[LVM, LVM chiffré, LUKS...] Que choisir ? (résolu)
[LVM, LVM chiffré, LUKS...] Que choisir ? (résolu)
Bonjour à tous,
Malgré pas mal de recherche je me pose 2-3 petites questions... :
- D'installer un système sur LVM le rend-il plus lent ?
- Est-ce que le fait de redimensionner des volumes LVM fragmente le système ?
- Chiffrer "/" rend-il le système + lent ?
- Si pour essayer LVM chiffré je chiffre tout : Peut-on déchiffrer le volume LVM par la suite ? Peut-on changer le mot de passe du chiffrement par la suite ?
- Peut-on chiffrer LVM après l'avoir mis en place ?
- Comment fait-on pour monter un volume LVM ?
- Existe-il un défragmenteur pour linux ?
- Peut-on et est-il utile de chiffrer les loopbacks et/ou la RAM et/ou la swap ? -> Cela influence-t-il la vitesse ?
Merci d'avance pour toute réponse,
Cordialement,
Timfa2
Malgré pas mal de recherche je me pose 2-3 petites questions... :
- D'installer un système sur LVM le rend-il plus lent ?
- Est-ce que le fait de redimensionner des volumes LVM fragmente le système ?
- Chiffrer "/" rend-il le système + lent ?
- Si pour essayer LVM chiffré je chiffre tout : Peut-on déchiffrer le volume LVM par la suite ? Peut-on changer le mot de passe du chiffrement par la suite ?
- Peut-on chiffrer LVM après l'avoir mis en place ?
- Comment fait-on pour monter un volume LVM ?
- Existe-il un défragmenteur pour linux ?
- Peut-on et est-il utile de chiffrer les loopbacks et/ou la RAM et/ou la swap ? -> Cela influence-t-il la vitesse ?
Merci d'avance pour toute réponse,
Cordialement,
Timfa2
Dernière modification par timfa2 le lun. 30 sept. 2019, 20:58, modifié 1 fois.
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Bonjour,
- Chiffrement LUKS sur LVM, c'est: Disque <--> LVM <--> Chiffrement
- LVM sur chiffrement LUKS, c'est : Disque <--> Chiffrement <--> LVM
Tu vois que dans le second cas toutes les opérations sur LVM sont chiffrées avant d'être écrites sur le disque, c'est généralement la solution retenue. Dans le 1er cas tu auras le choix de chiffrer ou pas la partition logique.
Non. D'une manière générale ce qui ralentit le fonctionnement du système est lié au matériel et pas à l'architecture du système, donc à priori pas de raison de s'en enquiéter. S'il y avait une différence elle serait de toute façon négligeable.
Oui et non. En fait un système de fichiers Linux standard type ext n'a pas besoin d'être défragmenté. Ensuite un volume logique avec des espaces disques non contigus fractionne l'espace total effectivement, cependant l'effet est négligeable, et pour un ssd aucun.- Est-ce que le fait de redimensionner des volumes LVM fragmente le système ?
Le chiffrement nécessite un traitement supplémentaire par le processeur, la charge de travail est donc augmentée comparée à un système non chiffré. En moyenne on constate quelques points % comme impact, cependant en pratique sur du matériel récent et bien dimensionné la différence ne sera pas perceptible, les processeurs actuels ont des ressources le plus souvent inoccupées. Tu pourras constater une différence lors d'un flux important de données dans un temps court, au démarrage par exemple. Cependant à l'usage et suivant le matériel un profil utilisateur standard ne ressentira pas de différence.- Chiffrer "/" rend-il le système + lent ?
Oui et Oui pour le chiffrement LUKS.- Si pour essayer LVM chiffré je chiffre tout : Peut-on déchiffrer le volume LVM par la suite ? Peut-on changer le mot de passe du chiffrement par la suite ?
Une partition logique est comparable à une partition physique concernant le chiffrement. Tu chiffres une partition logique comme tu le ferais pour une partition physique. Cependant il y a 2 approches différentes avec LVM :- Peut-on chiffrer LVM après l'avoir mis en place ?
- Chiffrement LUKS sur LVM, c'est: Disque <--> LVM <--> Chiffrement
- LVM sur chiffrement LUKS, c'est : Disque <--> Chiffrement <--> LVM
Tu vois que dans le second cas toutes les opérations sur LVM sont chiffrées avant d'être écrites sur le disque, c'est généralement la solution retenue. Dans le 1er cas tu auras le choix de chiffrer ou pas la partition logique.
Au préalable il faut les outils LVM pour détecter les partitions logiques, ensuite les partitions logiques se montent comme toute autra partition physique.- Comment fait-on pour monter un volume LVM ?
Ça ne sert à rien sous Linux.- Existe-il un défragmenteur pour linux ?
Loopback et ram c'est sans objet, le swap oui. Concernant les performances ici le chiffrement n'est pas le problème, c'est l'utilisation du swap qui dégrade les performances et pas qu'un peu, chiffré ou pas.- Peut-on et est-il utile de chiffrer les loopbacks et/ou la RAM et/ou la swap ? -> Cela influence-t-il la vitesse ?
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Merci pour votre réponse rapide et éclairante mais (oui, je suis pénible) pourriez-vous (ou quelqu'un d'autre) m'éclairer encore sur ces autres petites questions ?
- Peut-on chiffrer un volume LVM après l'avoir mis en place ?
- Mais, les applications ne peuvent-elles pas lire dans la RAM, ce qui obligerai à chiffrer la RAM ? Et même question pour les loopbacks ?
- Par ailleurs, chiffrer "/" en entier est-il réellement utile ou est ce qu'il suffit de chiffrer seulement "/home" pour être en sécurité ?
- Existe-t-il une documentation pour apprendre à se servir de LUKS et d'LVM ?
Merci d'avance,
Cordialement,
Timfa2
- Peut-on chiffrer un volume LVM après l'avoir mis en place ?
- Mais, les applications ne peuvent-elles pas lire dans la RAM, ce qui obligerai à chiffrer la RAM ? Et même question pour les loopbacks ?
- Par ailleurs, chiffrer "/" en entier est-il réellement utile ou est ce qu'il suffit de chiffrer seulement "/home" pour être en sécurité ?
- Existe-t-il une documentation pour apprendre à se servir de LUKS et d'LVM ?
Merci d'avance,
Cordialement,
Timfa2
- floflo77890
- Maître du Kyudo
- Messages : 1266
- Inscription : lun. 29 juil. 2013, 21:05
- Localisation : île de france
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Salut,
la page concernant LVM dans le wiki est plus que bien détaillée.
la page concernant LVM dans le wiki est plus que bien détaillée.
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
En effet mais pas sur le chiffrement, c'est pourquoi je m'adresse à vous...
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Oui. Mais si ta question est peut-on chiffrer une partition logique avec des données existantes dessus sans les perdre alors NON, comme pour une partition physique.
Le chiffrement concerne les données stockées sur le support de stockage seulement. Si tu as besoin de mesures spécifiques à l'isolement des applications en ram ce n'est pas le rôle du chiffrement, c'est celui du système d'exploitation et de solutions logicielles telles que firejail, bac à sable, container. En ce qui concerne les communications réseau il faut chiffrer la liason, et chiffrer la liaison loopback n'a pas de sens.- Mais, les applications ne peuvent-elles pas lire dans la RAM, ce qui obligerai à chiffrer la RAM ? Et même question pour les loopbacks ?
Quand on parle de chiffrer dans le cas de LVM le sujet est le chiffrement des données stockées sur le disque dur. La sécurité informatique est un sujet bien plus vaste.- Par ailleurs, chiffrer "/" en entier est-il réellement utile ou est ce qu'il suffit de chiffrer seulement "/home" pour être en sécurité ?
Pour mon cas personnel je chiffre uniquement /home parce que ça me suffit. D'autres personnes vont chiffrer aussi le système. Encore une fois le chiffrement du disque dur ne fait qu'une chose : rendre inexploitable les données qui y sont stockées sans la clé, le chiffrement du disque dur ne protège en rien le fonctionnement du système.
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Vraiment merci pour toutes ces réponses laurent85 !
Est-il possible de redimensionner un volume logique chiffré ?
Par ailleurs, un pirate peut-il accéder à des informations dans "/" -> comme une liste des noms de fichier contenu dans "/home", ou un historique des commandes ou autre même si "/home" est chiffré ?
Est-ce nécessaire d'utiliser par exemple firejail pour une utilisation bureautique ?laurent85 a écrit : ↑ven. 09 nov. 2018, 21:09 Le chiffrement concerne les données stockées sur le support de stockage seulement. Si tu as besoin de mesures spécifiques à l'isolement des applications en ram ce n'est pas le rôle du chiffrement, c'est celui du système d'exploitation et de solutions logicielles telles que firejail, bac à sable, container.
Est-il possible de redimensionner un volume logique chiffré ?
Par ailleurs, un pirate peut-il accéder à des informations dans "/" -> comme une liste des noms de fichier contenu dans "/home", ou un historique des commandes ou autre même si "/home" est chiffré ?
- benjarobin
- Maître du Kyudo
- Messages : 17256
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Bonjour, le chiffrement ne protège que d'une seule chose : si on te vol le PC, un accès au donnée.
Une fois le PC démarré il est comme tout autre PC non chiffré en terme de sécurité.
Normalement, de mémoire (il faut que je vérifie si la loi a été votée), si la justice perquisitionne ton matériel quelle que soit la raison, tu dois donner la passphrase pour démarrer et accéder aux données.
Bref, le chiffrement est pour moi surtout utile sur un PC portable que tu déplaces beaucoup.
Personnellement, je n'utilise pas de chiffrement au niveau du disque, mais j'utilise par exemple keepassxc qui permet de stocker des mots de passe de manière sécurisé (cette base de données est même synchronisée entre mes différents appareils)
Une fois le PC démarré il est comme tout autre PC non chiffré en terme de sécurité.
Normalement, de mémoire (il faut que je vérifie si la loi a été votée), si la justice perquisitionne ton matériel quelle que soit la raison, tu dois donner la passphrase pour démarrer et accéder aux données.
Bref, le chiffrement est pour moi surtout utile sur un PC portable que tu déplaces beaucoup.
Personnellement, je n'utilise pas de chiffrement au niveau du disque, mais j'utilise par exemple keepassxc qui permet de stocker des mots de passe de manière sécurisé (cette base de données est même synchronisée entre mes différents appareils)
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Par défaut Linux est un système suffisamment sûr. Firejail je l'utilise pour Firefox, je ne saurais pas te dire si c'est vraiment justifié, disons que ça limiterait pas mal les effets éventuels d'une vulnérabilité du navigateur.
Non, ou alors c'est que le système est victime d'une vulnérabilité. Sur Linux ce risque est très faible et les vulnérabilités découvertes sont vite corrigées. Maintiens ton système à jour et applique des mesures de sécurité de bon sens comme pour n'importe quel système, mot de passe, services en fonctionnement, etc...Par ailleurs, un pirate peut-il accéder à des informations dans "/"
Non si l'utilisateur malveillant n'a pas un accès physique à ton matériel. Il y a aussi les droits d'accès en lecture de ton /home à limiter à ton utilsateur.-> comme une liste des noms de fichier contenu dans "/home",
Non sans accès physique. Non avec accès physique et disque dur chiffré.ou un historique des commandes ou autre même si "/home" est chiffré ?
- benjarobin
- Maître du Kyudo
- Messages : 17256
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
@laurent85 Je pense que l'on pense la même chose, mais nous n'avons juste pas le même discours. Le but de ce message est juste de contrebalancer tes propos, les nuancer.
Il y a plein de bonnes raisons au chiffrement, mais il y a aussi un certain nombre de personne qui chiffre pour de mauvaise raison. Par exemple, avoir un téléphone portable chiffré est un excellente raison (loin d'être improbable de se le faire voler). Tout le web en https, je suis pour, etc...
Bref, que tu sois sur Windows, Linux, BSD, ... cela ne changera rien, il y aura toujours des failles de sécurité qui permettront un accès à tes données personnelles (je ne parle pas ici d'une installation permanente d'un programme espion, ou d'élévation de privilège, je parle simplement un accès aux données personnelles de l’utilisateur courant).
Ce n'est qu'une question de probabilité, et aussi cela dépend des informations que tu possèdes (es tu une cible précise ou juste victime d'une attaque globale). En résumé sous Linux pour différentes raisons, mais surtout le fait que la part de marché est plus faible, il y a moins d'attaque sous Linux...
C'est un peu ce que fait un pirate, donc la vrai réponse est : oui un pirate peut (mais si motivé, compétent et avec accès aux dernières failles de sécurité). Bref on ne parle pas forcément d'un pirate qui met en place des attaques globales / massives. Je parle de pirate qui cible sa victime (hameçonnage très personnalisé, ...)
La question était, est ce qu'un pirate peut lister le contenu dans /home : Oui, et ce n'est pas très compliqué !!! Il suffit que l'utilisateur exécute ou installe accidentellement un programme écrit par un "pirate" (aucune faille nécessaire). Et si le pirate utilise une faille de sécurité, non encore corrigé, il pourrait le faire à distance.
Même réponse que précédemment, le chiffrement ne change rien à la donne. Avec un accès distant, un pirate fait ce qu'il veut de tes données personnelles.
Il y a plein de bonnes raisons au chiffrement, mais il y a aussi un certain nombre de personne qui chiffre pour de mauvaise raison. Par exemple, avoir un téléphone portable chiffré est un excellente raison (loin d'être improbable de se le faire voler). Tout le web en https, je suis pour, etc...
Bref, que tu sois sur Windows, Linux, BSD, ... cela ne changera rien, il y aura toujours des failles de sécurité qui permettront un accès à tes données personnelles (je ne parle pas ici d'une installation permanente d'un programme espion, ou d'élévation de privilège, je parle simplement un accès aux données personnelles de l’utilisateur courant).
Ce n'est qu'une question de probabilité, et aussi cela dépend des informations que tu possèdes (es tu une cible précise ou juste victime d'une attaque globale). En résumé sous Linux pour différentes raisons, mais surtout le fait que la part de marché est plus faible, il y a moins d'attaque sous Linux...
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Merci pour toutes ces réponses de votre part,
donc pour 1 max de sécurité il faut tout chiffrer mais une fois que c'est chiffré on ne peut pas changer le mot de passe ou tout déchiffrer sans perdre de données...
Et si j'ai 1 bon processeur ç a ne se verra presque pas niveau performances...
donc pour 1 max de sécurité il faut tout chiffrer mais une fois que c'est chiffré on ne peut pas changer le mot de passe ou tout déchiffrer sans perdre de données...
Et si j'ai 1 bon processeur ç a ne se verra presque pas niveau performances...
- benjarobin
- Maître du Kyudo
- Messages : 17256
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Tu peux très bien changer de pass-phrase avec cryptsetup (volume LUKS).
Et si tu veux désactiver le chiffrement ce n'est pas vraiment possible, mais tu peux au moins désactiver la passphrase. Si tu le fais, il n'est pas recommandé de rajouter plus tard de nouveau une passphrase : http://atterer.org/linux-remove-disable ... tab-initrd
Et je vais sûrement me répéter, mais ce n'est pas le chiffrement qui fait la sécurité, cela te protège juste contre un accès physique à la machine (si elle est éteinte...).
Et si tu veux désactiver le chiffrement ce n'est pas vraiment possible, mais tu peux au moins désactiver la passphrase. Si tu le fais, il n'est pas recommandé de rajouter plus tard de nouveau une passphrase : http://atterer.org/linux-remove-disable ... tab-initrd
Et je vais sûrement me répéter, mais ce n'est pas le chiffrement qui fait la sécurité, cela te protège juste contre un accès physique à la machine (si elle est éteinte...).
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Si tu as la clé tu peux toujours déchiffrer les données. Ce qu'il ne faut pas c'est oublier la clé.
Ce que j'ai dit est qu'un disque dur avec des données en clair ne peut pas être chiffré sans au préalable faire une sauvegarde des données sur un autre support, puis paramétrer le chiffrement, puis réécrire les données sur le disque dur pour qu'elles soient chiffrées. Évidemment si la partition est vierge tu as juste à paramétrer le chiffrement avant de l'utiliser.
C'est pas tout le processeur, il faut que l'ensemble des composants soient bien dimensionnés. Principalement Processeur / RAM / Disque dur. Si un seul de ces composants est sous dimensionné l'ensemble sera pénalisé. Et une carte graphique correcte pour libérer le processeur des traitements graphiques.Et si j'ai 1 bon processeur ç a ne se verra presque pas niveau performances...
Dans l'idéal plus tu as de RAM mieux c'est, et c'est le point le plus important la RAM. Un ssd correcte, pas un hdd, le disque dur est le maillon faible de l'ensemble. Pour le processeur un multicoeur récent avec instructions matérielles AES c'est bon.
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
- Peut-on redimensionner un volume chiffré ?
- Et d'ailleurs, lors d'une installation, est-il nécessaire (ou utile) de séparer "/var" du reste ?
- Doit-on séparer "/boot" sur une autre partition si tout le reste est sous LVM ?
- Et d'ailleurs, lors d'une installation, est-il nécessaire (ou utile) de séparer "/var" du reste ?
- Doit-on séparer "/boot" sur une autre partition si tout le reste est sous LVM ?
Re: [LVM, LVM chiffré, LUKS...] Que choisir ?
Oui, le chiffrement ne change rien aux fonctionnalités offertes par LVM, par contre je me rends compte avec tes questions que ce n'est pas forcément une bonne idée de te lancer la-dedans si tu ne maîtrises pas déjà LUKS et LVM séparément. Commence par te faire la main sur l'un et l'autre avant de les utiliser ensemble.
Pour un pc de bureau je ne vois pas l'intérêt. Pour un serveur ça peut en avoir un.- Et d'ailleurs, lors d'une installation, est-il nécessaire (ou utile) de séparer "/var" du reste ?
Grub sait accéder à une partition logique lvm, un /boot séparé est nécessaire uniquement si le système est chiffré.- Doit-on séparer "/boot" sur une autre partition si tout le reste est sous LVM ?
[LVM, LVM chiffré, LUKS...] Que choisir ? (résolu)
Ne t'inquiète pas, avant de passer à la "pratique", je vais procéder à plein de tests en Machine Virtuelle...
Merci pour toutes ces réponses, je pense que je n'ai plus de questions et si j'en ai encore je ferai un autre sujet...
Merci pour toutes ces réponses, je pense que je n'ai plus de questions et si j'en ai encore je ferai un autre sujet...