Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 16/10/2017, à 17:33

UnMamouth

[Résolu] Partition chiffrée

Bonjour.

Nous avons sur notre serveur des données sensibles que nous souhaitons mettre sur une partition chiffrée.
Ces données sont accédées soit par des utilisateurs, mais aussi par un serveur bdd.
Comme il s'agit d'un serveur, il faut donc que le serveur bdd puisse lire les données sans qu'un utilisateur ait eu besoin d'ouvrir une session.
Le but est d'empêcher la récupération des données si quelqu'un de non-autorisé accédait au disque dur physique (par exemple via un live USB).

Je sais chiffrer un home ou un répertoire via Encfs, mais dans un cas pareil, comment fait-on ?

Dernière modification par UnMamouth (Le 02/11/2017, à 17:20)

Hors ligne

#2 Le 16/10/2017, à 21:52

Vobul

Re : [Résolu] Partition chiffrée

Salut,

Chiffrer sa partition c'est bien, mais quand le serveur est allumé et la partition montée, ça ne sert à rien. Si c'est un serveur qui communique avec Internet, c'est pas l'accès physique le plus préoccupant, mais plutôt l'user input pas sanitizé… Ensuite, tu ne donnes pas beaucoup d'infos sur ce que tu veux faire ou ta config, ton schéma de partition etc. Mais si tu veux chiffrer une partition tu peux utiliser cryptsetup : https://wiki.archlinux.org/index.php/Dm … encryption.

Après que le serveur boot, il faudra ssh dessus pour monter la partition et rentrer la passphrase à la main. Mais c'est pas commun de faire ça pour un serveur. Sauf si ledit serveur est accessible physiquement et n'est pas dans un data center sécurisé, comme ça semble être le cas.

Mais je réitère, si tu te fais voler tes données, ce sera avec une faille logicielle le plus probablement. Aussi, à moins d'être la victime d'une attaque ciblée (et dans ce cas le serveur doit être dans un endroit sécurisé, si y'a suspicion de vol probable), les voleurs déjà ils volent surtout les macbooks, voir les imacs, mais un truc qui a la geule d'un serveur, pas tellement. Surtout que même si il est volé, le disque sera sûrement reformaté ou détruit, car la plupart des gens utilisent windows et windows ne lit pas les partitions ext4 (je suppose que tu utilises ext4 sur le serveur). Donc si tu branches le disque sur un windows, il te propose de le reformater. Les gens qui savent monter des partitions ext4 ne sont pas les mêmes que ceux qui volent des ordis tongue


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 20/10/2017, à 17:06

UnMamouth

Re : [Résolu] Partition chiffrée

J'ai besoin que le contenu de cette partition soit accessible à certains services, sans qu'il y ait d'utilisateur connecté.
Je pensais donc essayer de créer un service via systemd pour cela.

Hors ligne

#4 Le 24/10/2017, à 14:41

ikoula

Re : [Résolu] Partition chiffrée

Bonjour,

Je met de côté la question de l'authentification, donc en résumé tu veux que certains utilisateurs accèdent aux données mais pas d'autres ?


Thomas | Community manager | ikoula Serveurs dédiés, VPS et Cloud Public
Contactez-nous | Suivez-nous sur Twitter | Likez nous sur Facebook

Hors ligne

#5 Le 24/10/2017, à 17:07

UnMamouth

Re : [Résolu] Partition chiffrée

Je veux que seuls les utilisateurs autorisés puissent accéder aux données (mais pour cela, le chiffrage n'est nécessaire que si les autorisateurs non-autorisés ne sont pas sudo, ce qui n'est pas le cas) et surtout que en cas d'accès non-autorisé au serveur physique, on ne puisse pas récupérer les données en bootant par exemple sur un live USB.

Hors ligne

#6 Le 25/10/2017, à 10:57

ikoula

Re : [Résolu] Partition chiffrée

Bonjour,

Alors selon moi c'est deux problématiques différentes qui requièrent donc deux solutions.
Si tu veux filtrer l'accès aux données par utilisateur alors tu dois mettre en place un système qui repose sur des droits utilisateurs.
Pour ce qui est de l'accès physique aux données à partir du moment où on parle d'un serveur et/ou de données multi-utilisateurs ce sont des contre-mesures physiques qu'il faut mettre en place pour empêcher une personne d'accéder physiquement aux supports de stockage.


Thomas | Community manager | ikoula Serveurs dédiés, VPS et Cloud Public
Contactez-nous | Suivez-nous sur Twitter | Likez nous sur Facebook

Hors ligne

#7 Le 25/10/2017, à 11:38

UnMamouth

Re : [Résolu] Partition chiffrée

Ces mesures nous sont demandées par le client qui nous confie ces données : il a demandé à ce qu'elles soient stockées chiffrées. Mais comme ces données doivent être accessibles à un serveur bdd (donc sans session utilisateur connecté), il faut que je trouve une solution pour faire cela.

Hors ligne

#8 Le 25/10/2017, à 12:53

bruno

Re : [Résolu] Partition chiffrée

Bonjour,

Tu devrais demander à ton client pourquoi il veut cela et quel type de protection il attend d'un système de fichiers chiffré. Autant c'est utile sur un portable susceptible d'être perdu ou volé, autant c'est une source de problèmes sur un serveur.

Tu peux toujours réinstaller un système sur une partition chiffrée, ou utiliser une partition chiffrée pour les données (il y a pléthore de docs et de tutos sur le web pour cela), la phrase de passe sera alors demandée au démarrage du système (ou au montage de la partition chiffrée).

Les inconvénient majeurs sont :
- impossibilité de redémarrer le système à distance. Il faut un accès physique pour pouvoir saisir la phrase de passe.
- une baisse significative des performances
- cela ne protège qu'en cas d'accès physique au serveur (vol des disques durs par exemple) mais aucunement des attaques à distances lorsque le serveur est actif. (voir la réponse pertinente d'Ikoula en #6)

Et enfin quid de la redondance et de la sauvegarde des données ? Puisque ces données sont « sensibles », je suppose qu'il faut que le système soit tolérant aux pannes (redondance) et que les données soient dupliqués en au moins deux endroits différents.

Dernière modification par bruno (Le 25/10/2017, à 12:54)

Hors ligne

#9 Le 25/10/2017, à 13:08

UnMamouth

Re : [Résolu] Partition chiffrée

Ces questions ont déjà été considérées avec le client. Il a été décidé, que en plus des autres mesures de protection (car il y en a d'autres), la partition sur laquelle sont les données doit être chiffrée. Du coup, mon problème est bien comment avoir une partition chiffrée et gérer via un service ce chiffrement.

Hors ligne

#10 Le 25/10/2017, à 13:39

bruno

Re : [Résolu] Partition chiffrée

UnMamouth a écrit :

Du coup, mon problème est bien comment avoir une partition chiffrée et gérer via un service ce chiffrement.

Pour avoir une partition chiffrée je te renvoie aux différentes docs présentes sur le web (et sur doc.ubuntu-fr.org).

Je ne comprends pas ce que veux dire « gérer via un service ce chiffrement ».
Cela a déjà été expliqué dans les diverses réponses. Si les données sont sur une partition chiffrée, celle-ci doit d'abord être déchiffrée pour que le SGBD puisse accéder aux données (voire pour qu'il puisse simplement démarrer). Il faut donc saisir la phrase de passe au démarrage.

Pour toutes les raisons que j'ai déjà évoquées je pense que l'utilisation d'un système de fichiers chiffré n'est pas une bonne solution, mais peut-être que ce que tu recherches est plus une solution de chiffrement des données de la base de données (les solutions dépendent du SGBD utilisé).

Dernière modification par bruno (Le 25/10/2017, à 13:40)

Hors ligne

#11 Le 25/10/2017, à 14:30

moko138

Re : [Résolu] Partition chiffrée

bruno a écrit :

  Si les données sont sur une partition chiffrée, celle-ci doit d'abord être déchiffrée pour que le SGBD puisse accéder aux données (...)
  ce que tu recherches est plus une solution de chiffrement des données de la base de données

Si je puis me permettre, avec mon point de vue d'ignorant en la matière, j'ai l'impression que c'est au client, aussi ignorant que moi de ces questions techniques, qu'il faut expliquer ces deux points.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#12 Le 25/10/2017, à 16:45

Vobul

Re : [Résolu] Partition chiffrée

moko138 a écrit :

Si je puis me permettre, avec mon point de vue d'ignorant en la matière, j'ai l'impression que c'est au client, aussi ignorant que moi de ces questions techniques, qu'il faut expliquer ces deux points.

+1


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#13 Le 26/10/2017, à 09:39

ikoula

Re : [Résolu] Partition chiffrée

+1


Thomas | Community manager | ikoula Serveurs dédiés, VPS et Cloud Public
Contactez-nous | Suivez-nous sur Twitter | Likez nous sur Facebook

Hors ligne

#14 Le 26/10/2017, à 09:49

bruno

Re : [Résolu] Partition chiffrée

C'était bien l'objectif de mon intervention en #8, en essayant modestement de donner quelques arguments simples sur la problématique d'une telle solution…

Hors ligne

#15 Le 02/11/2017, à 17:19

UnMamouth

Re : [Résolu] Partition chiffrée

Bonjour. J'ai finalement résolu mon problème avec Crptsetup et LUKS.

Hors ligne