Installations sécurisées de GNU/Linux

installation standard

Recommandée

• 1 partition / : 30 Go
• 1partition /home : le reste

Options

• Une partition Windows
• Une partition swap : inutile pour > 4 Go
• autres ???

 

Tout auto : catastrophe

Histoire de Bios

Bios "legacy"

remplacé par UEFI

 

Au choix

• Bios legacy
• Bios UEFI > 2010 (si windows 8+)

Conseils

Garder le mode UEFI du Bios

• Installation en mode manuel
• 1 partition  FAT32 - 500 Mo
  montée sur /boot/efi
• autres partitions : /, /home...

Problème de sécurité

Si accès physique :

Données visibles !

Compte root accessible

 

Comment s'en prémunir ?

 

Cas classique :

je perds/on me vole mon PC...

Restreindre les accès

Ajouter un grub sécurisé

sudo grub-mkpasswd-pbkdf2 # Récupérer le hash du mot de passe (grub.pbkdf2....)

sudo nano /etc/grub.d/40_custom

set superusers="login"

password_pbkdf2 login hash

 

sudo update-grub

!!! Saisie en qwerty au grub, en aveugle !

Chiffrer les données
de chaque home

Par ecryptfs

sudo apt install ecryptfs-utils cryptsetup

! déloggué !

# ecryptfs-migrate-home -u nomuser

! Puis se logguer aussitôt !

Stocker la clef avec :

$ ecryptfs-unwrap-passphrase

adduser --encrypt-home nouvelutilisateur

Chiffrer le "/home"

(ou tout le /)

 

Avec LVM et Luks (sauf /boot)

Une partition /boot non chiffrée

Une partition sdaX pour /

Une partition sdax en LVM chiffrée LUKS

contenant /home

 

Possibilité de stocker plusieurs clefs de déchiffrement dans chaque partition LUKS