linux:chiffrement
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
linux:chiffrement [01/05/2009 20:41] – + 2 liens daniel | linux:chiffrement [15/05/2020 13:57] (Version actuelle) – [Chiffrement] daniel | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== Chiffrement ====== | ====== Chiffrement ====== | ||
+ | |||
+ | Quand on peut, c'est plus simple de chiffrer une partition complète (voire tout le disque) et d' | ||
+ | |||
+ | Avantage : | ||
+ | * ça permettra de redimensionner ses lv | ||
+ | * ne demande la passphrase qu'une seule fois pour le volume | ||
+ | |||
+ | Si y'a un autre disque avec un autre volume chiffré mais que l'on ne veut pas taper deux passphrases, | ||
+ | sdb1_crypt UUID=xxx / | ||
+ | où xxx est l'uuid de /dev/sda1 qui est le volume luks ('' | ||
+ | |||
+ | ===== Créer un volume luks pour un pv lvm ===== | ||
+ | |||
+ | Un exemple où on utilise une grosse partition (ou un disque entier) pour en faire un volume luks qui sera utilisé comme pv pour lvm. Ici il ne s'agit pas d'y mettre le système (ça c'est plus simple de le faire dans l' | ||
+ | |||
+ | <code bash> | ||
+ | # ici on va utiliser /dev/sda4 | ||
+ | cryptsetup luksFormat /dev/sda4 --type luks2 | ||
+ | # on lui crée une clé | ||
+ | dd if=/ | ||
+ | # que l'on protège | ||
+ | chmod 0400 / | ||
+ | # et ajoute au volume (en plus de la passphrase décidée à la création) | ||
+ | cryptsetup luksAddKey /dev/sda4 / | ||
+ | |||
+ | # on l' | ||
+ | cryptsetup luksOpen /dev/sda4 sda4_crypt | ||
+ | # et on peut l' | ||
+ | pvcreate / | ||
+ | vgcreate hd / | ||
+ | # avec par ex ce lv | ||
+ | lvcreate -L 800G backup | ||
+ | </ | ||
+ | |||
+ | Dans / | ||
+ | sda4_crypt UUID=xxx / | ||
+ | | ||
+ | Et dans /etc/fstab | ||
+ | / | ||
+ | |||
+ | ===== Archives ===== | ||
+ | Ci dessous l' | ||
+ | |||
+ | |||
Sous linux, luks et truecrypt permettent tous les deux de chiffrer des partitions. luks a l'air plus simple à mettre en place sur une debian de base, truecrypt permet le deni plausible (cf [[http:// | Sous linux, luks et truecrypt permettent tous les deux de chiffrer des partitions. luks a l'air plus simple à mettre en place sur une debian de base, truecrypt permet le deni plausible (cf [[http:// | ||
Ligne 13: | Ligne 57: | ||
* Tuto luks [[http:// | * Tuto luks [[http:// | ||
* article wikipedia (en) EncFs [[http:// | * article wikipedia (en) EncFs [[http:// | ||
- | |||
* tuto EncFs ubuntu-fr [[http:// | * tuto EncFs ubuntu-fr [[http:// | ||
+ | |||
+ | |||
+ | ===== encFs & sshFs===== | ||
+ | Pour du backup online, sur une machine où vous avez un accès ssh, le couple sshfs/encfs peut-être adapté : | ||
+ | * Avantages | ||
+ | * pas besoin de prévoir un gros fichier ou une partition dédiée coté serveur, pour accueillir les données chiffrées, seul la taille réelle des données est utilisée. | ||
+ | * peu de conso CPU coté serveur, juste ssh | ||
+ | * rien à installer coté serveur (hors serveur ssh, mais c'est en général la 1re chose installée) | ||
+ | * permet de faire de l' | ||
+ | * Inconvénients | ||
+ | * un peu lent, mais je reste limité par ma connexion, à tester avec une meilleure connexion (~780kbps contre ~860kbps pour un rsync over ssh " | ||
+ | * le contenu et les noms des fichiers sont chiffrés, mais l' | ||
+ | |||
+ | ==== Comment faire ? ==== | ||
+ | C'est assez simple, vous trouverez pas mal de tutos sur le net en cherchant sshfs+encfs | ||
+ | |||
+ | Pour résumer, coté machine à backuper | ||
+ | <code bash> | ||
+ | # on installe sshfs et encfs (ça ajoute fuse), en root | ||
+ | aptitude install sshfs encfs | ||
+ | usermod -a -G fuse [utilisateur qui va monter les dossiers] | ||
+ | # puis avec le user qui fera le backup | ||
+ | sshfs $user@$serveur:/ | ||
+ | # en cas de pb de droits fuse, vérifier avec id que ce user fait bien parti du groupe fuse, se déloguer/ | ||
+ | encfs / | ||
+ | # lancer des rsync vers / | ||
+ | # puis démonter | ||
+ | fusermount -u / | ||
+ | fusermount -u / | ||
+ | </ |
linux/chiffrement.1241203278.txt.gz · Dernière modification : 01/05/2009 20:41 de daniel