Guide / conseil - partitionnement manuel [LVM chiffré]

GOGI · Septembre 7, 2016, 4:31pm

Ben en fait d’après ce que je comprend de ses souhaits, il veut installer son système sur le SSD, et le /home (et les autres data…) sur le HDD.
Dans ce cas même en mettant la Swap sur le SSD, perso je ne me prendrai pas la tête de mettre du LVM, la taille de la Swap une fois fixée à l’installation est rarement changée, le reste étant attribué au système, je me passerai bien de la surcouche LVM par dessus le chiffrage avec LUKS (LVM a aussi des en-têtes il me semble?).

Pour le HDD contenant une partition /home et eventuellement une autre partition pour du /data, pareil je m’embeterai pas avec du LVM sauf necessité absolue de créer régulièrement plus de partitions que ça (on n’a pas cette info).
Donc là pareil avec le chiffrement je ne m’enquiquinerai pas avec du LVM, je fixerai la taille de la partition /home à 20Go par exemple, surtout pour un utilisateur ça devrait être plus que suffisant, dans laquelle je ne mettrai que les fichiers de config utilisateur (les fichiers masqués), et je ferai une deuxième partition /data pour y mettre tout le reste des données, avec des montages “bind” dans le fstab vers les dossiers de /home (documents, telechargements, photos, videos, …) si besoin est…
Les deux partitions chiffrées avec LUKS et une clé de chiffrement plutôt qu’un mot de passe, clé que je stockerai dans le répertoire /root avec un chmod 600 et un chown root:root, puis indiquer dans /etc/crypttab que ces deux partitions sont à déchiffrer avec cette clé au montage en rentrant son chemin à la ligne correspondante, comme ça au démarrage il suffit de rentrer uniquement le mot de passe pour le déchiffrement de la racine.

Enfin bon c’est subjectif, c’est mon point de vue, et ce n’est pas la seule façon de faire

J’en sais tout autant, pas plus… Mais apparement c’est une opinion qui est partagée par beaucoup.
Après tu me diras, oui mais même avec cette histoire malgré tout, au vu des caractéristiques des SSD aujourd’hui et la capacité d’écriture/ré-écriture, dans le cas d’un usage normal on doit quand même avoir assez de marge avant de voir venir quelque chose claquer…

Entre autre, j’en sais pas trop non plus là-dessus, mais lorsque je m’étais documenté sur le sujet je suis tombé à plusieurs reprises sur des commentaires du genre, où un système, même chiffré, reste vulnérable à partir du moment où il est démarré et qu’une personne a un accès physique à la machine… Ce qui en quelque sorte parait logique dans un certain sens.

GOGI · Septembre 7, 2016, 4:45pm

Bon c’est raté, c’est pas automatique en fait donc je reviens sur ce point poour faire une parenthèse.

Si votre machine fonctionne encore avec sysvinit, il y a un fichier de configuration :

# /etc/default/tmpfs

qui permet de configurer le montage de /tmp en tmpfs très tôt au démarrage avant la lecture de /etc/fstab (donc pas besoin de ligne dans le fstab). Il suffit pour cela d’éditer ce fichier, de décommenter la ligne correspondante à tmp et mettre sa valeur booléenne à VRAI :

# mount /tmp as a tmpfs.  Defaults to no; set to yes to enable (/tmp
# will be part of the root filesystem if disabled).  /tmp may also be
# configured to be a separate mount in /etc/fstab.
#RAMTMP=no       -----> RAMTMP=yes

Si votre machine fonctionne avec systemd, la procédure ci-dessus ne marchera pas, il faut donc faire les opérations suivantes :

# cp /usr/share/systemd/tmp.mount /etc/systemd/system/
# systemctl enable tmp.mount

Ceci copie l’unité “tmp.mount” dans le dossier de systemd contenant les unités à lancer au démarrage, puis l’active. Mais l’unité n’est pas encore lancée, pour la lancer immédiatement :

# systemctl start tmp.mount

Sinon au prochain redémarrage elle sera active. Pareil que pour le schéma avec sysvinit, pas besoin de ligne dans /etc/fstab.

PascalHambourg · Septembre 8, 2016, 11:36am

Je parlais de volumes faisant partie du système au cas où il voudrait des systèmes de fichiers séparés pour /var, /tmp…

Ça dépend de quelle sorte d’accès physique on parle : un simple accès à une console physique ou bien un accès physique total à l’unité centrale et ses composants internes.

gudbes · Septembre 16, 2016, 8:05pm

Bonjour à tous

Pour répondre quand même à ma question … j’ai depuis et heureusement partitionné mes disques durs. Voila ce que j’ai fais.

Sur le SSD :

Création d’une partition non chiffrée au tout début du ssd de 200Mo avec un flag “boot” et de type EFI (car j’utilise le bios en mode UEFI).
Création d’une partition non chiffrée de 500Mo pour le /boot.
Création d’un volume chiffré sur le reste du SSD.

Dans ce volume chiffré :

Création d’une VG : VG_SSG contenant deux VL : VL_ROOT (point de montage : /, type ext4, 70Go) et VL_SWAP (type : SWAP de 10Go).

Pour mon HDD:

Création d’un volume chiffré sur la totalité du HDD.
Création d’une VG : VG_HDD contenant une VL : VL_HOME (point de montage : /home, type : ext4, occupant 300Go sur les 1000Go).

Voila pour ma part, il y a peut être des choses qui sont à améliorer.

merci à tous encore une fois pour vos préciseux conseils

gudbes