Le 24/08/2018 à 21:50, dethegeek a écrit :
j'ai prévu un seul vg chiffré, contenant tous mes lv sensibles: rootfs
et home. J'ai initialement prévu que boot soit non chiffré, mais c'est
pas une bone idée. On peut techniquement attaquer ce volume pour y
mettre un keylogger.
La bonne pratique est donc de chiffrer /boot, grub , de ce que je lis,
le gère
Oui. Mais la core image de GRUB (qui demande de taper la passphrase pour
déchiffrer le volume contenant /boot) reste en clair et donc vulnérable.
Si le but est de se protéger de la divulgation des données en cas de
perte ou vol de l'ordinateur, alors le chiffrement de /boot n'est pas
nécessaire, il ne contient pas de donnée sensible.
Si le but est de se protéger contre une intervention illicite sur
l'ordinateur passée inaperçue, alors le chiffrement quel qu'il soit ne
suffit pas car il reste toujours une partie en clair pour l'amorçage. Il
faut y ajouter la vérification de l'intégrité.
