Chiffrement du serveur hébergeant mes services

#1

Bonjour à tous.
J’ai besoin d’aide car j’ai du mal à trouver des informations afin de chiffrer mon serveur. Je trouve pas mal d’info pour une installation fraîche depuis une ISO en partitionnant le disque et en utilisant LUKS.
Cependant, comment faites-vous quand vous n’êtes pas en auto-hébergement?
Par exemple, chez Kimsufi (ou Scaleway), on choisit une image de départ, impossible donc de chiffre dès l’installation. A moins que j’ai manqué quelque chose…
Quelle est votre solution dans ce cas?
Merci d’avance

#2

Bonjour

Aeris a fait un article là dessus. J’avoue ne jamais l’avoir utilisé cependant, notamment pour éviter que le serveur bloquent ou que le boot pour X ou Y raison a explosé au vol et que je me tape 5h de dépannage.
Je privilégie cependant les applications qui chiffrent tous sur le disque.

Cordialement

#3

Hello,

En fonction de ce que propose ton hébergeur, tu peux parfois: booter depuis une image iso type Debian minimal qui te permet de réinstaller complètement, avec chiffrement complet (sauf /boot of course) si tu le souhaites.

Si tu virtualises :

  • les versions récentes de ZFS sur distrib GNU/Linux permet le chiffrement à priori (non testé)
  • si tu virtualise sur du LVM, tu peux chiffrer les volumes via LUKS
  • si tu utilises Qemu-KVM, tu peux chiffrer comme tu veux à l’installation de ta VM

Il y a des solutions pour déchiffrer par SSH (rend le processus de déchiffrement simple), mais je n’ai pas les liens sous la main et n’ai toujours pas fait de poc.

Perso, sur Nomagic, je ne chiffre que la VM des mails et les backups. Le chiffrement ZFS n’était pas encore dispo quand j’ai commencé à l’utiliser.

#4

Bonjour,

Pour ma part, j’utilise une distribution peu répandue sur mes serveurs : Slackware. J’ai tout d’abord installé l’OS dans une machine virtuelle. Ensuite sur le serveur j’ai créé mes partitions (un /boot non chiffré, et une partition LUKS qui contient des partitions LVM). Ensuite j’ai du bidouillé l’initramfs pour activer sshd (dropbear) au démarrage de la machine. Ainsi lorsque je dois redémarrer le serveur, je me connecte dessus via ssh pour déchiffrer la partition LUKS puis le démarrage se poursuit normalement. J’ai donc l’intégralité de l’OS et des données stockées sur une partition chiffrée à l’exception de /boot.

Tout fonctionne très bien du moment qu’on pense bien à installer le module de sa carte réseau dans l’initramfs.

#5

Merci pour vos réponses.
Vu que tout est en place pour l’instant et que les services que je propose sont chiffrés, je vais le mettre dans ma todolist pour la prochaine évolution des services.