorique que pratique et découle de ce que je n'ai rien trouvé qui réponde à cette interrogation de ma part.
Pour ce qui est de l'allocation des secteurs physiques (je veux dire par là l'élément minimal d'allocation) d'un volume logique, on peut effectivement concevoir qu'elle n'ait lieu que lors de la première écriture effective. Mais cette première écriture a lieu dès l'initialisation par urandom. Il serait donc surprenant que cette allocation varie dans le temps.
Arbiel
Edit : je m'aperçois que j'ai dû écrire une bêtise ; il y a toujours quelque chose quelque part et l'écriture de nombres aléatoires à la place de ce qui y était avant n'est pas déterminante pour allouer un secteur à un volume logique.
Dernière modification par Arbiel (Le 06/04/2015, à 18:35)
Arbiel Perlacremaz
LDLC Aurore NK3S-8-S4 Ubuntu 20.04, GNOME 3.36.8
24.04 en cours de tests
Abandon d'azerty au profit de bépo, de google au profit de Lilo et de la messagerie électronique violable au profit de Protonmail, une messagerie chiffrée de poste de travail à poste de travail.
Hors ligne
#4 Le 06/04/2015, à 18:43
- tiramiseb
Re : Initialisation par /dev/urandom de l'extension d'un volume logique
Je parle bien du chiffrement. Pour ma part je ne l'utilise pas car à notre "petit" niveau il pose plus de problème qu'il n'apporte de service.
Après, s'il y a des données à ne pas laisser sur un disque avant qu'il ne parte "en réparation", pour ma part je l'écrase avec /dev/urandom, ce qui est déjà pas mal. Même écraser le début de disque histoire de péter la table de partitions. Les gars vont pas s'amuser à utiliser testdisk sur ton PC pour retrouver tes données...
Il serait donc surprenant que cette allocation varie dans le temps.
Oui, ça me surprendrait aussi. En vrai, je pense que ça ne varierait pas. Mais il n'y a, je crois, aucune assurance dans ce sens.
Ça dépend de l'implémentation de LVM, en fait... Je pense qu'ils ne se sont pas embêtés à gérer un déplacement automatique de l'allocation de données pour quelque raison que ce soit.
Mais un « ouais ça devrait aller parce qu'a priori l'implémentation actuellement utilisée fait comme on veut » est une approche qui ne me plaît pas. Je préférerais un « oui c'est comme ça dans la norme alors ça fera comme on veut » ; mais cette dernière phrase, a priori on ne peut pas la dire.
(désolé, mes propos sont un peu décousus, je suis malâââââde, atchoum atchoum )
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne