Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 25-09-2020 07:02:27

exodebian
Membre
Distrib. : Buster kde
Noyau : Linux 4.19.0-12-amd64
(G)UI : Caja
Inscription : 04-10-2018

Installation avec partitionnement manuel et chiffrement des données.

Bonjour,

L'objectif : Installer une Debian avec un partitionnement manuel en chiffrant le disque.

- SSD de 100 Go

je crée donc :

- EFI : 127 Mo ESP
- Root / 30 GB Ext4
-et /Home de 69 GB Ext4

Quelque chose n'est pas clair dans mon esprit pour la partie chiffrement.

Souhaitant protéger mes données, je voudrais les chiffrer. Je dois donc chiffrer mon /home.

1/ y-il une utilité à chiffrer sa partition / boot ?

2/ Si oui , dans le cas du chiffrement des deux partitions je risque d'avoir 2 passphrases à saisir lors du démarrage ou je me trompe ?


Bref mon esprit n'est pas au clair avec ca et je remercie d'avance celui qui pourra éclairer ma lanterne ;-)

Hors ligne

#2 25-09-2020 13:14:27

zetof85
Membre
Inscription : 20-09-2020

Re : Installation avec partitionnement manuel et chiffrement des données.

Bonjour ,

Perso j'utilise l'approche du disque chiffré en entier , mais  :

- avec la partition /boot déportée sur une clé usb lors de l'installation
- on la débranche une fois la machine démarrée , en cas de vol de la machine il est presque impossible de récupérer les données sans la clé usb ni la passphrase

"Normalement" , il est impossible d'installer un linux avec la partition /boot dans un volume chiffré , vu que grub y est stocké ainsi que le noyau qui est ensuite chargé dans la ram ...

Après il est tout a fait possible de ne chiffrer que le /home a l'install en le plaçant dans un volume chiffré et laisser /boot & autres en clair sur le disque

Dernière modification par zetof85 (25-09-2020 13:18:29)

Hors ligne

#3 25-09-2020 21:43:33

raleur
Membre
Inscription : 03-10-2014

Re : Installation avec partitionnement manuel et chiffrement des données.

exodebian a écrit :

1/ y-il une utilité à chiffrer sa partition / boot ?


Tu parles de / (racine) ou /boot ?
Dans ton cas il n'y a pas d'utilité à chiffrer /boot qui ne contient normalement pas de données.
Concernant la racine, ça dépend où sont les données que tu veux protéger.
Les bases de données (MySQL, MariaDB, PostgreSQL...) stockent généralement leurs fichiers dans /var/lib.
Un serveur web a ses fichiers dans /var/www ou /srv.
[EDIT] J'ajoute :
Les mails reçus par le MTA local en attente de relève sont stockés dans /var/mail.
La base de données de (m)locate qui recense tous les fichiers présents (y compris dans /home) est stockée dans /var/cache.
/var/spool contient les file d'attente d'impression et de mails.
/var/tmp peut contenir des fichiers temporaire qui ne doivent pas être supprimés au reboot (contrairement à /tmp).
Les logs système stockés dans /var/log sont susceptibles de contenir des informations sur l'activité des programmes exécutés.
[/EDIT]Etc.
Les applications peuvent créer des fichiers temporaires dans /tmp dont le contenu reste même s'ils sont effacés (solution s'il y a assez de mémoire : mettre /tmp en tmpfs).
Sans oublier le swap s'il y en a.

exodebian a écrit :

2/ Si oui , dans le cas du chiffrement des deux partitions je risque d'avoir 2 passphrases à saisir lors du démarrage ou je me trompe ?


Oui, sauf dans certains cas si la passphrase est la même. Tu peux aussi stocker la passphrase du second volume chiffré dans le premier.
Si tu veux chiffrer / et /home, tu n'es pas obligé de séparer /home.
Si tu veux quand même /home séparé, tu peux créer une seule partition chiffrée utilisée comme volume physique LVM pour un groupe de volumes dans lequel tu pourras créer autant de volumes logiques que tu veux.

zetof85 a écrit :

en cas de vol de la machine il est presque impossible de récupérer les données sans la clé usb ni la passphrase


Seule la passphrase est nécessaire pour ouvrir un volume chiffré. Heureusement pour toi, car les clés USB ne sont pas très fiables.

zetof85 a écrit :

"Normalement" , il est impossible d'installer un linux avec la partition /boot dans un volume chiffré , vu que grub y est stocké ainsi que le noyau


Bien sûr que si, c'est possible. La partie centrale (core image) de GRUB est installée en dehors de /boot (MBR et secteurs suivants ou partition BIOS boot pour l'amorçage BIOS, partition système EFI pour l'amorçage UEFI) et GRUB sait lire les volumes chiffrés LUKS. Mais il y a des limitations :
- l'installateur Debian ne permet pas de chiffrer /boot
- la version de GRUB incluse dans buster ne supporte que le format LUKS1 et pas le format LUKS2 appliqué par défaut par la version de cryptsetup incluse dans buster.

Dernière modification par raleur (26-09-2020 08:18:32)


Il vaut mieux montrer que raconter.

En ligne

#4 25-09-2020 23:24:14

zetof85
Membre
Inscription : 20-09-2020

Re : Installation avec partitionnement manuel et chiffrement des données.

zetof85 a écrit :

"Normalement" , il est impossible d'installer un linux avec la partition /boot dans un volume chiffré , vu que grub y est stocké ainsi que le noyau


raleur a écrit :

Bien sûr que si, c'est possible. La partie centrale (core image) de GRUB est installée en dehors de /boot (MBR et secteurs suivants ou partition BIOS boot pour l'amorçage BIOS, partition système EFI pour l'amorçage UEFI) et GRUB sait lire les volumes chiffrés LUKS. Mais il y a des limitations :
- l'installateur Debian ne permet pas de chiffrer /boot
- la version de GRUB incluse dans buster ne supporte que le format LUKS1 et pas le format LUKS2 appliqué par défaut par la version de cryptsetup incluse dans buster.



ok  merci.gif pour les précisions

Dernière modification par zetof85 (25-09-2020 23:48:16)

Hors ligne

#5 26-09-2020 07:21:35

exodebian
Membre
Distrib. : Buster kde
Noyau : Linux 4.19.0-12-amd64
(G)UI : Caja
Inscription : 04-10-2018

Re : Installation avec partitionnement manuel et chiffrement des données.

Merci pour vos retours précieux !

Hors ligne

Pied de page des forums