Home » 3615 my life, Internet, Sysadmin

Mon petit nuage et moi

15 février 2011 587 vues 8 commentaires
tags : ,
Download PDF

Crédit photo : akakumo (flickr)

Il parait que le cloud est plébiscité pour ses fonctionnalités de stockage et de sauvegarde. Bon, moi, je suis toujours pas confort avec cette notion de cloud et de « je sais pas trop où sont mes données mais je sais comment y accéder ».

Ça ne m’empêche pas de l’utiliser, dropbox en tête, pour balader des documents entre mes stations de travail et mes divers appareils mobiles, c’est bien pratique. Ce sont à peu près les seuls à avoir fait un truc bien intégré à Windows en matière de dossier partagé.

Si un jour ces messieurs se décidaient à vendre leur solution soft coté client & serveur pour que les gens puissent l’installer sur leurs propres infrastructures, ce serait fort appréciable.

Reste que, même protégées par un mot de passe, voilà que mes données se baladent je ne sais pas où. Du coup, je fais très attention à ne pas stocker n’importe quoi sur cet espace. Des présentations powerpoint, des PDF que je dois lire, quelques photos, mais c’est à peu près tout.

Pour le reste, des listings de mots de passe, par exemple, j’aime assez avoir une surcouche de sécurité convenable. Deux principes pour stocker convenablement ce genre de données dans les nuages :

  • Utiliser une application qui gère ce type d’information et pratique un chiffrage fort avant d’écrire le fichier, par exemple KeePass qui permet de chiffrer un trousseau de mots de passe avec une passphrase ou un fichier complet servant de clé, ou les deux (on peut ensuite se permettre d’aller écrire tout ça sur dropbox dans la foulée)
  • Utiliser une application de chiffrement qui donne, ensuite, accès normalement aux fichiers déchiffrés, par exemple truecrypt qui va créer un fichier chiffré dans l’espace dropbox dans lequel on pourra mettre ce qu’on veut

Le problème, avec la seconde solution, c’est qu’on ne doit pas oublier, en quittant un poste de travail, de démonter son lecteur truecrypt pour pouvoir le ré-ouvrir de l’autre côté sans faire de collision. C’est aussi partiellement vrai avec la première solution, mais le logiciel employé pose généralement un verrou sur le fichier utilisé sur dropbox de sorte qu’une autre instance ne puisse être lancée en même temps.

Une petite mention pour une application iphone gratuite trouvée dernièrement, PlainText, qui fonctionne comme l’application de prise de note fournie par Apple mais qui a le bon goût de synchroniser les notes, en quasi temps réel, avec dropbox. Pour ceux qui, comme moi, aiment bien jeter des idées dans l’iphone à longueur de temps et les récupérer rapidement sur un poste de travail après, c’est un must. Un seul bémol, l’appli ne gère QUE l’encodage UTF8 et refusera d’ouvrir un fichier contenant autre chose. Dommage.

Tout ça, c’est bien gentil, mais ça ne sauve pas les données de tous les jours que vous avez sur l’ordinateur et c’est un peu compliqué à mettre en oeuvre en version « tout automatisé » pour faire des sauvegardes sécurisées.

Pour ma part, je préfère largement l’option petit serveur dédié. Les premiers prix du moment chez les lowcosters tournent autour de 20 euro par mois, avec 160Go d’espace disque, si vous n’êtes pas un vilain pirate pédonazi, vous devriez pouvoir stocker l’ensemble de vos documents importants sur le bébé.

Alors bien entendu, vous prendrez grand soin de chiffrer les données pendant la transmission, soit au moyen d’un VPN (c’est ce que je fais), soit en copiant vos fichiers avec ssh ou un autre mode de transmission un minimum sécurisé.

Mais une fois sur le petit serveur de l’autre côté, qui vous dit que personne n’ira fouiller dedans ? Lorsque vous allez résilier cette machine qui vous dit que le prochain utilisateur ne tombera pas fortuitement sur vos données ?

Pour éviter ça, le chiffrage est encore de mise. TrueCrypt reste manifestement la référence en la matière sous Linux, mais moi, Linux, ça me donne des boutons. Avec notre ami FreeBSD, on a un outil formidable portant le doux nom de Geli qui permet de chiffrer des partitions entières.

Le principe est simple :

  • Lors de l’installation de la machine, vous mettez tout votre système dans un petit espace disque (5Go, par exemple)
  • Si votre disque dur n’est pas neuf, il convient de remplir tout le restant avec de la donnée aléatoire (‘dd if=/dev/random of=/dev/ad0s1e bs=1m’ par exemple)
  • Il faut ensuite créer une clé qui servira, en plus de la passphrase, pour le chiffrement : ‘dd if=/dev/random of=/root/geli.key bs=64 count=1’
  • On peut ensuite initialiser la partition à chiffrer : ‘geli init -l 256 -s 4096 -K /root/geli.key /dev/ad0s1e’. C’est à ce moment que vous spécifiez la passphrase qui doit être conséquente
  • Puis attacher cette partition : ‘geli attach -k /root/geli.key /dev/ad0s1e’
  • Pour parfaire le tout, créez le filesystem dans la partition chiffrée : ‘newfs /dev/ad0s1e.eli’
  • Il ne reste plus qu’à la monter (presque) normalement : ‘mount /dev/ad0s1e.eli /home’

Notez qu’il faudra refaire les points 5 à 7 à chaque reboot pour récupérer votre partition active. Vous pouvez l’automatiser mais ça implique, pour un serveur distant, d’avoir la main sur la console au moment du boot pour taper la passphrase, ce qui est généralement impossible et peu souhaitable pour des raisons de discrétion (vous ne voudriez pas qu’on sache que vous avez des données chiffrées dans cet espace apparemment vide, hein ? Bon, on le saura quand même, on vous a à l’oeil !).

Voilà, un petit tour d’horizon de mon usage de ce que nos amis marketteux surnomment « le cloud »

8 Comments »

  • Tengu said:

    Hoi!

    intéressant :).

    Pour info, il existe des solutions de backups (du moins sous linux) qui ont le bon goût de:
    – supporter plusieurs protocoles pour le transfert des fichiers (ftp, ssh, rsync)
    – faire de l’incrémental (avec rétention réglable évidemment)
    – crypter les données avant de les envoyer au moyen de GPG

    Pour ma part, c’est ce que j’utilise pour mon serveur chez hetzner, qui proposent 100G de backups en FTP.

    Le nom de l’appli? duplicity

    ‘achement bien :)

    ++

    T.

  • Bruno (author) said:

    Ça tourne sous tous les OS, cette chose ?

  • P'tit Lu said:

    Étant donné que ça s’utilise en console, je doute que ce soit disponible sous tous les OS.

  • lildadou said:

    Bonjour,

    @Tengu
    T’utilises backup-manager et tu as ajouté des options pour le chiffrement des données (GPG)?

    @Bruno
    Si le chiffrement de volume t’intéresse : http://doc.ubuntu-fr.org/utilisateurs/lildadou/cryptsetup
    Tu peux aussi trouver un exemple concret d’utilisation avec du RAID et du LVM: http://doc.ubuntu-fr.org/utilisateurs/lildadou/mediabunker

    « dd if=/dev/random of=/dev/ad0s1e bs=1m » fonctionne? C’est pas urandom? Parce qu’utiliser la réserve entropique pour un disque entier t’es pas couché :)
    Personnellement, j’utilise shred pour éviter les effet de rémanence

  • Michael said:

    Je connais personne qui utilise truecrypt sous linux. Il y a déja des solutions dans le noyau qui ont le bon gout de ne pas souffrir de probléme de license à la con ( http://fedoraproject.org/wiki/ForbiddenItems#TrueCrypt ).

  • gilles said:

    Ba oui,

    luks + dm-crypt sous linux, c’est en standard, c’est simple et ça marche très bien.
    https://wiki.archlinux.org/index.php/LUKS

  • Tengu said:

    Hoi!

    @Bruno: honnêtement, aucune idée – mais il me semble que ça tourne aussi sur du bsd – à contrôler sur le site officiel..

    @lildadou: heuuu nan… duplicity intègre directement le chiffrement via GPG

    ++

    T.

  • jerome said:

    Luks via cryptsetup (linux inside)
    SSH avec des clés pour l’authentification
    du GPG pour les fichiers et les mails, du SSL/TLS dès que c’est réseau,
    et VPN chiffré sur UDP (faut juste un KeepAlive bien court)

    Une clé USB avec deux partitions dont une chiffré par luks bien sûr et l’autre dispo en FAT (histoire de traîner deux trois outils pour miupoms©), sur la clé chiffré mes clés gpg et ssh (avec les fichiers config a copier kivonbien)
    (^^)

    Je suis même pas sûr qu’on puisse faire tout ça en standard sur miupoms© ou sur pears™

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


7 + = treize