Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-11-2021 15:05:19

crap0
Membre
Lieu : Bruxelles (Be)
Distrib. : debian 10
Noyau : Linux 4.19.0-9-amd64
(G)UI : Lxde & i3 (LxQt parfois - En test: Dwm)
Inscription : 27-09-2018
Site Web

Sécurité: Chiffré ma partition '/' & '/home'

Bonjour.
Voilà, j'ai deux pc portable dont j'aimerais pouvoir les installé et organiser de cette manière:

1- MacBook Pro (2012) - EFI :
--macos et Debian en dualboot / Peut-être un Gentoo en Triboot mais j'en suis pas là pour le moment
-- "/" & "/home" séparé
-- Chaque User, comme sur Ubuntu, n'a pas l'accès au dossier des autres Users sans le mot de passe de connexion

2- Asus E200H - UEFI :
-- juste Debian en simple boot
--Tout dans une même partition)
-- Chaque User, comme sur Ubuntu, n'a pas l'accès au dossier des autres Users (...)


En utilisant l'installateur Debian en mode texte ...
arrivé au "gestionnaire de disque" pour l'install
que dois je exactement choisir...
- Manuel et chiffré mes disque après ?
- LVM2 Chiffré ?
- Préparer mes disque à l'avance avec un Live contenant GParted ? (pour me faciliter la tâche par la suite)
- ...

Y a juste souvent des problèmes en tt genres
- soit Grub ne veut pas s'installer en fin d'installation
- après install réussie, l'ordi met 5min à accéder au mot de passe pour déchiffré la/les partitions
- ...

Y  at-il une alternative pour :
ne pas avoir accès aux partition interne depuis un Live sans le mot de passe de déchiffrement de celle(s)-ci
(non, si j'en crois la doc ...)

Pourriez vous me guider ?
Principalement pour chiffrer la/les partitions ... après je pense que ne pas donner l'accès aux home de l'unE, l'autre : c'est via une installation d'un paquet après install que cela peut se faire
merci !!
a+
C.

Hors ligne

#2 13-11-2021 15:32:48

raleur
Membre
Inscription : 03-10-2014

Re : Sécurité: Chiffré ma partition '/' & '/home'

crap0 a écrit :

Chaque User, comme sur Ubuntu, n'a pas l'accès au dossier des autres Users sans le mot de passe de connexion


Peux-tu préciser ? Parles-tu des permissions ? Ou d'un chiffrement natif (avec ext4 ou btrfs) ou au-dessus (avec ecryptfs par exemple) du système de fichiers ?

Dernière modification par raleur (13-11-2021 15:35:09)


Il vaut mieux montrer que raconter.

Hors ligne

#3 13-11-2021 20:12:22

crap0
Membre
Lieu : Bruxelles (Be)
Distrib. : debian 10
Noyau : Linux 4.19.0-9-amd64
(G)UI : Lxde & i3 (LxQt parfois - En test: Dwm)
Inscription : 27-09-2018
Site Web

Re : Sécurité: Chiffré ma partition '/' & '/home'

Hello

raleur a écrit :

Peux-tu préciser ? Parles-tu des permissions ? Ou d'un chiffrement natif (avec ext4 ou btrfs) ou au-dessus (avec ecryptfs par exemple) du système de fichiers ?



Je ne sais pas comment cela fonctionne exactement sur Ubuntu... Mais je pense que c'est bien des permissions qui empêchent unE userA à aller dans le Home du userB. Vu qu'avec un LiveUsb, on a accès aux fichiers de l'unE ou l'autre.

disons que je souhaite rendre inaccessible depuis par exemple un Live quelconque tout le système de fichiers.
Aussi bien le(s) Home que le système "au-dessus".
Puis éventuellement, si il y a unE deusième utilisateur/utilisatrice que les fichiers de l'unE l'autre ne soit accessible par un gestionnaire de fichier par exemple (ou cmd "cd").

Dois je et comment chiffré l'ensemble de mon système depuis l'installateur (le(s) Home et le système à la racine (au-dessus))
(LVM2 chiffré ? - qui me pose bcp de problèmes je trouve - est ce la bonne démarche ?)
Après pour les Home, c'est un plus mais bon voilà ... là, je suis seul à utiliser l'ordi donc dans un premier temps c'est ok.

Y a t-il différente méthode pour sécurisé son système pour une intrusion au niveau hardware ?

Hors ligne

#4 14-11-2021 12:38:27

raleur
Membre
Inscription : 03-10-2014

Re : Sécurité: Chiffré ma partition '/' & '/home'

Comme tu parlais de mot de passe je pensais que tu faisais allusion aux répertoires personnels chiffrés par ecryptfs que j'ai déjà vu en place sur Ubuntu. Mais si on a accès aux fichiers depuis un système live, alors effectivement il s'agit seulement de permissions classiques. Pour empêcher l'accès aux répertoires utilisateurs existants par les autres utilisateurs, il suffit d'enlever les permissions pour "tout le monde" :

chmod o-rwx /home/*


Il est aussi possible de configurer adduser et useradd pour que le répertoire utilisateur soit directement créé avec ces permissions lors de la création d'un utilisateur.
Pour adduser : DIR_MODE=750 dans /etc/adduser.conf.
Pour useradd : UMASK=027 dans /etc/login.defs. Note : cette valeur peut aussi affecter le masque de permissions (umask) défini à l'ouverture de session
Cf. pages de manuel de ces deux fichiers de configuration pour les détails.

Par contre les permissions n'empêchent pas l'accès à ces répertoires par un utilisateur sudoer ou depuis un système live. Pour cela, il faut chiffrer.
Le chiffrement LUKS de la partition /home empêche d'y accéder sans la passphrase depuis un système live, mais n'empêche pas les sudoers d'y accéder une fois le système démarré et la partition chiffrée ouverte.

Si tu veux chiffrer tout le système, il y a deux méthodes :

- Chiffrer individuellement chaque partition (racine, home, swap...). Cela implique donc une passphrase pour chaque volume qui doit être ouvert séparément. Il y a des moyens d'éviter de devoir taper la passphrase de chaque volume mais il faut au moins en saisir deux (racine et swap pour l'hibernation). Le redimensionnement à chaud peut aussi être compliqué.

- Utiliser LVM chiffré : une seule partition chiffrée donc une seule passphrase, contenant autant de volumes logiques qu'on veut. Si le système occupe plusieurs disques, ça se complique. Si les disques sont équivalents, on peut utiliser du RAID ou la technique du "sandwich" LVM-LUKS-LVM afin de n'avoir qu'un seul volume chiffré étendu sur plusieurs disques. Dans le cas contraire (exemple : racine et swap sur SSD, /home sur disque dur) on doit créer un volume chiffré par disque.

Qu'entends-tu exactement par "sécuriser son système pour une intrusion au niveau hardware" ? Contre quels types de menaces veux-tu le protéger ? Accès aux données en cas de perte ou vol, compromission à ton insu ?


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums