# [sécurité] / en squashfs ?

## scawf

Bonjour,

J'aimerai votre avis sur ma dernière installation de gentoo, en terme de sécurité, failles... 

Tout avis sera le bienvenu, et les astuces/idées encore plus !

J'ai trois partitions: 

* sda1 (10go) avec grub+kernel+initramfs+system.squashfs

* sda2 (20go, chiffrée) avec une installation classique

* sda3 (/home)

system.squashfs est une copie du système de sda2.

En utilisation, la parition chiffrée n'est pas montée, et / est donc read-only. (avec une surcouche unionfs/tmpfs pour avoir une possibilité d'écriture temporaire). 

Pour installer un soft/changer la configuration, il est donc necessaire de monter la partition chiffrée, faire un chroot, faire les modifications, puis recreer le system.squashfs. 

A ce moment là, je note les hash du nouveau system.squashfs, pour pouvoir vérifier qu'il n'y pas substitution/modification.

je précise, il s'agit d'une installation sur un laptop

Voila donc mon installation !

Des suggestions pour améliorer le machin ? 

Vous pensez que ça a un interet ou pas particulièrement ? ^^

----------

## xaviermiller

J'ai une question idiote : pourquoi sécuriser le système mais pas /home ?

Un système, on peut le remplacer, pas les données.

----------

## scawf

Le problème avec le système, c'est de savoir *quand* le remplacer. On peut être infecté pendant des mois sans s'en rendre compte... et c'est précisément ce point que j'essai d'éliminer.

Pour acceder aux données, il faut commencer par infecter le système. C'est pour ça que je pense que la sécurisation du système est plus importante que celle des données. 

Si le système tombe, même si /home est chiffrée, un petit keylogger et hop c'est mort..

De plus, les données ont des backups en cas de perte.

----------

## xaviermiller

As-tu essayé des outils genre chkrootkit et rkhunter ? Ils se basent sur une mémoire de signatures de rootkits ainsi que des checksums des exécutables du système.

----------

## scawf

Je connais oui; mais j'ai envi de dire que quelqu'un qui fait un rootkit et ne vérifit pas qu'il résiste à ces deux outils, c'est un charlot. 

Je ne dis pas que ces outils sont mauvais, mais je pense que c'est insuffisant. 

Par rapport aux checksum, je suppose que les outils doivent generer une base de donnée au premier lancement; et les lancements suivant verifient qu'il n'y a pas de changement ?

----------

