Outils pour utilisateurs

Outils du site


issue132:courrier

Encryption Your last edition (FCM#131) gave instructions on how to fully encrypt the entire drive rather than just the home partition, by using VeraCrypt. Last year, I wondered whether one could replace VeraCrypt with LUKS, bearing in mind that Linux appears to natively support LUKS. I attempted to do just this. After much help from others, I succeeded. This process encrypts both Linux and Grub — but not the very initial boot, for obvious reasons. (This unavoidable unencrypted initial point leaves open a tiny vulnerability.) The process requires UEFI on the machine. For those who might find this interesting, I created the documentation on Ubuntu's Community Help: https://help.ubuntu.com/community/ManualFullSystemEncryption

Cryptage

Votre dernier numéro (le FCM n° 131) donne des instructions sur le cryptage complet d'un disque dur plutôt que la seule partition home, en utilisant Veracrypt.

L'an dernier, je me demandais si Veracrypt pourrait être remplacé par LUKS, gardant à l'esprit que Linux semble supporter nativement LUKS.

J'ai essayé de le faire et, après avoir reçu beaucoup d'aide d'autrui, j'ai réussi. Ce procédé crypte à la fois Linux et Grub, mais pas le démarreur initial, pour des raisons évidentes. (Cet inévitable élément initial non crypté laisse ouverte une petite vulnérabilité.) Le procédé nécessite UEFI sur la machine.

Pour ceux qui trouverait ceci intéressant, j'ai créé une documentation sur l'aide de la communauté Ubuntu : https://help.ubuntu.com/community/ManualFullSystemEncryption

Unfortunately, some issues make the process unsuitable for any but the most determined, and certainly not for the newbie. The most important follow. • Grub and Ubuntu don't support this natively, making the installation process lengthy and manual. Easy, but long and fiddly. • After a kernel update, you need to redo a small part of the installation (as documented in the Troubleshooting guide). Quick and easy, true, but irritating and easy to forget to do. • Being unsupported, the instructions for new versions of Ubuntu might need revamping. It also means that the process for Ubuntu variants, such as Lubuntu, has some (minor) differences. • The process encrypts only Linux, not Windows or any other distribution.

Malheureusement, certains problèmes rendent le procédé inapproprié pour qui ne serait pas des plus déterminés, et certainement pas pour les petits nouveaux. Voici le plus important : • Grub et Ubuntu ne le supportent pas nativement, rendant le processus d'installation long et manuel. C'est facile, mais long et fastidieux. • Après une mise à jour du noyau, vous devrez refaire une petite partie de l'installation (comme documenté dans le Guide des résolutions de problèmes). Rapide et facile, c'est vrai, mais irritant et oublier de faire est facile. • N'étant pas supportées, les instructions pour les nouvelles versions d'Ubuntu devront être reprises. Cela signifie aussi que le procédé pour les variantes d'Ubuntu, telles que Lubuntu, ont de (légères) différences. • Ce procédé ne crypte que Linux, pas Windows ou une autre distribution.

It might work far better (only on a modern machine because of extra required resources) to use a hypervisor such as Xen or KVM (so I understand), which in turn contains Windows, Ubuntu, Mac, and whatever other operating system you might need. By encrypting the hypervisor rather than the contained operating systems, this would simplify the encryption process dramatically. Unfortunately, I do not have the knowledge to do such a thing. (I hope that some enterprising reader has the skills to do this and to document it, thereby rendering my own discoveries excitingly redundant!)

Cela peut fonctionner beaucoup mieux (seulement sur une machine moderne à cause des ressources supplémentaires nécessaires) en utilisant un hyperviseur tel que Xen ou KVM (pour ce que je comprends), qui, à son tour, contient Windows, Ubuntu, Mac et n'importe quel système d'exploitation dont vous avez besoin. En cryptant l'hyperviseur plutôt que les systèmes d'exploitation contenus, ceci simplifiera grandement le processus de cryptage. Malheureusement, je n'ai pas les connaissances nécessaires pour faire une telle chose (j'espère qu'un lecteur entreprenant aura les connaissances pour le faire et le documentera, rendant ainsi mes propres découvertes remarquablement superflues !).

I feel that Ubuntu should support full-disk encryption out of the box, especially given all the security concerns these days. Even better than that, the computer manufacturer should support hardware-level encryption, eliminating the need to do this at all via software. It would also eliminate the initial unencrypted point that the software method requires. I hope that this happens soon. In the meantime, I guess that VeraCrypt provides the only sensible method, especially with its cross-platform support. Let's hope that the developers support VeraCrypt for a long time. And, now that I'm writing this, I've just realised how to include Windows and other operating systems in the encryption, again except for the UEFI partition. Paddy Landau

Je pense qu'Ubuntu devrait supporter le cryptage total dès l'installation, surtout du fait de tous les problèmes de sécurité actuels.

Encore mieux que ça, le fabricant d'ordinateur devrait supporter un cryptage matériel, éliminant le besoin de le faire entièrement par logiciel. Cela éliminerait aussi l'amorce non cryptée que la méthode logicielle impose. J'espère que cela arrivera bientôt.

Entre temps, je présume que Veracrypt fournit la seule méthode raisonnable, en particulier avec son support multi-plateformes. Espérons que les développeurs supporteront Veracrypt pendant longtemps.

Et, pendant que j'écris ceci, je viens tout juste de réaliser comment inclure Windows et les autres systèmes d'exploitation dans le cryptage, sauf pour la partition UEFI, comme précédemment.

Paddy Landau

Containers Could be that you have already covered this and I have missed it (mea culpa, if so), but may I suggest you cover using containers to create flexible applications on Linux, in particular Web stacks? I got very tired of re-installing Ubuntu while building directly installed LAMP stacks as nearly identical as possible to those on various deployment hosts. I had to reinstall Ubuntu because I could not count on removing side effects left behind in the file system as I replaced one stack configuration with another. Encapsulating the LAMP components in containers prevented the problem, albeit at the cost of some added complication.

Conteneurs

Il se pourrait que vous ayez déjà parlé de ceci et que je l'aie loupé (mes excuses, si c'est le cas), mais puis-je vous proposer de parler des conteneurs pour créer des applications adaptables sur Linux, en particulier des piles Web ? Je suis tellement las de ré-installer Ubuntu quand je construis des piles LAMP, directement installées, aussi proches les unes des autres que possible, sur de nombreux hôtes de déploiement. Je dois ré-installer Ubuntu parce que je ne peux pas être certain de supprimer les effets secondaires restants dans le système de fichiers quand je remplace une configuration de pile par une autre. L'encapsulation des composantes de LAMP dans des conteneurs éviterait le problème, au prix, malgré tout, d'un peu plus de difficulté.

I thought I would have to work this out for myself, but I found that someone had beaten me to it with an excellent free-software solution. See devilbox.org for details. Putting this into the form of a leading question, please ask readers how often they need to reinstall Linux because they have broken something that they do not know how to fix. Jeff Wilson

Je pensais que j'aurais à le réaliser par moi-même, mais j'ai trouvé quelqu'un qui m'a coupé l'herbe sous le pied avec une excellente solution Logicielle libre. Allez voir devilbox.org pour les détails.

En d'autres termes, voici une question orientée, demandez à vos lecteurs combien de fois ils doivent ré-installer Linux parce qu'ils ont cassé quelque chose qu'ils ne savent pas réparer.

Jeff Wilson

issue132/courrier.txt · Dernière modification : 2018/05/11 14:34 de auntiee