Comment chiffrer son disque dur?

Bonjour,

Je vais ré-installer Yunohost sur mon tout nouveau raspberry pi 4 (4Gb) sous peu, avec l’idée de booter directement sur le disque dur externe.

J’aimerais que le disque dur soit chiffré (‘at rest’). Quelqu’un saurait comment procéder?

Merci d’avance

Salut,

si je devais le faire, je partirai probablement de l’installeur de Debian en choisissant les options qui vont bien pour creer une installation chiffrée, puis j’installerais YunoHost par dessus.

Mais YunoHost en lui-même ne propose rien à ce sujet, c’est un peu en dehors de son objectif (vu que YunoHost s’installe par dessus Debian, il n’a pas spécialement la main sur le schema de partitionnement & co)

yep le plus simple à mon sens et de partitionner test disques avec “du lvm” chiffré lors de l’installation de Debian.

Et tu peux après utiliser Dropbear pour déchiffrer via ssh au démarrage du disque. Tu as plusieurs tuto sur internet comme ceux-ci :
https://wiki.faimaison.net/doku.php?id=debian-fde-dropbear
https://blog.mossroy.fr/2016/04/24/chiffrement-du-filesystem-en-auto-hebergement/#Deuxieme_solution160_chiffrer_uniquement_une_partition_de_donnees

ok merci bien! Je vais sûrement passer un peu de temps pour tester tout ça avant de tout réinstaller.

Bonjour Koantig,
As-tu finalement réussi ton projet de chiffrage disque dur + installation yunohost sur pi4 ?

Fred

pas encore mais j’attends yunohost pour la pi4 d’abord.

Et pour le cryptage ?

Fred

Bonjour,
J’avais fais un petit tuto il y a quelques temps sur la configuration de l’espace disque avec lvm et le cryptage des données avec crytpsetup.
Peut être une piste …
Mon instance est toujours configurée selon cette procédure.
Le seul petit problème, en cas de reboot il faut avoir accès à la console pour entrer la passphrase.

Nino

Ok merci pour le tuto. Dans l’idéal il faudrait pouvoir démarrer en SSH le serveur car pas toujours simple de l’avoir sous la main. Peut-être une piste ici :https://www.raspberrypi.org/forums/viewtopic.php?f=29&t=248057&p=1560986&hilit=encrypt#p1560986
Fred

Ca semble une piste, bien que pas forcement simple à mettre en oeuvre.
De plus si le serveur plante ou s’eteint impossible de le redemarrarer à distance dans le cas d’un rpi.
Une autre solution peut etre plus simple mais avec les mêmes limitations.
Si les partitions cryptées ne sont que les données , comme dans mon cas, on pourrait ne pas les monter au demarrage via le fstab.

Dans ce cas le serveur démarre normalement sans attendre de passphrase et est accessible en ssh, il suffirait donc de faire le montage des partitions de données manuellement et redémarrer les services yunohost (nginx et php-fpm devraient suffire).
Un petit script pour faire ses 2 étapes et ça devrait le faire sans trop de prise de tête.:+1:

Nino
Ps : Du coup je pense même le faire pour mon serveur :grin:

Ce que tu proposes Nino c’est ce que je fais sur mes différents pi : cryptage uniquement de la partition données.
Au démarrage, je lance manuellement ou via un script :
cryptsetup luksOpen /dev/sda2 LinuxFredpi2
puis je mets ma passphrase
ensuite montage disque : mount /dev/mapper/LinuxFredpi2 /disque/LinuxFredpi2
et je relance les services qui en ont besoin…
Maintenant ce que je voudrais c’est un cryptage complet et redémarrage à distance via ssh donc avec l’utilisation d’un serveur SSH type dropbear dans l’initramfs…

Fred