Je cherche à faire un chiffrement complet de mon raspberry et son installation Yunohost.
L’intérêt de crypter l’ensemble du système c’est d’être tranquille en cas de vol du disque dur : les données de l’auto-hébergement sont inexploitables.
Actuellement sur mes rapsberry, je ne chiffre qu’une partition de données via Luks mais avec Yunohost, les données sont un peu dispersées… d’où l’idée de faire un cryptage complet.
La difficulté est de pouvoir ouvrir le système crypté depuis un accès ssh…
J’ai trouvé différents tutos : http://chezmanu.eu/RPI-Chiffrement.htm#som4
mais je bloque dès le début avec la commande mkinitramfs -o /boot/initramfs.gz $(uname -r)
qui me renvoie l’erreur :
cryptsetup: WARNING: failed to detect canonical device of PARTUUID=f6f7bcc2-02
cryptsetup: WARNING: could not determine root device from /etc/fstab
dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!
Quelqu’un aurait-il réussi à faire ce type de cryptage ?
Comme tout dans la sécurité, il y a un équilibre à trouver entre “aspect pratique” et “sécurité” … Du coup c’est pas vraiment juste une question “d’avoir envie”.
Le truc c’est que chiffre le système de fichier est une manip technique et compliquée (outre le fait que si l’utilisateur oublie sa passphrase, il perd ses donnée au reboot suivant).
Bref, YunoHost se concentre essentiellement sur le fait d’etre une surcouche par dessus Debian (et la gestion des services, des apps, etc…). La partie “installation” au sens partitionnement est moins prise en charge par le projet, tout simplement parce qu’il faut bien définir un scope sinon on finirait par recoder internet et l’informatique from scratch …
Le projet fourni tout de même des images pré-installées pour faciliter le deploiement, mais on ne peut pas couvrir tous les cas. Ainsi, si par exemple tu veux faire du RAID, en l’état il t’appartient de mettre en place un système Debian avec le RAID etc configuré selon ton envie. C’est un peu le même principe pour le chiffrement. Il y a des tutos sur Internet qui en parle, et c’est relativement indépendant de YunoHost en tant que tel (dans le sens où YunoHost a juste besoin d’avoir une installation de Debian fonctionelle pour pouvoir s’installer)
Néanmoins, le projet de la Brique Internet proposait jusqu’à un moment des images pour des installations chiffrées. (Encore une fois : cela augmente le coût technique et humain du deploiement et de la maintenance) Comme il n’y a pas foule pour les maintenir, ça a fini par casser bien que taz’ essaye de taffer sur le sujet. Libre à toi de taffer sur le sujet pour que tout le monde en profite, comme tout le reste dans ce projet
Merci Aleks pour cette réponse complète.
Bien que n’ayant découvert que depuis 3 semaines Yunohost, cette formidable boite à outils auto-hébergés, je pense en avoir compris en principe.
En quelques clics je peux faire fonctionner plein de logiciels alors que leur installation/configuration prenait du temps et de l’énergie en version manuelle sur une debian brute.
Il me semble cependant tout aussi important de protéger ses données personnelles des GAFAM que du risque de perte ou vol. Cela passe par une bonne gestion des backup (ce qui est bien le cas https://yunohost.org/#/backup) mais on ne trouve malheureusement rien pour le cryptage.
Prendre le risque de laisser à la portée de n’importe qui l’ensemble de ses données fait peur. Et du coup certains préfèreront mettre dans les clouds des GAFAM pour éviter cela (ce qui nous sommes d’accord n’est pas mieux…).
Après, si l’on ne trouve rien à ce sujet, c’est certainement par manque de temps mais également parce que le chiffrement d’un système complet à partir de mini-machines comme les raspberry n’est pas évident. Sur un PC ordinaire cela se fait de plus en plus facilement…Personnellement je n’y suis pas arrivé, même si cela semble possible avec dropbear - cryptsetup et initramfs.
Sur mes autres serveurs manuels, je m’en sors en mettant l’ensemble des données dans le /home/, celui-ci étant dans une partition/disque crypté que l’on ouvre au démarrage manuellement via ssh.
J’avais commencé à faire cette manip sur mon installation yunohost via le déplacement des données dans le /home/ et l’ajout de liens symboliques pour conserver l’arborescence. Par contre j’ai arrêté rapidement car yunohost ne voulait plus ouvrir le SSH
J’ai découvert le projet Brique, c’est super. Dommage effectivement ce manque de moyens.
Je n’ai malheureusement pas les compétences pour participer, juste tester, proposer ;((
… Du coup c’est pas vraiment juste une question “d’avoir envie”.
