j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles: rootfs et home. J'ai initialement prévu que boot soit non chiffré, mais c'est pas une bone idée. On peut techniquement attaquer ce volume pour y mettre un keylogger.
La bonne pratique est donc de chiffrer /boot, grub , de ce que je lis, le gère; et vérifier avant tout déchiffrement qu'il n'y a pas de hardware suspect sur un port USB, un clavier modifié, et autres joyeusetés. Reste encore des failles côté bios / uefi; ça devient vraiment de la paranoïa à ce stade, mais à force d'apprendre ce qu'il est possible de faire pour pénétrer une forteresse numérique, je finis par me dire qu'on ne peut que se protéger des "petits joueurs". Cela dit il y a encore cette solution pour attaquer: https://www.engadget.com/2008/10/20/keyboard-eavesdropping-just-got-way-easier-thanks-to-electrom/ Il s'agit d'écouter les émissions éléctromagnétiques des claviers pour trouver les frappes. Ca peut se faire au travers d'un mur, à 20m de distance. Pour votre gouverne... A défaut de solution prêt à l'emploi, je vais continuer la création de ma procédure en comparant ce que j'ai fait avec vos propositions. Je sais que je ne suis pas très loin; je peux presque migrer à chaud, avec une toute petite iinterruption de service (j'adore chercher la solution qui vise à ne pas interrompre la machine ou très peu; LVM aide énormément pour cela). Le vendredi 24 août 2018 à 16:32 +0200, Daniel Caillibaud a écrit : > Le 24/08/18 à 16:13, Daniel Caillibaud <m...@lairdutemps.org> a écrit : > > > /dev/mapper/sda5_crypt est le pv dans lequel j'ai mes 3 lv root, > > swap et > > home > > Juste une remarque, la plupart des tutos / docs parlent de chiffrer > un lv > puis y mettre un filesystem, mais si tu as plusieurs partitions > chiffrées > et ne veut taper qu'une seule passphrase au boot, ça oblige à mettre > la > passphrase dans un fichier [1] > > Je trouve plus simple de chiffrer une partition et de l'utiliser > comme pv > pour lvm, tous les lv qu'il contient seront de fait chiffrés (faut > juste > faire attention si tu as un vg à cheval sur plusieurs pv, mais ça > peut > justement servir dans ton cas pour déplacer un vg d'un pv non chiffré > à un > chiffré, et inversement, ou bien quand tu changera de disque à > déplacer le > vg d'un pv chiffré à un autre pv chiffré). > > Si tu réussis à créer le pv chiffré et y déplacer ton vg et ses lv, > raconte > ça ici, ça servira sûrement à d'autres ;-) > > > [1] sur la partition / qui va monter les autres avec ce fichier, pas > si > grave car si elle est montée c'est qu'on a déjà tapé la passphrase, > mais > quun qui peut accéder aux droits root sur la machine qui tourne déjà > pourra > lire ce fichier même si c'est pas lui qui a tapé la passphrase) >
