Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[installation] LVM / Crypt-DM / LUKS sur SSD
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
enduser_
n00b
n00b


Joined: 23 Aug 2012
Posts: 3

PostPosted: Sat Apr 13, 2013 9:37 am    Post subject: [installation] LVM / Crypt-DM / LUKS sur SSD Reply with quote

J'essaye de m'appuyer sur plusieurs docs pour pouvoir crypter/chiffrez un SSD (64Go) d'un laptop pro (comme ça : c'est fait) : je jongle entre la doc officiel gentoo concernant LVM2 et en même temps je dois intégrer le fait que je n'aurai probablement pas besoin d'une partition /SWAP (toujours cela de gagner)
La Doc principale étant celle-çi :
http://gordon.re/sysadmin/howto-pratique-linstallation-dune-gentoo-encore-plus-securisee.html
Je bute sur les contraintes suivantes :
(Doc off. LVM2 Gentoo)
Quote:
« Note: It is not recommended to put the following directories in an LVM2 partition: /etc, /lib, /mnt, /proc, /sbin, /dev, and /root. This way, you would still be able to log into your system (crippled, but still somewhat usable, as root) if something goes terribly wrong. Also exclude /usr and /var from LVM2 if you do not want to boot with an initramfs. »


et en même temps le tuto me demande de créer une partition unique LVM :

Quote:
« Au moment de partitonner le disque, nous allons donc créer une seule partition, puisque c’est LVM qui, à l’intérieur, s’occupera de la segmenter en partitions logiques. Dans cet article, on supposera que le disque dur est /dev/sda. Avec fdisk ou votre outil de partitionnement préféré, supprimez donc tout, puis créez une unique partition qui prendra toute la capacité disponible (ce sera /dev/sda1). Cette partition sera un conteneur LUKS, qui, une fois ouvert, contiendra le VG de LVM, dans lequel seront nos 3 partitions : root (/), home (/home) et swap (non monté). »


donc (si) j'ai bien compris : il ne fallait pas PAS mettre en LVM..des partitions comme /usr mais en même temps on me demande de TOUT mettre sur un volume LVM (et naturellement je devrai – je m'y suis préparé – à faire un initramfs à l'huile de coude avec Dracut.

Si quelqu'un avait une suggestion de partitionnement (avec LVM2) ou de dire simplement que j'ai pas tout compris et que tout est là... :i

Merci d'avance.
Back to top
View user's profile Send private message
boozo
Advocate
Advocate


Joined: 01 Jul 2004
Posts: 3136

PostPosted: Sat Apr 13, 2013 8:05 pm    Post subject: Reply with quote

'alute

"...les goûts et les couleurs mon bon monsieur..." et les plans de partitionnement segmentés ne sont plus trop à la mode depuis quelques temps :roll: un /root et /home séparé au mieux
Après il faut prendre la remarque pour ce qu'elle est - une recommandation permettant d'avoir un accès en mode (très) dégradé - ce n'est pas une loi gravée dans le marbre et ça dépend plus de tes usages/utilisations (serveur vs desktop, en raid ou non, etc) voire de tes habitudes à gérer la complexité qui va avec.
Quote:
This way, you would still be able to log into your system (crippled, but still somewhat usable, as root) if something goes terribly wrong.

A l'usage, je ne pense pas que tu auras réellement de pb avec un vg global mais d'autres auront peut-être un autre vécu et apporteront leur commentaires.
btw, garder aussi en tête que en cas de problèmes sur une racine chiffrée, une hypothétique cata avec lvm sera très subalterne :mrgreen:

Je plaisante un peu mais ça va de pair dès qu'on chiffre et c'est bien réel ! (je ne parle pas de la notion de sensibilité des données parce qu'on peut tomber gravir tous les stades paranoïaques avec çà mais simplement pour avoir un peu de garantie en cas de perte/vol de matos p.e.) => donc penser a avoir un onduleur et des scripts d'extinction à l'oeuvre, il faudra aussi s'astreindre à faire des backups - très régulièrement (et à les tester aussi) - et sans doute à quasi industrialiser ta solution de sauvegarde (qui sera également chiffrée), être attentif aux update de certains packages hautement sensibles, dupliquer et tester les supports externes et se roder à une procédure de restauration, ...
Cela peut paraitre bête mais crois-moi vaut mieux être averti i.e. perds ta clé usb (ou fait-lui prendre un bain :'-( ) et tu va être ravi quand tu vas avoir besoin de bosser sur ton unique laptop (et même avec un backup /data ailleurs)
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "
Back to top
View user's profile Send private message
GentooUser@Clubic
l33t
l33t


Joined: 01 Nov 2004
Posts: 817

PostPosted: Sat Apr 13, 2013 10:51 pm    Post subject: Reply with quote

Généralement avec LVM seul /boot reste en dehors, de toute façon si tu chiffre ton système tu aura besoin d'un initrd.
Back to top
View user's profile Send private message
Leander256
l33t
l33t


Joined: 05 Jul 2003
Posts: 893
Location: Singapour

PostPosted: Sun Apr 14, 2013 4:37 pm    Post subject: Reply with quote

Il faut voir quel niveau de sécurité tu souhaites pour la machine:
  • modéré, tu te contentes de chiffrer certaines partitions sensibles comme /home
  • costaud, tu chiffres / mais tu gardes /boot à part
  • parano, tu chiffres tout et tu bootes depuis une clé USB
Le tutoriel que tu cites prend l'approche parano, qui est plus compliquée et n'est pas forcément rentable au niveau apport de sécurité par rapport à la méthode costaud. Je m'explique.

Si tu veux te protéger contre le risque de vol/perte de l'ordinateur et que les données sensibles seront uniquement dans le /home, alors la méthode modérée sera suffisante. Si tu risques d'avoir des fichiers sensibles qui traînent un peu partout (par exemple avec des bases de données dans /var et les méthodes d'accès dans /etc) mieux vaut l'approche costaud. Elle est suffisante pour tout cas de vol/perte de la machine.

Si tu veux te protéger contre le risque d'espionnage industriel et empêcher que quelqu'un trafique le noyau ou l'initrd dans /boot (à l'insu de ton plein gré), alors la méthode parano devient nécessaire. Cependant, je considère (opinion personnelle) qu'un individu/organisme qui a les ressources nécessaires pour trafiquer ton /boot a aussi les ressources nécessaires pour installer un keylogger physique et discret dans la machine. Et donc le gain en sécurité est marginal.

Si tu utilises l'approche costaud ou parano, de toute façon comme le dit GentooUser@Clubic tu auras besoin d'un initrd pour déchiffrer ton /root, donc autant faire d'une pierre deux coups et aussi rajouter le support de LVM dans l'initrd afin d'avoir / en LVM.
Back to top
View user's profile Send private message
boozo
Advocate
Advocate


Joined: 01 Jul 2004
Posts: 3136

PostPosted: Sun Apr 14, 2013 6:45 pm    Post subject: Reply with quote

(marrant le spam en cyrillique)

Farpètement d'accords avec vous - d'ailleurs faudrai que je fasse passer le message à certains que j'connais :roll: -
Personnellement aussi, après quelques temps en chiffrage full...(et "quelques" désagréments avec entièrement de mon fait) je suis revenu à du "modéré" comme tu dis voire, même juste un conteneurs dédié de qq Go que je monte en loop pour le stockage de certaines pièces ou le transport de docs pro entre 2 sites, etc.

Au fil du temps, c'est quand même bien plus simple à gérer et donc à mon sens, bien plus sûr au final... parce que le plus gros pépin vient du distrait qui est entre la chaise et le clavier :P

@OP: Pardon si j'ai digressé un peu sur le sujet chiffrage par rapport à ta question initiale (et entrainé les autres), vu que ton angoisse première était plus centrée sur la différence d'approche quant à l'exclusion de certain repertoires systèmes avec lvm
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "
Back to top
View user's profile Send private message
dervishe
n00b
n00b


Joined: 21 Apr 2013
Posts: 1

PostPosted: Sun Apr 21, 2013 8:11 pm    Post subject: Reply with quote

Salut,
j'avais opté pour une solution de ce type il y a quelque temps. Je dirais, pour ma part, que le mode sans "accès dégradé" (donc tout dans la boite cryptée) n'est pas trop problématiques car:
1/ On devrait avoir des sauvegardes cryptées des docs sur un autre média (surtout en milieu pro je dirais)
2/ L'accès via cryptsetup et lvm ne pose pas trop de soucis avec un bon cd d'install (même minimal). Pour l'instant (je touche du bois) je n'ai jamais eu de soucis avec ça en mode rescue...
Pour ma part j'avais opté pour une config btrfs (qui me permet les snapshots et autres joyeusetés mais bon ça reste de l'expérimental qui d'ailleur ne m'a jamais causé aucun soucis depuis)
J'avais fait un tuto pour une install sur SSD justement de lvm + ext4 et de btrfs
(https://blogs.fsfe.org/dervishe/2013/01/25/installer-une-gentoo-64-bits-sur-un-toshiba-portege-r830-137/)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum