Astuce pour déchiffrer une partition luks au boot

Les sujets de cette catégorie concerne l'installation du logiciel MedshakeEHR, y compris de ces modules et de ses plugins.
marsante
Messages : 175
Inscription : 25 juil. 2020, 18:42

Astuce pour déchiffrer une partition luks au boot

Message non lu par marsante »

Bonjour à tous

Déchiffrer un disque dur entier pour un poste local est à priori relativement transparent, car ne rajoute qu'un mot de passe en plus à taper. Pour les serveurs déchiffrer tout le disque dur oblige à taper le mot de passer à chaque reboot et donc d'avoir un écran et un clavier. J'avais vu passer l'astuce de chiffrer tout sauf le /boot pour taper son mot de passe en ssh, ce qui pour certain n'est pas ultra sécurisé. Ça reste peu automatisé dans tous les cas à mon goût. J'avais sinon entendu parler d'une astuce pour déverrouiller la partition via clef usb, et j'ai vu passer cet article récemment https://opensource.com/article/20/11/nbde-linux qui est lourd à mettre en place, mais bien sécurisé.

Est ce que vous auriez d'autres astuces / réflexion pour automatiser le déchiffrement d'une partition ?

Passez de bonnes fêtes de fin d'année,

Avatar de l’utilisateur
Bertrand
Messages : 177
Inscription : 21 juil. 2020, 18:08
Localisation : Dans le grand bain
Contact :

Re: Astuce pour déchiffrer une partition luks au boot

Message non lu par Bertrand »

C'est un vrai problème. Je suis comme toi tombé sur des solutions, mais je n'ai jamais testé.
Je suis surpris qu'il n'existe pas de process "standardisé" pour ça ...

B.

MedShakeEHR : Le Logiciel Médical Modulaire Libre
http://www.medshake.app/

MedShake : communauté médicale bien fraîche (et un peu secouée) !
https://www.medshake.net/

Avatar de l’utilisateur
Indelog
Administrateur
Messages : 71
Inscription : 10 juil. 2020, 10:06

Re: Astuce pour déchiffrer une partition luks au boot

Message non lu par Indelog »

J'ai le même problème.

Je tente de lui apporter une solution à la fois simple et robuste dont voici le prototype sur une page du wiki : https://c-medshakeehr.fr/wiki/doc:chiffrer_les_donnees_sur_le_dd.

J'ai écrit la doc tout en la concevant et j'ai pas eu le temps de la re-tésté en partant de zéro, dans tout les cas c'est une ébauche. A voire pour la faire évoluer si l'idée semble pertinente. Je suis preneur pour des retours de tests, commentaires et idée pour l'améliorer.

DEMAREST Maxime (Indelog)
Avatar de l’utilisateur
Bertrand
Messages : 177
Inscription : 21 juil. 2020, 18:08
Localisation : Dans le grand bain
Contact :

Re: Astuce pour déchiffrer une partition luks au boot

Message non lu par Bertrand »

J'ai lu pas mal de choses ces derniers temps sur le sujet.
En regardant sur le journal du hacker, on doit pouvoir retrouver quelques billets là dessus.
Par contre je n'ai jamais testé.

B.

MedShakeEHR : Le Logiciel Médical Modulaire Libre
http://www.medshake.app/

MedShake : communauté médicale bien fraîche (et un peu secouée) !
https://www.medshake.net/

marsante
Messages : 175
Inscription : 25 juil. 2020, 18:42

Re: Astuce pour déchiffrer une partition luks au boot

Message non lu par marsante »

J'ai testé ce tuto https://www.arminpech.de/2018/11/18/unl ... n-usb-key/ sur une VM et ça marche. Cela donne au redémarrage insertion éjection de la clef et c'est tout jusqu'au prochain redémarrage. Clef USB à garder autour du cou ou dans un coffre-fort :D . En cas de perte du fichier, c'est récupérable à la mano via un livecd et un chroot avec le mdp initialement configuré. Sinon il y a un script à remplacer pour que le mdp soit demandé en cas de défaillance du fichier https://askubuntu.com/questions/59487/h ... 0911#90911. Probablement que la meilleure solution est d'avoir toujours au moins deux clefs USB et d'associer deux fichiers différents sur luks. Fun fact le fichier peut être n'importe quoi, même un jpeg ou un mp4, histoire de brouiller les pistes en cas de vol à la tire de la clef par ex.

Concernant le déverrouillage de partition root par le réseau il existe déjà l'association https://github.com/latchset/tang https://github.com/latchset/clevis

Pour les installations avec un /root non chiffré (j'imagine que dans ces cas-là il faut que var, voir home ou opt suivant le répertoire de l'installation soit sur des partitions chiffrées à part), il existe cette solution https://www.cyberciti.biz/hardware/cryp ... ile-linux/ toujours avec une clef USB, mais cette fois-ci qui permet de demander le mdp en cas de perte nativement

Si ça vous semble pertinent, je pourrai éditer le wiki pour franciser ces tutos

Avatar de l’utilisateur
Indelog
Administrateur
Messages : 71
Inscription : 10 juil. 2020, 10:06

Re: Astuce pour déchiffrer une partition luks au boot

Message non lu par Indelog »

Personnellement, les solutions de déverrouillages via la clé USB ou avec le couple Tang/Clevis me convienne pas. En fait elles sont tout a fait viable dans une contexte très simple ou le praticien travaille seule (voire peut être avec une secrétaire) mais posent pas mal de problèmes dans le cadre d'un cabinet avec plusieurs praticien + des secrétaire.

Par example, j'ai un cas ou le serveur n'a ni écran, ni clavier et se trouve dans une bai de brassage fermé à clé. J'ai besoin que le serveur redémarre tout seul de temps en temps pour qu'il puisse appliquer certaines mises à jours de sécurité (j'utilise unattended-upgrades ça fonctionne très bien). En cas de disque totalement chiffré, si le serveur à redémarré pendant la nuit, quand le personnel arrive le matin il va constaté que l'instance MedShake n'est pas accessible. Il faut alors qu'il fasse le lien avec le serveur qui a redémarrer pendant la nuit et qu'il n'a pas pus finir de totalement redémarrer car son disque dure n'est pas déchiffré. Si on veux déchiffré le disque dure avec une clé usb il faut :

  1. Que la clé USB qui permet de déchiffrer le DD du serveur soit trouvable (si à ce moment la il n'y a qu'un ou deux individus au cabinet (secrétaire ou praticien) et que personne ne sait ou est la foutu clé car d'habitude c'est un autre qui s'en occupe et qu'il ne communique pas forcément sur le sujet ben c'est mort).
  2. Qu'ils puissent faire la manipulation, donc aller ou se trouve le serveur (dans mon cas une bai de brassage sous clé et en hauteur, il faut donc sortir l'éscabaud). Le serveur n'a pas d'écran branché (il n'y a pas la place), du coup pas de retour visuel. Il faut comprendre qu'a ce moment il faut branché la clé puis forcer le serveur à redémarrer avec le bouton en façade (sinon l’insertion de la clé ne sera pas détecté).
  3. Peut probable mais pas impossible, si la clé USB est stocké dans la locaux, elle peut être dérobé avec le matériel (et permettre le déchiffrement des donné sur le serveur).

La solution Tang/Clevis me semble déjà plus pertinente dans mon cas mais me gêne sur certain point (en pratique j'ai pas tester je me basse juste sur la lecture de la doc). Il me semble que déverrouillage du volume chiffré par Clevis (qui doit donc être installé sur le serveur) se fait à condition que celui ci puisse contacter un serveur Tang (donc un ou plusieurs ordinateurs parmi les utilisateur de MedShake) présent sur le réseau local à ce moment la. Il me semble aussi que si l'intégralité du DD est chiffré il va être compliquer de déverrouillé l'accès à distance si le serveur à rebooter sans que personne ne soit présent dans les locaux.

Voila pourquoi j'ai chercher une solution qui permette simplement de déverrouillé le volume qui contient les donnée MedShake depuis une simple page Web si le serveur détecte que le volume qui contient le données n'est pas déverrouillé.

DEMAREST Maxime (Indelog)
Répondre