Crypter son disque, la meilleure solution ?

**Hyt3k** · 15/06/2015, 15h04

Bonjour tout le monde,

Je fais - sur la base de raspberries - des petites box de diffusion pour des associations...
Les rasp sont tous connectés - via VPN - à un unique serveur dédié distant.

Les rasp récupèrent des docs sur le serveur, pour les diffuser chez les assos.
Mais ils ne doivent pas essaimer sur le net (les asso sont organisatrices de festivals et événements culturels... on essait de garder la surprise,
les docs étant souvent des réunions filmées, du matos de comm d'artistes, etc.).
L'échange rasp-serveur est vPN-crypté.

Mais maintenant je pense qu'il me faut crypter les disques des rasp, voire celui du serveur central.
Pourriez vous me conseiller sur la meilleure piste ?
(NB : Mes rasp sont en debian, mon serveur en CentOS)
parce que là... Ich weiß nicht... https://en.wikipedia.org/wiki/Compar...ption_software

Merci d avance pour vos lumière.

My name is : Another nux'noob.

**LittleWhite** · 16/06/2015, 10h11

Bonjour,

Au moment de l'installation de Debian, lors du partitionnement, il est proposé de créer des partitions chiffrées. Toutefois, elles demandent un mot de passe au démarrage (en plus de celui de la session).
Le mieux, c'est de simplement ne pas mettre les fichiers sensibles sur le disque, non ?

**Flodelarab** · 16/06/2015, 10h12

Bonjour

Tu peux avoir un dossier chiffré. Mais chiffrer le disque ne me parait pas une bonne idée si tu n'as pas réfléchi à l'endroit où tu stockes la clé. Cadenasser la clé du cadenas n'est pas malin.

**Hyt3k** · 16/06/2015, 10h25

Merci pour vos réponses.

Cadenassez la clef n est pas malin, oui.
Ne pas mettre les fichiers sensibles sur le disque, oui.
Je suis d accord avec vous, mais pour le coup, on a bien pensé le tout et ca nous ramène toujours
à devoir stocker les fichiers sensibles sur le disque.
Au pire, on les stocke sur le serveur central et le problème demeure.

Vraiment, j'espère trouver la bonne cuisine pour stocker sur le disque.
Pour détailler un peu le "concept" : les boxs n'ont pas d'entrée VGA/USB, pour le démarrage,
on plug un dongle SD Card avec le clé (ou le pass) dessus.
C'est à bosser.
Les membres se connectent aux rasps en wifi, accédant alors à une page web locale pour downloader
les fichiers sensibles (on se réunit au fin fond de la Suède dans un bunker nucléaire).
NB : Internet étant innaccessible, il a bien fallu que les rasps récupèrent les fichiers avant de partir.
Du coup je rêve de rasp qui :
- sont complètement chiffrés
- peuvent downloader les derniers fichiers 'chauds' avant de partir, fichiers qui seront encryptés à la volée,
- que les membres puissent - une fois connecté bien sûr - télécharger ces fichiers, pour les recevoir "en clair" sur leur laptop.

Je conçois que ce soit tordu. Mais j'ai la "source" de mon linux copié sur tous les rasp, et je me demande si je peux pas "simplement"
crypter ça, avec une clef pour chaque rasp et balancer le tout sur le HDD...

Merci d avance pour votre aide.

**Flodelarab** · 16/06/2015, 10h36

Quand on prononce le mot "sécurité", tout le monde se rue sur la cryptographie. Mais ce n'est pas la seule technique. Il y a aussi la stéganographie (cacher un document dans un autre document), par exemple.

La cryptographie fabrique un petit coffre-fort inviolable pour l'information secrète.
La stéganographie nie l'existence de l'information secrète.

Si je parle de ça, c'est pour demander si jouer avec les droits GNU Linux ne serait pas suffisant. Un dossier, accessible à l'utilisateur "prepa", mais inaccessible à l'utilisateur courant "pi" des raspberries, contiendrait tous les contenus sensibles. Et l'utilisateur "prepa" copierait les documents dans une zone partagée au besoin.

Je conçois que ce soit tordu

Ce n'est pas tordu. C'est inutilement bourrin.

**Hyt3k** · 16/06/2015, 10h42

Il y a aussi la stéganographie (cacher un document dans un autre document), par exemple

Merci Flodelarab : La Stégano,on va l'utiliser aussi, dans les media eux-mêmes. Pour identifier certaines données.

Si je parle de ça, c'est pour demander si jouer avec les droits GNU Linux ne serait pas suffisant.

C est oas impossible. Concrètement, si qqun vole le disque... hop il le ramene à la maison , le branche sur son système,
check la user-list, et - je ne sais pas comment - il parvient à tout lire en root.
A ce moment là, c est plié, non ? Il me semble.

Pour info un petit schema du bousin :
Nom : aka.png
Affichages : 645
Taille : 27,7 Ko

Nom : aka.png
Affichages : 645
Taille : 27,7 Ko

**Hyt3k** · 16/06/2015, 11h53

Quid de dm-decrypt ?
https://wiki.archlinux.org/index.php..._entire_system

ecuring a root filesystem is where dm-crypt excels, feature and performance-wise. Unlike selectively encrypting non-root filesystems, an encrypted root filesystem can conceal information such as which programs are installed, the usernames of all user accounts, and common data-leakage vectors such as mlocate and /var/log/.

**Hyt3k** · 01/07/2015, 15h42

Finalement, LUKS a parfaitement convenu.

Il est très préférable de crypter à l'installation (possible après mais bon grooos courage à vous...).

LVM **LUKS**

Crypter son disque, la meilleure solution ?

Sécurité

Discussions similaires

Partager

Partager