Page 1 sur 1

[LVM, LVM chiffré, LUKS...] Que choisir ? (résolu)

Publié : mer. 07 nov. 2018, 15:42
par timfa2
Bonjour à tous,

Malgré pas mal de recherche je me pose 2-3 petites questions... :

- D'installer un système sur LVM le rend-il plus lent ?
- Est-ce que le fait de redimensionner des volumes LVM fragmente le système ?
- Chiffrer "/" rend-il le système + lent ?
- Si pour essayer LVM chiffré je chiffre tout : Peut-on déchiffrer le volume LVM par la suite ? Peut-on changer le mot de passe du chiffrement par la suite ?
- Peut-on chiffrer LVM après l'avoir mis en place ?
- Comment fait-on pour monter un volume LVM ?
- Existe-il un défragmenteur pour linux ?
- Peut-on et est-il utile de chiffrer les loopbacks et/ou la RAM et/ou la swap ? -> Cela influence-t-il la vitesse ?

Merci d'avance pour toute réponse,
Cordialement,
Timfa2

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : jeu. 08 nov. 2018, 14:30
par laurent85
Bonjour,
timfa2 a écrit : mer. 07 nov. 2018, 15:42 - D'installer un système sur LVM le rend-il plus lent ?
Non. D'une manière générale ce qui ralentit le fonctionnement du système est lié au matériel et pas à l'architecture du système, donc à priori pas de raison de s'en enquiéter. S'il y avait une différence elle serait de toute façon négligeable.
- Est-ce que le fait de redimensionner des volumes LVM fragmente le système ?
Oui et non. En fait un système de fichiers Linux standard type ext n'a pas besoin d'être défragmenté. Ensuite un volume logique avec des espaces disques non contigus fractionne l'espace total effectivement, cependant l'effet est négligeable, et pour un ssd aucun.
- Chiffrer "/" rend-il le système + lent ?
Le chiffrement nécessite un traitement supplémentaire par le processeur, la charge de travail est donc augmentée comparée à un système non chiffré. En moyenne on constate quelques points % comme impact, cependant en pratique sur du matériel récent et bien dimensionné la différence ne sera pas perceptible, les processeurs actuels ont des ressources le plus souvent inoccupées. Tu pourras constater une différence lors d'un flux important de données dans un temps court, au démarrage par exemple. Cependant à l'usage et suivant le matériel un profil utilisateur standard ne ressentira pas de différence.
- Si pour essayer LVM chiffré je chiffre tout : Peut-on déchiffrer le volume LVM par la suite ? Peut-on changer le mot de passe du chiffrement par la suite ?
Oui et Oui pour le chiffrement LUKS.
- Peut-on chiffrer LVM après l'avoir mis en place ?
Une partition logique est comparable à une partition physique concernant le chiffrement. Tu chiffres une partition logique comme tu le ferais pour une partition physique. Cependant il y a 2 approches différentes avec LVM :

- Chiffrement LUKS sur LVM, c'est: Disque <--> LVM <--> Chiffrement
- LVM sur chiffrement LUKS, c'est : Disque <--> Chiffrement <--> LVM

Tu vois que dans le second cas toutes les opérations sur LVM sont chiffrées avant d'être écrites sur le disque, c'est généralement la solution retenue. Dans le 1er cas tu auras le choix de chiffrer ou pas la partition logique.
- Comment fait-on pour monter un volume LVM ?
Au préalable il faut les outils LVM pour détecter les partitions logiques, ensuite les partitions logiques se montent comme toute autra partition physique.
- Existe-il un défragmenteur pour linux ?
Ça ne sert à rien sous Linux.
- Peut-on et est-il utile de chiffrer les loopbacks et/ou la RAM et/ou la swap ? -> Cela influence-t-il la vitesse ?
Loopback et ram c'est sans objet, le swap oui. Concernant les performances ici le chiffrement n'est pas le problème, c'est l'utilisation du swap qui dégrade les performances et pas qu'un peu, chiffré ou pas.

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : ven. 09 nov. 2018, 18:45
par timfa2
Merci pour votre réponse rapide et éclairante mais (oui, je suis pénible) pourriez-vous (ou quelqu'un d'autre) m'éclairer encore sur ces autres petites questions ?

- Peut-on chiffrer un volume LVM après l'avoir mis en place ?
- Mais, les applications ne peuvent-elles pas lire dans la RAM, ce qui obligerai à chiffrer la RAM ? Et même question pour les loopbacks ?
- Par ailleurs, chiffrer "/" en entier est-il réellement utile ou est ce qu'il suffit de chiffrer seulement "/home" pour être en sécurité ?
- Existe-t-il une documentation pour apprendre à se servir de LUKS et d'LVM ?

Merci d'avance,
Cordialement,
Timfa2

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : ven. 09 nov. 2018, 18:54
par floflo77890
Salut,

la page concernant LVM dans le wiki est plus que bien détaillée.

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : ven. 09 nov. 2018, 19:52
par timfa2
En effet mais pas sur le chiffrement, c'est pourquoi je m'adresse à vous...

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : ven. 09 nov. 2018, 21:09
par laurent85
timfa2 a écrit : ven. 09 nov. 2018, 18:45 - Peut-on chiffrer un volume LVM après l'avoir mis en place ?
Oui. Mais si ta question est peut-on chiffrer une partition logique avec des données existantes dessus sans les perdre alors NON, comme pour une partition physique.
- Mais, les applications ne peuvent-elles pas lire dans la RAM, ce qui obligerai à chiffrer la RAM ? Et même question pour les loopbacks ?
Le chiffrement concerne les données stockées sur le support de stockage seulement. Si tu as besoin de mesures spécifiques à l'isolement des applications en ram ce n'est pas le rôle du chiffrement, c'est celui du système d'exploitation et de solutions logicielles telles que firejail, bac à sable, container. En ce qui concerne les communications réseau il faut chiffrer la liason, et chiffrer la liaison loopback n'a pas de sens.
- Par ailleurs, chiffrer "/" en entier est-il réellement utile ou est ce qu'il suffit de chiffrer seulement "/home" pour être en sécurité ?
Quand on parle de chiffrer dans le cas de LVM le sujet est le chiffrement des données stockées sur le disque dur. La sécurité informatique est un sujet bien plus vaste.
Pour mon cas personnel je chiffre uniquement /home parce que ça me suffit. D'autres personnes vont chiffrer aussi le système. Encore une fois le chiffrement du disque dur ne fait qu'une chose : rendre inexploitable les données qui y sont stockées sans la clé, le chiffrement du disque dur ne protège en rien le fonctionnement du système.

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 10:43
par timfa2
Vraiment merci pour toutes ces réponses laurent85 !
laurent85 a écrit : ven. 09 nov. 2018, 21:09 Le chiffrement concerne les données stockées sur le support de stockage seulement. Si tu as besoin de mesures spécifiques à l'isolement des applications en ram ce n'est pas le rôle du chiffrement, c'est celui du système d'exploitation et de solutions logicielles telles que firejail, bac à sable, container.
Est-ce nécessaire d'utiliser par exemple firejail pour une utilisation bureautique ?

Est-il possible de redimensionner un volume logique chiffré ?

Par ailleurs, un pirate peut-il accéder à des informations dans "/" -> comme une liste des noms de fichier contenu dans "/home", ou un historique des commandes ou autre même si "/home" est chiffré ?

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 11:36
par benjarobin
Bonjour, le chiffrement ne protège que d'une seule chose : si on te vol le PC, un accès au donnée.
Une fois le PC démarré il est comme tout autre PC non chiffré en terme de sécurité.
Normalement, de mémoire (il faut que je vérifie si la loi a été votée), si la justice perquisitionne ton matériel quelle que soit la raison, tu dois donner la passphrase pour démarrer et accéder aux données.

Bref, le chiffrement est pour moi surtout utile sur un PC portable que tu déplaces beaucoup.

Personnellement, je n'utilise pas de chiffrement au niveau du disque, mais j'utilise par exemple keepassxc qui permet de stocker des mots de passe de manière sécurisé (cette base de données est même synchronisée entre mes différents appareils)

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 14:42
par laurent85
timfa2 a écrit : sam. 10 nov. 2018, 10:43 Est-ce nécessaire d'utiliser par exemple firejail pour une utilisation bureautique ?
Par défaut Linux est un système suffisamment sûr. Firejail je l'utilise pour Firefox, je ne saurais pas te dire si c'est vraiment justifié, disons que ça limiterait pas mal les effets éventuels d'une vulnérabilité du navigateur.
Par ailleurs, un pirate peut-il accéder à des informations dans "/"
Non, ou alors c'est que le système est victime d'une vulnérabilité. Sur Linux ce risque est très faible et les vulnérabilités découvertes sont vite corrigées. Maintiens ton système à jour et applique des mesures de sécurité de bon sens comme pour n'importe quel système, mot de passe, services en fonctionnement, etc...
-> comme une liste des noms de fichier contenu dans "/home",
Non si l'utilisateur malveillant n'a pas un accès physique à ton matériel. Il y a aussi les droits d'accès en lecture de ton /home à limiter à ton utilsateur.
ou un historique des commandes ou autre même si "/home" est chiffré ?
Non sans accès physique. Non avec accès physique et disque dur chiffré.

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 15:13
par benjarobin
@laurent85 Je pense que l'on pense la même chose, mais nous n'avons juste pas le même discours. Le but de ce message est juste de contrebalancer tes propos, les nuancer.
laurent85 a écrit : sam. 10 nov. 2018, 14:42
Par ailleurs, un pirate peut-il accéder à des informations dans "/"
Non, ou alors c'est que le système est victime d'une vulnérabilité.
C'est un peu ce que fait un pirate, donc la vrai réponse est : oui un pirate peut (mais si motivé, compétent et avec accès aux dernières failles de sécurité). Bref on ne parle pas forcément d'un pirate qui met en place des attaques globales / massives. Je parle de pirate qui cible sa victime (hameçonnage très personnalisé, ...)
laurent85 a écrit : sam. 10 nov. 2018, 14:42
-> comme une liste des noms de fichier contenu dans "/home",
Non si l'utilisateur malveillant n'a pas un accès physique à ton matériel. Il y a aussi les droits d'accès en lecture de ton /home à limiter à ton utilisateur.
La question était, est ce qu'un pirate peut lister le contenu dans /home : Oui, et ce n'est pas très compliqué !!! Il suffit que l'utilisateur exécute ou installe accidentellement un programme écrit par un "pirate" (aucune faille nécessaire). Et si le pirate utilise une faille de sécurité, non encore corrigé, il pourrait le faire à distance.
laurent85 a écrit : sam. 10 nov. 2018, 14:42
ou un historique des commandes ou autre même si "/home" est chiffré ?
Non sans accès physique.
Même réponse que précédemment, le chiffrement ne change rien à la donne. Avec un accès distant, un pirate fait ce qu'il veut de tes données personnelles.
Il y a plein de bonnes raisons au chiffrement, mais il y a aussi un certain nombre de personne qui chiffre pour de mauvaise raison. Par exemple, avoir un téléphone portable chiffré est un excellente raison (loin d'être improbable de se le faire voler). Tout le web en https, je suis pour, etc...

Bref, que tu sois sur Windows, Linux, BSD, ... cela ne changera rien, il y aura toujours des failles de sécurité qui permettront un accès à tes données personnelles (je ne parle pas ici d'une installation permanente d'un programme espion, ou d'élévation de privilège, je parle simplement un accès aux données personnelles de l’utilisateur courant).
Ce n'est qu'une question de probabilité, et aussi cela dépend des informations que tu possèdes (es tu une cible précise ou juste victime d'une attaque globale). En résumé sous Linux pour différentes raisons, mais surtout le fait que la part de marché est plus faible, il y a moins d'attaque sous Linux...

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 19:32
par timfa2
Merci pour toutes ces réponses de votre part,
donc pour 1 max de sécurité il faut tout chiffrer mais une fois que c'est chiffré on ne peut pas changer le mot de passe ou tout déchiffrer sans perdre de données...
Et si j'ai 1 bon processeur ç a ne se verra presque pas niveau performances...

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 20:27
par benjarobin
Tu peux très bien changer de pass-phrase avec cryptsetup (volume LUKS).
Et si tu veux désactiver le chiffrement ce n'est pas vraiment possible, mais tu peux au moins désactiver la passphrase. Si tu le fais, il n'est pas recommandé de rajouter plus tard de nouveau une passphrase : http://atterer.org/linux-remove-disable ... tab-initrd

Et je vais sûrement me répéter, mais ce n'est pas le chiffrement qui fait la sécurité, cela te protège juste contre un accès physique à la machine (si elle est éteinte...).

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 20:52
par laurent85
timfa2 a écrit : sam. 10 nov. 2018, 19:32mais une fois que c'est chiffré on ne peut pas changer le mot de passe ou tout déchiffrer sans perdre de données...
Si tu as la clé tu peux toujours déchiffrer les données. Ce qu'il ne faut pas c'est oublier la clé.
Ce que j'ai dit est qu'un disque dur avec des données en clair ne peut pas être chiffré sans au préalable faire une sauvegarde des données sur un autre support, puis paramétrer le chiffrement, puis réécrire les données sur le disque dur pour qu'elles soient chiffrées. Évidemment si la partition est vierge tu as juste à paramétrer le chiffrement avant de l'utiliser.
Et si j'ai 1 bon processeur ç a ne se verra presque pas niveau performances...
C'est pas tout le processeur, il faut que l'ensemble des composants soient bien dimensionnés. Principalement Processeur / RAM / Disque dur. Si un seul de ces composants est sous dimensionné l'ensemble sera pénalisé. Et une carte graphique correcte pour libérer le processeur des traitements graphiques.
Dans l'idéal plus tu as de RAM mieux c'est, et c'est le point le plus important la RAM. Un ssd correcte, pas un hdd, le disque dur est le maillon faible de l'ensemble. Pour le processeur un multicoeur récent avec instructions matérielles AES c'est bon.

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 21:13
par timfa2
- Peut-on redimensionner un volume chiffré ?
- Et d'ailleurs, lors d'une installation, est-il nécessaire (ou utile) de séparer "/var" du reste ?
- Doit-on séparer "/boot" sur une autre partition si tout le reste est sous LVM ?

Re: [LVM, LVM chiffré, LUKS...] Que choisir ?

Publié : sam. 10 nov. 2018, 21:39
par laurent85
timfa2 a écrit : sam. 10 nov. 2018, 21:13 - Peut-on redimensionner un volume chiffré ?
Oui, le chiffrement ne change rien aux fonctionnalités offertes par LVM, par contre je me rends compte avec tes questions que ce n'est pas forcément une bonne idée de te lancer la-dedans si tu ne maîtrises pas déjà LUKS et LVM séparément. Commence par te faire la main sur l'un et l'autre avant de les utiliser ensemble.
- Et d'ailleurs, lors d'une installation, est-il nécessaire (ou utile) de séparer "/var" du reste ?
Pour un pc de bureau je ne vois pas l'intérêt. Pour un serveur ça peut en avoir un.
- Doit-on séparer "/boot" sur une autre partition si tout le reste est sous LVM ?
Grub sait accéder à une partition logique lvm, un /boot séparé est nécessaire uniquement si le système est chiffré.

[LVM, LVM chiffré, LUKS...] Que choisir ? (résolu)

Publié : dim. 11 nov. 2018, 13:24
par timfa2
Ne t'inquiète pas, avant de passer à la "pratique", je vais procéder à plein de tests en Machine Virtuelle...
Merci pour toutes ces réponses, je pense que je n'ai plus de questions et si j'en ai encore je ferai un autre sujet...