Suivre

qu'est-ce que tu conseilles pour avoir un serveur avec données chiffrées qui redémarre de façon transparente ? (kvm avec /var/lib/libvirt/images chiffrée)
J'ai pensé à des requêtes (dns, par exemple) vers le réseau interne dont le résultat permet de déchiffrer une clé locale. À moins de reconstruire le réseau pas moyen de déchiffrer?
@aeris @fatalerrors
@framasky

· · Web · 1 · 0 · 0

@metaphys
C'est fort peu évident de faire des partitions chiffrées propres à distance. Je te conseille de t'entraîner avec des VM sur ton poste avant de tenter de loin :)
Mais heu si ta partition chiffrée se déchiffre des le boot ça fait que n'importe qui aya't accès à ton disque le verrait en clair.
Je suis pas admin sys réseau non plus, ce que j'ai trouvé de plus simple pour le moment c'est le chiffrement de stockage nextcloud. Et l'upload d'archive chiffrée avec un pass de gestionnaire de mot de passe, par sftp.
Je veux bien des tutoz sur le sujet aussi.
@aeris @fatalerrors @framasky

@tykayn @aeris @fatalerrors @framasky
En gros l'idée c'est de prévenir le cambriolage. Les mecs te barbote tout tes serveurs mais ne peuvent pas déchiffrer car seul un réseau identique permettrait que ça marche. On peut même ajouter des requêtes vers des serveurs qui ne répondent qu'à l'ip publique du site.
Comme ce n'est pas un chiffrement du système, si de temps en temps ça merde je peux me connecter pour monter le truc moi même, l'idée c'est que la plupart du temps je n'ai pas à le faire.

@tykayn @aeris @fatalerrors @framasky
En continuant mes réflexions je me dis qu'une système semi automatique est plus sur. blog.imirhil.fr/2017/07/22/sto
semble un peu trop poussé pour mon modèle menace. Mais au lieu d'automatiser le montage des partitions coté serveur, je vais plutôt automatiser coté client (genre gentil script qui se connecte à tous les serveur, regarde si la partition est montée et la monte si nécessaire. ça me paraît plus sûr comme démarche.

@tykayn @aeris @fatalerrors @framasky
pam_mount peut monter automatiquement luks si un user ssh s'authentifie avec le même mot de passe que le volume luks (donc que pour une partition data car il faut que le système ait démarré et ne marche pas avec des clé ssh)
Par contre coté serveur, il y a un truc qui s'appelle clevis qui peut configurer un initrd pour aller chercher une clé luks sur un serveur distant que l'on met en place avec un paquet appellé tand. Bon ça sent le billet de blog...

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : pas de publicité, pas de surveillance institutionnelle, conception éthique et décentralisation ! Gardez le contrôle de vos données avec Mastodon !