J’ai un petite UC sous Linux qui me sert de NAS. Je vais y stocker toutes mes données, certaines confidentielles et j’aimerais y chiffrer mes disques pour éviter que ces données partent dans la nature en cas de cambriolage.
Logiquement ça va me demander une passphrase au démarrage mais je n’ai ni clavier ni écran (et je risque de devoir relancer le NAS assez souvent pour ne pas avoir envie de trimballer les périphériques juste pour ça).
Je me dis que je ne dois pas être le premier. Qu’existe-t-il comme mécanisme dans Grub ou UEFI pour permettre de saisir la passphrase à distance via un portable sur le même réseau ?
4 réponses à “NAS chiffré, saisie de passphrase à distance”
J’ai moi-même fortement envisagé de chiffrer mon NAS mais, pour diverses raisons (difficulté à le démarrer par ma famille, perte de performances avec mon petit CPU qui n’intègre pas AES-NI et pas convaincu du support sous Freenas), j’ai finalement laissé tomber.
J’avais cependant trouvé une piste intéressante « Unlocking a luks volume with a USB key » : http://possiblelossofprecision.net/?p=300
J’ai fait l’équivalent de ce qu’à fait Aeris avec FreeBSD. Un système minimal pour démarrer avec un serveur ssh, je me connecte, je débloque le pool ZFS chiffré et je « reboote » en remontant « / » depuis le pool chiffré…
https://www.keltia.net/howtos/mfsbsd-zfs11/
(pas encore fini)
Suite à discussion avec Aeris je me rends aussi compte que dans le modèle d’attaque que je vise, je n’ai pas besoin d’avoir ma partition principale chiffrée. Je peux très bien avoir mon Linux de base non chiffré et faire une partition séparée pour les data, qui elle sera chiffrée.