Bonjour !
Dîtes-moi s'il vous plaît, faut-il chiffrer les partitions après avoir partitionné ou le contraire ?
Sur mes deux disques externes de backup, j'ai fait le "cryptsetup luksFormat" avant de créer les partitions, et ça fonctionne sans aucun problème.
Donc, lorsque je veux accéder au contenu de ces disques, je fais d'abord un :
cryptsetup luksOpen /dev/sdg DATASE1 (et pas sdg1 !!!!)
mount /dev/mapper/DATASE1
Est-ce important ?
Quelle est la "recommandation" ?
L'avantage est que la partition table est illisible si on ne connaît pas la clef, mais est-ce important ?
+
# tout est fichier, et c'est une question de choix
Posté par NeoX . Évalué à 5.
ca va paraitre bete, mais sous linux tout est fichier.
du coup tu peux chiffrer un disque, une partition, un dossier ou un fichier.
apres c'est une question de choix.
sur ton disque systeme, ca va me sembler delicat de chiffre le disque en lui meme car grub doit pouvoir lire ses fichiers depuis l'amorce du disque. tu choisiras donc de chiffrer les partitions apres le /boot
par contre sur tes disques de données, c'est toi qui vois à quel niveau tu veux chiffrer :
- au niveau du disque = un mot de passe pour lire toutes les partitions
- au niveau de la partition = pour proteger differemment tes fichiers courant et tes fichiers hyper important
- au niveau du dossier ? pour partager certains dossiers avec d'autres utilisateurs
etc
[^] # Re: tout est fichier, et c'est une question de choix
Posté par PolePosition . Évalué à 1.
Bonjour Neox,
Question annexe, j'ai utilisé un périphérique (voice recorder) il y a quelques semaines.
Je le branche sur ma Arch, via USB, pour accéder aux fichiers (WMA….) et je vois bien le fichier de périphérique /dev/sdc mais aucune partition.
J'ai du monter /dev/sdc (tout court, sans chiffre).
Etrange, n'est-ce pas ?
Je précise que ce périphérique voice recorder ne gère pas du tout le chiffrement !
Et merci encore…
PS : j'ai transformé ma grappe RAID1 en RAID5. roulez !
[^] # Re: tout est fichier, et c'est une question de choix
Posté par coïn . Évalué à 3.
Question annexe == nouvelle question
# Partition + LUKS + LVM
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 6.
Personnellement, je partitionne toujours mes périphériques de stockage fixe, même si c'est pour n'y définir qu'une seule partition, pour au moins deux raisons :
Si je veux faire du LUKS, je ne définis donc qu'une seule partition couvrant toute la surface du périphérique. Je fais donc du LUKS, et j'effectue mon partitionnement au-dessus. Et puisque j'utilise de toute façon des fonctionnalités avancées de Linux en matière de gestion de périphérique bloc avec LUKS, tant qu'à faire j'utilise du LVM pour effectuer ce partitionnement.
Donc, ça donne : partitionnement GPT (parce que MS-DOS ça craint), une seule grosse partition, LUKS, puis LVM.
# Metadata et RAID
Posté par lay . Évalué à 3.
Bonjour,
Comme tu veux, mais il y a quelques petit trucs à prendre en compte.
Les metadata:
- Avec un disque entièrement chiffré, seules les metadata de LUKS sont en clair au début du disque.
- Avec les partitions chiffrées, si tu fait d'abord des partitions LVM, ou du RAID, alors les metadata de ces partitions seront en clair en début de chaque partitions. Après il faut savoir que ces metadata contiennent au pire le nom logique de la partition, rien de sérieusement privé.
En ce qui concerne le raid:
- si tu chiffres entièrement deux disques, que dans chacun de ces disques tu créer une partition et que tu la redonde en RAID1, alors le système va alors chiffrer deux fois les données (une fois par disque) ce qui consomme du temps processeur.
- si tu chiffres la partition et que tu le redonde ensuite sur deux disque en clair, alors cette fois le système va ne chiffrer qu'une seule fois les données.
[^] # Re: Metadata et RAID
Posté par PolePosition . Évalué à 1.
Très intéressantes remarques.
Merci beaucoup.
[^] # Re: Metadata et RAID
Posté par phoenix (site web personnel) . Évalué à 2.
Autre remarque :
Un chiffrage d'un disque contenant système + données sera plus facilement déchiffrable qu'un disque contenant uniquement les données.
Je m'explique si le disque contient le système, le pirate peut tenter de supposer de l'existence de certain fichiers à une certaine version (exemple /bin/ls, /bin/mount le noyaux, …).
Théoriquement en connaissant la partie chiffré, et la partie déchiffré, on peut retrouver la clé (c'est de la théorie, car il faut aussi connaitre l'emplacement du fichier). Du coup il serait envisageable de décrypter le disque en supposant de l’existence de certains fichier.
Par exemple si je suppose que la distrib est une debian stable, je peux supposé de la version du noyaux et que celui ci se trouve au début du disque. Je devine la clé puis je décrypte l'intégralité.
Pour faire cela, il faut quand même d'énorme moyen.
Chiffrer le système à peu d'intérêt et chiffrer les données en a plus. Du coup je préfère chiffrer data + swap d'un coté et ne pas chiffrer le système qui boottera plus rapidement.
Je ne suis pas spécialiste, donc si des personnes ont des remarques
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.