Conseil install mini serveur

Bonjour,

Je vais me remonter un petit serveur à la maison pour du Nextcloud, mpd, … et je ne sais pas quel serait la meilleure option.
Sur le serveur actuelle, j’ai chiffré toutes les partitions. C’est bien mais pas pratique dés qu’on a besoin de rebooter la machine.
Du coup, je vais continuer à chiffrer mais je vais laisser de coté la racine pour me faciliter la maintenance et chiffrer uniquement les données.
Les données seront dans /home/data et dans /var/data . En pensant au points de montage à créer, j’ai l’impression que ça sera un peu le bazar et je me demande si j’ai pas mieux fait de créer des liens symboliques (qui semble plus souple).

J’aurai juste besoin de lancer les services une fois que les partition(s) chiffrées seront montées. Il me semble que ça doit être possible avec systemd.

Pour résumé, je me demande si j’ai intérêt à saucissonner mon disque pour faire des points de montage ou si je passe par des liens symboliques pour pointer sur une partition avec toutes les données qui seront chiffrées.

Il y a des chances que je ne sois pas le premier à avoir été confronté à ça, autant avoir des conseils et partir sur de bonnes bases

Tu peut chiffrer ton disque dur en entier.
Avec dropbear je crois tu peut déchiffrer en ssh. juste au moment de grub.

Merci, je ne connaissais pas.
Quand j’aurai un peu de temps, je testerai.

Pourquoi n’est-ce pas pratique ?

Quel est le besoin de chiffrement ?

En quoi est-ce que ce sera plus pratique que la solution actuelle ?

Tu peux découper l’espace disque avec LVM tout en n’ayant qu’une seule partition chiffrée : une partition chiffrée est utilisée comme volume physique LVM que tu peux découper en autant de volumes logiques que tu veux. En prime, ça simplifie le redimensionnement à chaud des volumes logiques.

Non, par défaut GRUB et /boot ne peuvent pas être chiffrés.
GRUB peut fonctionner avec /boot chiffré, mais ce n’est pas supporté par l’installateur Debian. Et ça semble plus compliqué voire impossible avec la variante signée pour le secure boot UEFI de GRUB.

Petite rectification : dropbear a besoin du noyau, donc il ne peut pas se lancer directement depuis GRUB. Il peut être intégré dans l’initramfs (qui est chargé par GRUB en même temps que le noyau) et être lancé avant le montage de la racine.
Cf. paquet dropbear-initramfs.

Si / est chiffré, il faut brancher clavier et écran à chaque reboot. C’est seulement après que j’ai accès à ssh.

Protéger les données.

Une fois accès en ssh, je peux faire ce que je veux.

oui, une fois chiffré, je mets du LVM ou autre chose mais c’était pas là mon interrogation.
Pour les données, je ne sais pas si c’est avantageux de partir sur du LVM ou une seule partition “classique”. Avec une seule partition et des liens symboliques, il n’y a même plus besoin de redimensionner les LV. J’ai eu la mauvaise expérience de réduire un LV et ça n’a pas été un succès. D’ailleurs, je crois qu’il est plutôt déconseillé de réduire des LV.
Sans LVM, je risque de mettre en place des quotas …
Sur le fond, j’essaie de ne mettre en place des outils que s’il y a des bénéfices. Un simple partitionnement en ext4 rend une récupération de données plus simple qu’avec du LVM il me semble.

Pour le chiffrement intégrale, il me semble que coreboot le gère mais c’est anecdotique.
J’ai toujours laissé /boot en clair. En plus, je suis obligé de passer par de l’UEFI et là c’est pas clair pour moi sur le fonctionnement.

pour dropbear-initramfs, j’essaierai à l’occasion

Contre quel(s) risque(s) ?

Pas plus que réduire des partitions. Mais l’intérêt de LVM bien utilisé est de ne jamais devoir réduire les volumes logiques, et de seulement les agrandir quand c’est nécessaire, ce qui est très simple quand on a pris soin de garder de l’espace libre pour cela lors de la création.

C’est vrai puisque LVM rajoute une couche. Mais les sauvegardes sont là pour ça.

Il n’y a rien de fondamentalement different concernant le chiffrement. La partition EFI doit être en clair aussi.