#1 Le 01/02/2018, à 14:12
- Igor
Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)
Bonjour la communauté,
j'ai lu la documentation "partitionner_manuellement_avec_installateur_ubuntu" (https://doc.ubuntu-fr.org/tutoriel/part … eur_ubuntu) et il me faudrait des précisions pour chiffrer au moins le [ /home ] .
je voudrai, avec l’installateur de Ubuntu-gnome 16.04.03 LTS, créer sur un disque SSD en SATA les partions suivantes (EFI) :
- une partition de démarrage [ /boot ]
- une partition racine [ / ] (utilité du chiffrage ? performance si chiffré?)
- une partition [ /home ] (chiffrée)
- une partition swap
Actuellement j'ai une installation sur le disque entier avec le /home/user chiffré ( faite avec le partitionnement assisté) :
un [ parted -l ] me renvoi :
Disque /dev/sda : 250GB
Taille des secteurs (logiques/physiques): 512B/4096B
Table de partitions : gpt
Disk Flags:
Numéro Début Fin Taille Système de fichiers Nom Fanions
1 1049kB 538MB 537MB fat32 EFI System Partition démarrage, esp
2 538MB 246GB 245GB ext4
3 246GB 250GB 4225MB linux-swap(v1)
Modèle: Mappeur de périphériques Linux (crypt) (dm)
Disque /dev/mapper/cryptswap1 : 4224MB
Taille des secteurs (logiques/physiques): 512B/4096B
Table de partitions : loop
Disk Flags:
Numéro Début Fin Taille Système de fichiers Fanions
1 0,00B 4224MB 4224MB linux-swap(v1)
Mes questions/problèmes ( si la réponse est dans une doc. du site , dites le moi, je la chercherai) :
- quelles partitions est-il utile de chiffrer (la partition racine [ / ] ?)
- je n'arrive pas à créer manuellement ce partitionnement : quelle(s) partitions doivent être primaires, logiques ; gestion des volumes LVM?
Merci d'avance.
Igor
Modération : merci d'utiliser les balises code (explications ici).
Dernière modification par cqfd93 (Le 01/02/2018, à 14:23)
#2 Le 01/02/2018, à 16:03
- nam1962
Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)
Évite le chiffrement, c'est un nid à emmerdes.
[ Modéré ]
Hors ligne
#3 Le 01/02/2018, à 16:10
- maxire
Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)
Salut,
Réponse à la question <<quelles partitions est-il utile de chiffrer (la partition racine [ / ] ?>>:
Tout dépend du niveau de sécurité cherché, il est même possible de chiffrer totalement le disque en installant Grub avec l'option GRUB_ENABLE_CRYPTODISK.
Je pense que compte tenu des questions que tu poses tu devrais te limiter au chiffrage de ton répertoire utilisateur et simplement ajouter un chiffrage de la swap (après relecture du premier message je vois que la swap est déjà chiffrée) afin d'éviter un accès à des mots de passe éventuellement conservés dans celle-ci après arrêt système.
Chiffrer / peut éviter l'installation de programmes de type cheval de Troie par un attaquant ayant physiquement accès à ta machine, tu peux t'en prémunir en interdisant le démarrage du système par cd/dvd/usb et en protégeant la configuration du firmware par un mot de passe.
Cette protection du firmware devrait être suffisante, même si il est toujours possible de démonter le disque et de le modifier, c'est tout de même une complication pour un pirate.
Mais bon, si tu chiffres / il faudrait également par souci de cohérence chiffrer /boot car l'image initiale peut parfaitement être compromise et transformée en cheval de Troie.
Tu vois, si tu commences à chiffrer tu risques de ne plus en finir.
LVM n'est utilisé que pour permettre le partitionnement d'un conteneur chiffré, tel que ton installation est actuellement réalisée tu ne pourras pas l'utiliser, de plus tu peux arriver au même résultat sans LVM en créant des partitions chiffrées distinctes de /home et de la swap.
L'installateur Ubuntu ne permet pas, à priori, de réaliser ce que tu veux faire.
Je sais, par expérience, que l'installateur de Debian permet de réaliser ce que tu désires mais en lui forçant (assez violemment) la main en mode expert.
Dernière modification par maxire (Le 01/02/2018, à 17:05)
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#4 Le 01/02/2018, à 16:29
- maxire
Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)
@nam1962, oui le chiffrage est un nid à emmerdes pour qui ne domine pas le sujet et ne prévoit pas de sauvegarde béton (non chiffrée de préférence et conservée dans un disque amovible lui-même enfermé en lieu sûr).
Igor au vu de tes questions tu ne domines pas encore ce sujet, je te conseille de te faire la main avec une machine de test et ensuite passer en production.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#5 Le 01/02/2018, à 16:32
- ??
Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)
Bonjour
Si tu n'as pas de données que le monde entier veut récupérer. tu fais une installation classique en choisissant un mot de passe ultra sécurisé (64 caractères avec des chiffres, des lettres majuscules et minuscules et des caractères spéciaux) afin de retarder le plus possible ceux qui voudront décrypter ton dossier.
Puis lorsque l'installation est finie, tu fabriques un répertoire que tu destineras au stockage de tes données personnelles confidentielles. ( https://doc.ubuntu-fr.org/ecryptfs )
Je n'ai pas encore compris qu'on ait besoin de chiffrer le fichier ISO de l'installation de ubuntu!!!! ainsi que les photos et vidéos qu'on a posté dans des sites de stockage.
Une proposition
D'abort, vérifier que le SSD est bien équipé d'une table de partition au format GPT.
Une partition de boot EFI si ton ordinateur boote en EFI (35 Mo FAT32 et drapeau de boot ESP).
Une partition en EXT4 pour le logiciel (y compris le /home). Taille environ 40 Go.
Pas de partition swap. (Ubuntu utilisera des fichiers de swap).
Une partition de données utilisateur avec le reste de l'espace disponible.
Soit tu la fais avant d'installer soit lorsque l'installation est opérationnelle.
https://forum.ubuntu-fr.org/viewtopic.p … #p16115551
Dans cette partition, tu fabriques un répertoire que tu protèges en installant le logiciel ECRYPFS. Cela c'est la doc officielle https://doc.ubuntu-fr.org/ecryptfs
Mais tu vas vite en avoir raz le bol de ton mot de passe ultra compliqué à frapper pour un oui ou pour un non (sudo) Alors regardes si le logiciel veracrypt ne te convient pas plus. ( https://doc.ubuntu-fr.org/veracrypt )
Dernière modification par ?? (Le 01/02/2018, à 17:42)
Utiliser REFIND au lieu du GRUB https://doc.ubuntu-fr.org/refind . Aidez à vous faire dépanner en suivant le guide et en utilisant les outils de diagnostic J'ai perdu ma gomme. Désolé pour les fautes d'orthographes non corrigées.
Hors ligne
#6 Le 01/02/2018, à 17:46
- Igor
Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)
Salut,
Réponse à la question <<quelles partitions est-il utile de chiffrer (la partition racine [ / ] ?>>:
Tout dépend du niveau de sécurité cherché, il est même possible de chiffrer totalement le disque en installant Grub avec l'option GRUB_ENABLE_CRYPTODISK.
Pour essayer de vous/te répondre, ce je que recherche, c'est un niveau de sécurité qui préserve le plus possible la vie privée d’un utilisateur lambda sur un poste personnel domestique.
Merci de vos réponses qui me donnent des pistes à approfondir pour la sécurité d'une installation "Desktop" des systèmes basés sur Debian.
Une dernière chose, j'ai commencé la lecture du "Guide d’autodéfense numérique" (https://guide.boum.org/), la référence vous est-elle inconnue? douteuse? fiable?
Je poserai mes futurs questions dans la section dédiée à la sécurité.
Bonne soirée et merci.
Dernière modification par Igor (Le 01/02/2018, à 17:51)
#7 Le 01/02/2018, à 19:29
- nam1962
Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)
(...)
Pour essayer de vous/te répondre, ce je que recherche, c'est un niveau de sécurité qui préserve le plus possible la vie privée d’un utilisateur lambda sur un poste personnel domestique.(...)
Ca dépend de qui tu veux protéger.
Avec un poste sous Linux derrière une box, le risque de se faire piquer des données de l'extérieur est quasi nul pour un poste domestique.
Par contre distribuer ses infos en surfant est dans la majorité des cas une question d'interface chaise clavier. (On peut mettre en place une sécurisation du navigateur, cela dit et penser à effacer ses historiques.)
Contre l’indiscrétion domestique de quelqu'un qui a accès physique à la machine, rien ne vaut le disque externe qu'on planque, voire une clef pour aller sur des sites qui créent de la bisbille.
Chiffrer un /home créera plus d'ennuis et de contraintes pour un bénéfice pas évident.
Si on parle d'un poste sensible, il y a des distros spécialisées par contre (et beaucoup, beaucoup de discipline...)
[ Modéré ]
Hors ligne