|
@@ -3,18 +3,16 @@
|
|
|
|
|
|
|
|
Il est possible de combiner un chiffrement **non persistant** avec un swap réparti sur plusieurs partitions. Chaque partition sera chiffrée individuellement avec une clé aléatoire générée au démarrage (via `/dev/urandom`), puis ces partitions seront activées comme des espaces de swap indépendants.
|
|
Il est possible de combiner un chiffrement **non persistant** avec un swap réparti sur plusieurs partitions. Chaque partition sera chiffrée individuellement avec une clé aléatoire générée au démarrage (via `/dev/urandom`), puis ces partitions seront activées comme des espaces de swap indépendants.
|
|
|
|
|
|
|
|
----
|
|
|
|
|
-
|
|
|
|
|
## Configuration d'un swap chiffré non persistant sur plusieurs partitions
|
|
## Configuration d'un swap chiffré non persistant sur plusieurs partitions
|
|
|
|
|
|
|
|
### **1. Désactiver les swaps existants**
|
|
### **1. Désactiver les swaps existants**
|
|
|
|
|
+
|
|
|
Avant de configurer le nouveau swap, désactivez toutes les partitions swap actuellement actives :
|
|
Avant de configurer le nouveau swap, désactivez toutes les partitions swap actuellement actives :
|
|
|
|
|
+
|
|
|
```bash
|
|
```bash
|
|
|
sudo swapoff -a
|
|
sudo swapoff -a
|
|
|
```
|
|
```
|
|
|
|
|
|
|
|
----
|
|
|
|
|
-
|
|
|
|
|
### **2. Chiffrer chaque partition de manière non persistante**
|
|
### **2. Chiffrer chaque partition de manière non persistante**
|
|
|
|
|
|
|
|
Pour chaque partition de swap (par exemple `/dev/sdb1`, `/dev/sdc1`, `/dev/sdd1`), configurez un chiffrement non persistant avec **dm-crypt**.
|
|
Pour chaque partition de swap (par exemple `/dev/sdb1`, `/dev/sdc1`, `/dev/sdd1`), configurez un chiffrement non persistant avec **dm-crypt**.
|
|
@@ -28,27 +26,25 @@ Pour chaque partition de swap (par exemple `/dev/sdb1`, `/dev/sdc1`, `/dev/sdd1`
|
|
|
- **`--type plain`** : Utilise un chiffrement simple (sans métadonnées).
|
|
- **`--type plain`** : Utilise un chiffrement simple (sans métadonnées).
|
|
|
- **`--cipher aes-xts-plain64`** : Définit l'algorithme de chiffrement (AES avec XTS, souvent recommandé pour les performances).
|
|
- **`--cipher aes-xts-plain64`** : Définit l'algorithme de chiffrement (AES avec XTS, souvent recommandé pour les performances).
|
|
|
- **`--key-file /dev/urandom`** : Génère une clé aléatoire à chaque démarrage.
|
|
- **`--key-file /dev/urandom`** : Génère une clé aléatoire à chaque démarrage.
|
|
|
-
|
|
|
|
|
2. **Formater le périphérique mappé en swap :**
|
|
2. **Formater le périphérique mappé en swap :**
|
|
|
```bash
|
|
```bash
|
|
|
sudo mkswap /dev/mapper/cryptswap1
|
|
sudo mkswap /dev/mapper/cryptswap1
|
|
|
```
|
|
```
|
|
|
-
|
|
|
|
|
3. **Activer le swap :**
|
|
3. **Activer le swap :**
|
|
|
```bash
|
|
```bash
|
|
|
sudo swapon /dev/mapper/cryptswap1
|
|
sudo swapon /dev/mapper/cryptswap1
|
|
|
```
|
|
```
|
|
|
-
|
|
|
|
|
4. **Répétez les étapes 1 à 3 pour chaque partition** (par exemple `/dev/sdc1`, `/dev/sdd1`), en remplaçant `cryptswap1` par des noms uniques comme `cryptswap2`, `cryptswap3`, etc.
|
|
4. **Répétez les étapes 1 à 3 pour chaque partition** (par exemple `/dev/sdc1`, `/dev/sdd1`), en remplaçant `cryptswap1` par des noms uniques comme `cryptswap2`, `cryptswap3`, etc.
|
|
|
|
|
|
|
|
----
|
|
|
|
|
|
|
|
|
|
### **3. Ajouter une configuration automatique (optionnelle)**
|
|
### **3. Ajouter une configuration automatique (optionnelle)**
|
|
|
|
|
|
|
|
Pour automatiser cette configuration au démarrage, modifiez les fichiers suivants :
|
|
Pour automatiser cette configuration au démarrage, modifiez les fichiers suivants :
|
|
|
|
|
|
|
|
#### **Dans `/etc/crypttab` :**
|
|
#### **Dans `/etc/crypttab` :**
|
|
|
|
|
+
|
|
|
Ajoutez une ligne pour chaque partition swap chiffrée, comme suit :
|
|
Ajoutez une ligne pour chaque partition swap chiffrée, comme suit :
|
|
|
|
|
+
|
|
|
```plaintext
|
|
```plaintext
|
|
|
cryptswap1 /dev/sdb1 /dev/urandom cipher=aes-xts-plain64,size=256
|
|
cryptswap1 /dev/sdb1 /dev/urandom cipher=aes-xts-plain64,size=256
|
|
|
cryptswap2 /dev/sdc1 /dev/urandom cipher=aes-xts-plain64,size=256
|
|
cryptswap2 /dev/sdc1 /dev/urandom cipher=aes-xts-plain64,size=256
|
|
@@ -56,15 +52,15 @@ cryptswap3 /dev/sdd1 /dev/urandom cipher=aes-xts-plain64,size=256
|
|
|
```
|
|
```
|
|
|
|
|
|
|
|
#### **Dans `/etc/fstab` :**
|
|
#### **Dans `/etc/fstab` :**
|
|
|
|
|
+
|
|
|
Ajoutez une ligne pour chaque périphérique mappé :
|
|
Ajoutez une ligne pour chaque périphérique mappé :
|
|
|
|
|
+
|
|
|
```plaintext
|
|
```plaintext
|
|
|
/dev/mapper/cryptswap1 none swap sw 0 0
|
|
/dev/mapper/cryptswap1 none swap sw 0 0
|
|
|
/dev/mapper/cryptswap2 none swap sw 0 0
|
|
/dev/mapper/cryptswap2 none swap sw 0 0
|
|
|
/dev/mapper/cryptswap3 none swap sw 0 0
|
|
/dev/mapper/cryptswap3 none swap sw 0 0
|
|
|
```
|
|
```
|
|
|
|
|
|
|
|
----
|
|
|
|
|
-
|
|
|
|
|
### **4. Activer et vérifier la configuration**
|
|
### **4. Activer et vérifier la configuration**
|
|
|
|
|
|
|
|
1. Rechargez les configurations et activez les swaps :
|
|
1. Rechargez les configurations et activez les swaps :
|
|
@@ -80,11 +76,10 @@ Ajoutez une ligne pour chaque périphérique mappé :
|
|
|
lsblk -o NAME,TYPE,SIZE,MOUNTPOINT,FSTYPE
|
|
lsblk -o NAME,TYPE,SIZE,MOUNTPOINT,FSTYPE
|
|
|
```
|
|
```
|
|
|
|
|
|
|
|
- Vous devriez voir que chaque partition chiffrée est activée en tant que swap.
|
|
|
|
|
-
|
|
|
|
|
----
|
|
|
|
|
|
|
+Vous devriez voir que chaque partition chiffrée est activée en tant que swap.
|
|
|
|
|
|
|
|
## Avantages de cette configuration :
|
|
## Avantages de cette configuration :
|
|
|
|
|
+
|
|
|
1. **Chiffrement sécurisé** :
|
|
1. **Chiffrement sécurisé** :
|
|
|
- Le swap est chiffré avec une clé aléatoire à chaque démarrage, garantissant que les données précédentes ne sont pas récupérables.
|
|
- Le swap est chiffré avec une clé aléatoire à chaque démarrage, garantissant que les données précédentes ne sont pas récupérables.
|
|
|
2. **Utilisation simultanée des partitions** :
|
|
2. **Utilisation simultanée des partitions** :
|
|
@@ -92,9 +87,8 @@ Ajoutez une ligne pour chaque périphérique mappé :
|
|
|
3. **Simplicité d'automatisation** :
|
|
3. **Simplicité d'automatisation** :
|
|
|
- Une fois configurée, cette solution fonctionne automatiquement sans intervention de l'utilisateur.
|
|
- Une fois configurée, cette solution fonctionne automatiquement sans intervention de l'utilisateur.
|
|
|
|
|
|
|
|
----
|
|
|
|
|
-
|
|
|
|
|
## Points à surveiller :
|
|
## Points à surveiller :
|
|
|
|
|
+
|
|
|
- **Performances** :
|
|
- **Performances** :
|
|
|
- Si les partitions sont sur des disques de vitesses différentes, le disque le plus lent peut devenir un goulot d'étranglement.
|
|
- Si les partitions sont sur des disques de vitesses différentes, le disque le plus lent peut devenir un goulot d'étranglement.
|
|
|
- **Priorités** :
|
|
- **Priorités** :
|
lauhub