Aller au contenu principal
Sujet: installation professionnelle (Lu 8251 fois) sujet précédent - sujet suivant

installation professionnelle

Hello,
A l'aube d'une évolution professionnelle, je m'apprete à gliser une openSuse sur un thinkpad.
Quelqu'un peut il me faire un retour sur le cryptage du disque dur ou de la partition home sous les dernières version d'opensuse ? Comment cela se passe t il au niveau de l'installation  et dans l'usage courant?
DAns l'idéal, je prends ceinture et bretelles : mot de passe grub, cryptage du disque, cryptage de home.

Merci par avance de vos retours d'expérience. 


Re : installation professionnelle

Répondre #2
Salut xiloa,

Attention à la phrase de passe pour le cryptage au moment de l'installation : même si l'installation se faisait en français, il m'est arrivé que la phrase de passe soit enregistrée comme si elle avait été tapée sur un clavier qwerty !


à plus,
oh!rocks

Re : installation professionnelle

Répondre #3
Salut,

J'utilise au quotidien openSUSE Leap (en 15.2 beta actuellement) depuis plusieurs années au boulot (administration système Linux). Mon installation est chiffrée intégralement, ce qui implique que je doive saisir la phrase de passe 2 fois:

- une fois pour déchiffrement /boot et accéder à Grub (attention: à cette étape du démarrage, le clavier est en QWERTY! Ce paramètre peut-être important dans le choix de la phrase de passe)
- une fois pour déchiffrer le reste des partitions (à ce moment là, le clavier est passé en AZERTY, puisque c'est le layout que j'ai configuré)

Une fois ces partitions déchiffrées c'est complètement transparent.

Pour ce qui est de l'installation, je te recommande de suivre ce que l'installeur openSUSE va te proposer par défaut. Dans tous les cas, veille à ce que tes partitions / , swap et /home soient regroupées au sein d'un même VG LVM (sinon, si tu fais des partitions pour chacune, tu devras saisir ta phrase de passe pour les déchiffrer une par une). Par défaut, si tu choisis du chiffrement, l'installeur te proposera du LVM.

Re : installation professionnelle

Répondre #4
merci de vos retours d'expériences....

Peux tu préciser le concept de VG LVM et la mise en oeuvre ? C'est encore malgré toutes ces années encore un peu obscure pour moi.
Est ce au moment du partitionnement du disque que je créé une lvm avec plusieurs partitions à l'intérieur ?

Pour ce qui est de l'installation, je te recommande de suivre ce que l'installeur openSUSE va te proposer par défaut. Dans tous les cas, veille à ce que tes partitions / , swap et /home soient regroupées au sein d'un même VG LVM (sinon, si tu fais des partitions pour chacune, tu devras saisir ta phrase de passe pour les déchiffrer une par une). Par défaut, si tu choisis du chiffrement, l'installeur te proposera du LVM.

Re : installation professionnelle

Répondre #5
LVM est un gestionnaire de volumes logiques. En gros, pour simplifier énormément, il se base sur 3 trois objets:

- PV (Physical Volume) = un volume physique (disque ou partition)
- VG (Volume Group) = un ensemble de LV (voir après) qui est constitué d'un ou plusieur PV. Un VG peut donc s'étendre sur plusieurs disques/partitions physiques
- LV (Logical Volume) = un volume logique, ça peut être vu comme une partition logicielle, mais qui ne correspond pas une partition réelle d'un disque, simplement à un "morceau" du VG. En tant que partie d'un VG, il peut aussi s'étendre sur plusieurs disques/partitions physiques

Au moment du partitionnement, lors de l'installation, l'installeur va te proposer de faire d'utiliser LVM et faire le boulot. Il va en fait créer une partition physique chiffrée, créer un VG qui va contenir cette partition, du coup les différents LV qui seront créés à l'intérieur de ce VG ne seront pas accessibles tant que la partition n'est pas déchiffrée.

Re : installation professionnelle

Répondre #6
LVM est un gestionnaire de volumes logiques. En gros, pour simplifier énormément, il se base sur 3 trois objets:

....
...Il va en fait créer une partition physique chiffrée, créer un VG qui va contenir cette partition, du coup les différents LV qui seront créés à l'intérieur de ce VG ne seront pas accessibles tant que la partition n'est pas déchiffrée.
ce qui permet d'avoir une machine sécurisée en n'entrant qu'un mot de passe pour le décryptage des disques! Merci

Re : installation professionnelle

Répondre #7

Je vois ça comme une bonne solution s'il s'agit d'un PC multi-utilisateur ou un PC sur lequel on n'est pas administrateur. Ce qui permet de chiffrer des données pour les rendre inaccessibles à l'administrateur de la machine.

Par contre, si le PC est mono utilisateur (ce qui est le cas pour le PC pro pour ma part), un chiffrement des partitions me semble suffisant.

Je n'ai utilisé que Fedora sur le PC pro, et j'ai "juste" chiffré mes VG root et home. /boot n'est pas chiffré chez moi. Cela me semble suffisant pour mon cas d'usage (protéger les données d'un vol de disque). Ça fait que je n'ai qu'un mot de passe à taper pour déchiffrer. Et le clavier est correctement localisé comme l'indique Sogal. Je fais pareil sur le PC perso (qui est openSUSE lui).

Re : installation professionnelle

Répondre #8
Bonjour,
J'utilise Tumbleweed en usage pro depuis plusieurs années (et OpenSUSE normal avant).
La partition /home est cryptée avec eCrypt et le système non.
Du coup, déchiffrement automatique avec PAM pour peu que le mot de passe de session soit celui de la clé de cryptage, sinon double saisie.
Aucun souci au quotidien, j'utilise des VM Windows pour des logiciels très spécifiques et, en dépannage, Office 2016 via Crossover pour les tableaux Excel un peu trop ... compliqués et bourrés de macro...

Re : installation professionnelle

Répondre #9
Salut
Pour avoir fait le tour de la question, et fait tourner "à froid" l'installeur de openSuse Leap , je pense opter pour la solution suivante :
- grub protégé par mot de passe 
- une partition /boot
- une partition LVM cryptée, scindée en 3 LV : swap, "/" et "/home"

ça vous semble sécurisé?

Re : installation professionnelle

Répondre #10
À moins que tu ne stockes dans ton ordinateur les secrets de la solution miracle qui sauvera la vie sur Terre du chaos climatique et autres de nos bêtises, ça me paraît suffisant :)

Si tu es vraiment paranoïaque tu peux ajouter une couche de sécurité dépendant non pas de l'OS mais de l'ordinateur lui-même en configurant dans le BIOS/EFI la nécessité de saisir un mot de passe pour pouvoir démarrer l'ordi (il te sera demander immédiatement après l'allumage électrique, avant même l'accès à GRUB).

Re : installation professionnelle

Répondre #11
salut
problème avec le mot de passe gub, qui est demandé dès l'allumage. Dans mes souvenirs, il y avait moyen de verrouiller juste les modifications sur grub, histoire de ne pas autoriser le démarrage en mode solo/root

Re : installation professionnelle

Répondre #12
salut
problème avec le mot de passe gub, qui est demandé dès l'allumage. Dans mes souvenirs, il y avait moyen de verrouiller juste les modifications sur grub, histoire de ne pas autoriser le démarrage en mode solo/root

Oui, une fois ton système installé, tu vas dans YaST => Chargeur d'amorçage et tu as des options pour ça.

Re : installation professionnelle

Répondre #13
le boulet.
Je n'avais pas cliqué sur protéger uniquement les modifications.
j'en suis quitte pour une belle frayeur

Merci à vous

 

Re : installation professionnelle

Répondre #14
Bonjour.

En général je fais:
- grub "normal"
- une partition /boot
- une partition LVM cryptée, scindée en 3 LV : swap, "/"

Je ne sépare même plus le /home vu que ça ne me sert plus vraiment.

Dans le bios je mets un mdp  et je désactive le boot sur usb comme ça ça évite qu'on vienne me mettre un trojan sur le /boot (oui c'est de la parano :o )

En cas de vol du pc les données sont bien sécurisées. Ils peuvent formater le pc et le revendre mais ça protège quand même la chose.