Conseils pour la réinstallation de mon "serveur"

Support Debian
#1

Bonjour à tous,

Je suis en plein changement et je vais passer par la case réinstallation de ma debian et la passer en stretch du coup.
Quand j’ai commencé à mettre en place mon “serveur”, il y a quelques années, je n’avais pas beaucoup de connaissance dans le domaine donc j’avais faire une installation type à partir de l’ISO (GUI, pas de chiffrement, …)

Aujourd’hui avec le recule et grâce à vous (merci de m’en avoir appris autant), je souhaite que cette installation “propre” soit plus sécurisée et plus structurée.

C’est pour cela que je viens vous demander conseils encore une fois :slight_smile:

Ce que je peux vous dire sur ma vision des choses:

  • Mise en place du chiffrement du disque avec enregistrement auto de la passphrase car il y aura aucun écran / clavier / souris dessus (au moins que vous avez une idée pour entrer la passphrase au démarrage sans écran)
  • Création d’une seule partition. Je ne vois pas l’interêt de séparer le /home pour mon utilité car les logiciels que je vais utilisés, sauvegarde les infos dans son dossier applicatif (/etc/…)
  • La debian sera sans interface graphique car pour évoluer assez vite et ne pas me tenter, je préfère penser comme ça :slight_smile:
  • Utilisation de LVM (ça c’est suivant vos conseils)

Voila je pense avoir fait le tour des grosses lignes et j’espère lire rapidement tous vos précieux retours d’expérience.

Merci d’avance

#2

Bonjour,

Si c’est pour mettre la clé à côté du cadenas (la passphare à côté de la partition chiffré), ça n’a que peu d’intérêt.
Pour déverrouiller une partition chiffrée via ssh, tu peux installer dropbear-initramfs sur le serveur. En cherchant “luks dropbear” sur ton moteur de recherche préféré, tu devrais trouver ton bonheur.

1 J'aime
#3

Merci @P_tit_g de ta réponse.

Je partage ta pensée mais mon interrogation vient le fait que si ma debian m’a pas totalement démarrée (attente de la passphrase) comme je peux me connecter en ssh ?

#4

Bonjour,

Par contre, chiffrer la partition / tout en ayant sur le même disque une partition qui contient la clé de déchiffrement, ça ne sert à rien. Je te suggère d’utiliser une clé USB par exemple, sur laquelle la clé de déchiffrement sera présente, et qui sera lue lorsque la partition / (ou le volume logique qui la contient) devra être déchiffrée. Bien sûr, la clé USB devra être branchée sur la machine au moment du démarrage. Il est possible de définir un mot de passe de secours, au cas où tu perdrais la clé USB. Je n’ai plus la procédure en tête, mais tu devrais trouver tout ce qu’il faut sur le web là-dessus.

Le dossier /etc sert plutôt à stocker des fichiers de configuration, pour stocker d’autres types d’info, tu peux jeter un oeil au standard Linux Filesystem Hierrachy. Mais de toute manière tu peux bien sûr mettre tous ces répertoires sur une seule partition.

Oui pourquoi pas. L’intérêt de LVM dans ton cas c’est surtout si tu comptes utiliser plusieurs volumes physiques (disques) pour une seule partition, mais dans tous les cas je pense qu’il est utile d’apprendre à s’en servir un minimum.

#5

Avec dropbear-initramfs, le serveur ssh n’est pas installé sur ton système, mais dans le système de démarrage (https://fr.wikipedia.org/wiki/Initrd). Lors du démarrage, un serveur ssh est lancé avant le déverrouillage de la partition et attend que tu fournisses la passphrase.

#6

ah intéressant !!! :slight_smile: Je vais étudier le cas …

#7

Merci de ta réponse @Sputnik93.

Ta solution n’est pas mal non plus mais je pense que celle de @P_tit_g me correspond le mieux.
Sinon l’utilisation que d’une seule partition ne te choque pas car j’ai souvent vu des /home séparé mais je ne vois pas vraiment l’intérêt.
Pour l’utilisation de LVM, j’ai toujours fait ainsi car on m’avait indiqué que c’était plus modelable par la suite.

Merci en tout cas de ton partage

#8

Pour un PC avec une utilisation personnelle ça peut être intéressant d’avoir /home séparé, mais pour un serveur il n’y a pas trop d’intérêt. Pose toi la question d’où doivent être les données auxquelles tu attaches de l’importance, ça peut éventuellement valoir le coup de séparer la partition (par exemple sur mon serveur de backup j’ai un partition séparée et avec un RAID, sur laquelle je mets mes backup).

#9

ok je comprends ta logique mais mes backup se font sur mon NAS équipé de RAID donc sur tes conseils. Je vais rester sur une seule partition.

#10

Concernant l’utilité de LVM, elle est principalement de trois orders :

  • créer et gérer facilement des volumes logiques

  • concaténer facilement l’espace de plusieurs disques

  • possibilité de créer des “instantanés” (snapshots") pour revenir en arrière ou réaliser des sauvegardes cohérentes.

Si tu comptes mettre tout le système et toutes les données dans un seul volume sur un seul disque et ne pas utiliser de snapshots, alors LVM n’a pas d’utilité.

Mais je pense que pour un serveur, la séparation en plusieurs volumes est utile. Cela limite les conséquences d’une corrruption de système de fichiers et facilite sa réparation. Cela limite l’étendue d’une consommation excessive de l’espace disque. Séparer le système et le système et les données permet de réinstaller le système sans devoir sauvegarder et restaurer les données. Cela peut également faciliter la sauvegarde et la restauration du système et des données.

Dans ce cadre LVM facilite grandement la gestion de plusieurs volumes, notamment en simplifiant l’agrandissement des volumes au fur et à mesure des besoins. Exit la crainte de mal dimensionner les partitions difficiles à redimensionner.