Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 01/02/2018, à 14:12

Igor

Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)

Bonjour la communauté,

  j'ai lu la documentation "partitionner_manuellement_avec_installateur_ubuntu" (https://doc.ubuntu-fr.org/tutoriel/part … eur_ubuntu) et il me faudrait des précisions pour chiffrer au moins le [ /home ] .
  je voudrai, avec l’installateur de Ubuntu-gnome 16.04.03 LTS, créer sur un disque SSD en SATA les partions suivantes (EFI) :

   - une partition de démarrage [ /boot ]
   - une partition racine [   /  ]   (utilité du chiffrage ? performance si chiffré?)
   - une partition [ /home ] (chiffrée)
   - une partition swap
   

Actuellement j'ai une installation sur le disque entier avec le /home/user chiffré ( faite avec le partitionnement assisté) :
un [ parted -l ] me renvoi :


Disque /dev/sda : 250GB
Taille des secteurs (logiques/physiques): 512B/4096B
Table de partitions : gpt
Disk Flags: 

Numéro  Début   Fin    Taille      Système de fichiers   Nom              Fanions
 1      1049kB  538MB  537MB   fat32                          EFI System   Partition  démarrage, esp
 2      538MB   246GB  245GB   ext4
 3      246GB   250GB  4225MB  linux-swap(v1)


Modèle: Mappeur de périphériques Linux (crypt) (dm)
Disque /dev/mapper/cryptswap1 : 4224MB
Taille des secteurs (logiques/physiques): 512B/4096B
Table de partitions : loop
Disk Flags: 

Numéro  Début  Fin     Taille  Système de fichiers  Fanions
 1      0,00B  4224MB  4224MB  linux-swap(v1)

Mes questions/problèmes ( si la réponse est dans une doc. du site , dites le moi, je la chercherai) :

   - quelles partitions est-il utile de chiffrer (la partition racine [ /  ] ?)
   - je n'arrive pas à créer manuellement ce partitionnement : quelle(s) partitions doivent être primaires, logiques ; gestion des volumes LVM?

Merci d'avance.

Igor


Modération : merci d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 01/02/2018, à 14:23)

#2 Le 01/02/2018, à 16:03

nam1962

Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)

Évite le chiffrement, c'est un nid à emmerdes.


[ Modéré ]

Hors ligne

#3 Le 01/02/2018, à 16:10

maxire

Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)

Salut,

Réponse à la question  <<quelles partitions est-il utile de chiffrer (la partition racine [ /  ] ?>>:

Tout dépend du niveau de sécurité cherché, il est même possible de chiffrer totalement le disque en installant Grub avec l'option GRUB_ENABLE_CRYPTODISK.

Je pense que compte tenu des questions que tu poses tu devrais te limiter au chiffrage de ton répertoire utilisateur et simplement ajouter un chiffrage de la swap  (après relecture du premier message je vois que la swap est déjà chiffrée) afin d'éviter un accès à des mots de passe éventuellement conservés dans celle-ci après arrêt système.

Chiffrer / peut éviter l'installation de programmes de type cheval de Troie par un attaquant ayant physiquement accès à ta machine, tu peux t'en prémunir en interdisant le démarrage du système par cd/dvd/usb et en protégeant la configuration du firmware par un mot de passe.
Cette protection du firmware devrait être suffisante, même si il est toujours possible de démonter le disque et de le modifier, c'est tout de même une complication pour un pirate.

Mais bon, si tu chiffres / il faudrait également par souci de cohérence chiffrer /boot car l'image initiale peut parfaitement être compromise et transformée en cheval de Troie.
Tu vois, si tu commences à chiffrer tu risques de ne plus en finir.

LVM n'est utilisé que pour permettre le partitionnement d'un conteneur chiffré, tel que ton installation est actuellement réalisée tu ne pourras pas l'utiliser, de plus tu peux arriver au même résultat sans LVM en créant des partitions chiffrées distinctes de /home et de la swap.

L'installateur Ubuntu ne permet pas, à priori,  de réaliser ce que tu veux faire.
Je sais, par expérience, que l'installateur de Debian permet de réaliser ce que tu désires mais en lui forçant (assez violemment) la main en mode expert.

Dernière modification par maxire (Le 01/02/2018, à 17:05)


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#4 Le 01/02/2018, à 16:29

maxire

Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)

@nam1962, oui le chiffrage est un nid à emmerdes pour qui ne domine pas le sujet et ne prévoit pas de sauvegarde béton (non chiffrée de préférence et conservée dans un disque amovible lui-même enfermé en lieu sûr).
Igor au vu de tes questions tu ne domines pas encore ce sujet, je te conseille de te faire la  main avec une machine de test et ensuite passer en production.


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#5 Le 01/02/2018, à 16:32

??

Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)

Bonjour
Si tu n'as pas de données que le monde entier veut récupérer. tu fais une installation classique en choisissant un mot de passe ultra sécurisé  (64 caractères avec des chiffres, des lettres majuscules et minuscules et des caractères spéciaux) afin de retarder le plus possible ceux qui voudront décrypter ton dossier.
Puis lorsque l'installation est finie, tu fabriques un répertoire que tu destineras au stockage de tes données personnelles confidentielles. ( https://doc.ubuntu-fr.org/ecryptfs )
Je n'ai pas encore compris qu'on ait besoin de chiffrer le fichier ISO de l'installation de ubuntu!!!! ainsi que les photos et vidéos qu'on a posté dans  des sites de stockage.
Une proposition
D'abort, vérifier que le SSD est bien équipé d'une table de partition au format GPT.
  Une partition de boot EFI si ton ordinateur boote en EFI  (35 Mo FAT32 et drapeau de boot ESP).
  Une partition  en EXT4 pour le logiciel (y  compris le /home). Taille environ 40 Go.
  Pas de partition swap.  (Ubuntu utilisera des fichiers de swap).
Une partition de données utilisateur avec le reste de l'espace disponible.
   Soit tu la fais avant d'installer soit lorsque l'installation est opérationnelle.
  https://forum.ubuntu-fr.org/viewtopic.p … #p16115551
  Dans cette partition, tu fabriques un répertoire que tu protèges en installant le logiciel ECRYPFS.        Cela c'est la doc officielle https://doc.ubuntu-fr.org/ecryptfs
Mais tu vas vite en avoir raz le bol de ton mot de passe ultra compliqué à frapper pour un oui ou pour un non (sudo)   Alors regardes si le logiciel veracrypt ne te convient pas  plus. ( https://doc.ubuntu-fr.org/veracrypt )

Dernière modification par ?? (Le 01/02/2018, à 17:42)


Utiliser REFIND au lieu du GRUB https://doc.ubuntu-fr.org/refind . Aidez à vous faire dépanner en suivant le guide et en utilisant les outils de diagnostic J'ai perdu ma gomme. Désolé pour les fautes d'orthographes non corrigées.

Hors ligne

#6 Le 01/02/2018, à 17:46

Igor

Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)

maxire a écrit :

Salut,

Réponse à la question  <<quelles partitions est-il utile de chiffrer (la partition racine [ /  ] ?>>:

Tout dépend du niveau de sécurité cherché, il est même possible de chiffrer totalement le disque en installant Grub avec l'option GRUB_ENABLE_CRYPTODISK.

  Pour essayer de vous/te répondre, ce je que recherche, c'est un niveau de sécurité qui préserve le plus possible la vie privée d’un utilisateur lambda sur un poste personnel domestique.

   Merci de vos réponses qui me donnent des pistes à approfondir pour la sécurité d'une installation "Desktop" des systèmes basés sur Debian.
Une dernière chose, j'ai commencé la lecture du "Guide d’autodéfense numérique" (https://guide.boum.org/), la référence vous est-elle inconnue? douteuse? fiable?
Je poserai mes futurs questions dans la section dédiée à la sécurité.

Bonne soirée et merci.

Dernière modification par Igor (Le 01/02/2018, à 17:51)

#7 Le 01/02/2018, à 19:29

nam1962

Re : Installation chiffrée avec [ / ] et [ /home] séparée (EFI, LVM?)

Igor a écrit :

(...)
  Pour essayer de vous/te répondre, ce je que recherche, c'est un niveau de sécurité qui préserve le plus possible la vie privée d’un utilisateur lambda sur un poste personnel domestique.

(...)

Ca dépend de qui tu veux protéger.
Avec un poste sous Linux derrière une box, le risque de se faire piquer des données de l'extérieur est quasi nul pour un poste domestique.

Par contre distribuer ses infos en surfant est dans la majorité des cas une question d'interface chaise clavier. (On peut mettre en place une sécurisation du navigateur, cela dit et penser à effacer ses historiques.)

Contre l’indiscrétion domestique de quelqu'un qui a accès physique à la machine, rien ne vaut le disque externe qu'on planque, voire une clef pour aller sur des sites qui créent de la bisbille.

Chiffrer un /home créera plus d'ennuis et de contraintes pour un bénéfice pas évident.

Si on parle d'un poste sensible, il y a des distros spécialisées par contre (et beaucoup, beaucoup de discipline...)


[ Modéré ]

Hors ligne