# [installation] LVM / Crypt-DM / LUKS sur SSD

## enduser_

J'essaye de m'appuyer sur plusieurs docs pour pouvoir crypter/chiffrez un SSD (64Go) d'un laptop pro (comme ça : c'est fait) : je jongle entre la doc officiel gentoo concernant LVM2 et en même temps je dois intégrer le fait que je n'aurai probablement pas besoin d'une partition /SWAP (toujours cela de gagner)

La Doc principale étant celle-çi :

http://gordon.re/sysadmin/howto-pratique-linstallation-dune-gentoo-encore-plus-securisee.html

Je bute sur les contraintes suivantes :

(Doc off. LVM2 Gentoo)

 *Quote:*   

> « Note: It is not recommended to put the following directories in an LVM2 partition: /etc, /lib, /mnt, /proc, /sbin, /dev, and /root. This way, you would still be able to log into your system (crippled, but still somewhat usable, as root) if something goes terribly wrong. Also exclude /usr and /var from LVM2 if you do not want to boot with an initramfs. »

 

et en même temps le tuto me demande de créer une partition unique LVM :

 *Quote:*   

> « Au moment de partitonner le disque, nous allons donc créer une seule partition, puisque c’est LVM qui, à l’intérieur, s’occupera de la segmenter en partitions logiques. Dans cet article, on supposera que le disque dur est /dev/sda. Avec fdisk ou votre outil de partitionnement préféré, supprimez donc tout, puis créez une unique partition qui prendra toute la capacité disponible (ce sera /dev/sda1). Cette partition sera un conteneur LUKS, qui, une fois ouvert, contiendra le VG de LVM, dans lequel seront nos 3 partitions : root (/), home (/home) et swap (non monté). »

 

donc (si) j'ai bien compris : il ne fallait pas PAS mettre en LVM..des partitions comme /usr mais en même temps on me demande de TOUT mettre sur un volume LVM (et naturellement je devrai – je m'y suis préparé – à faire un initramfs à l'huile de coude avec Dracut.

Si quelqu'un avait une suggestion de partitionnement (avec LVM2) ou de dire simplement que j'ai pas tout compris et que tout est là... :i

Merci d'avance.

----------

## boozo

'alute

"...les goûts et les couleurs mon bon monsieur..." et les plans de partitionnement segmentés ne sont plus trop à la mode depuis quelques temps   :Rolling Eyes:  un /root et /home séparé au mieux

Après il faut prendre la remarque pour ce qu'elle est - une recommandation permettant d'avoir un accès en mode (très) dégradé - ce n'est pas une loi gravée dans le marbre et ça dépend plus de tes usages/utilisations (serveur vs desktop,  en raid ou non, etc) voire de tes habitudes à gérer la complexité qui va avec.

 *Quote:*   

> This way, you would still be able to log into your system (crippled, but still somewhat usable, as root) if something goes terribly wrong.

 

A l'usage, je ne pense pas que tu auras réellement de pb avec un vg global mais d'autres auront peut-être un autre vécu et apporteront leur commentaires.

btw, garder aussi en tête que en cas de problèmes sur une racine chiffrée, une hypothétique cata avec lvm sera très subalterne  :Mr. Green: 

Je plaisante un peu mais ça va de pair dès qu'on chiffre et c'est bien réel ! (je ne parle pas de la notion de sensibilité des données parce qu'on peut tomber gravir tous les stades paranoïaques avec çà mais simplement pour avoir un peu de garantie en cas de perte/vol de matos p.e.) => donc penser a avoir un onduleur et des scripts d'extinction à l'oeuvre, il faudra aussi s'astreindre à faire des backups - très régulièrement (et à les tester aussi) - et sans doute à quasi industrialiser ta solution de sauvegarde (qui sera également chiffrée), être attentif aux update de certains packages hautement sensibles, dupliquer et tester les supports externes et se roder à une procédure de restauration, ...

Cela peut paraitre bête mais crois-moi vaut mieux être averti i.e. perds ta clé usb (ou fait-lui prendre un bain :'-( ) et tu va être ravi quand tu vas avoir besoin de bosser sur ton unique laptop (et même avec un backup /data ailleurs)

----------

## GentooUser@Clubic

Généralement avec LVM seul /boot reste en dehors, de toute façon si tu chiffre ton système tu aura besoin d'un initrd.

----------

## Leander256

Il faut voir quel niveau de sécurité tu souhaites pour la machine:

modéré, tu te contentes de chiffrer certaines partitions sensibles comme /homecostaud, tu chiffres / mais tu gardes /boot à partparano, tu chiffres tout et tu bootes depuis une clé USBLe tutoriel que tu cites prend l'approche parano, qui est plus compliquée et n'est pas forcément rentable au niveau apport de sécurité par rapport à la méthode costaud. Je m'explique.

Si tu veux te protéger contre le risque de vol/perte de l'ordinateur et que les données sensibles seront uniquement dans le /home, alors la méthode modérée sera suffisante. Si tu risques d'avoir des fichiers sensibles qui traînent un peu partout (par exemple avec des bases de données dans /var et les méthodes d'accès dans /etc) mieux vaut l'approche costaud. Elle est suffisante pour tout cas de vol/perte de la machine.

Si tu veux te protéger contre le risque d'espionnage industriel et empêcher que quelqu'un trafique le noyau ou l'initrd dans /boot (à l'insu de ton plein gré), alors la méthode parano devient nécessaire. Cependant, je considère (opinion personnelle) qu'un individu/organisme qui a les ressources nécessaires pour trafiquer ton /boot a aussi les ressources nécessaires pour installer un keylogger physique et discret dans la machine. Et donc le gain en sécurité est marginal.

Si tu utilises l'approche costaud ou parano, de toute façon comme le dit GentooUser@Clubic tu auras besoin d'un initrd pour déchiffrer ton /root, donc autant faire d'une pierre deux coups et aussi rajouter le support de LVM dans l'initrd afin d'avoir / en LVM.

----------

## boozo

(marrant le spam en cyrillique)

Farpètement d'accords avec vous - d'ailleurs faudrai que je fasse passer le message à certains que j'connais   :Rolling Eyes:  -

Personnellement aussi, après quelques temps en chiffrage full...(et "quelques" désagréments avec entièrement de mon fait) je suis revenu à du "modéré" comme tu dis voire, même juste un conteneurs dédié de qq Go que je monte en loop pour le stockage de certaines pièces ou le transport de docs pro entre 2 sites, etc.

Au fil du temps, c'est quand même bien plus simple à gérer et donc à mon sens, bien plus sûr au final... parce que le plus gros pépin vient du distrait qui est entre la chaise et le clavier   :Razz: 

@OP: Pardon si j'ai digressé un peu sur le sujet chiffrage par rapport à ta question initiale (et entrainé les autres), vu que ton angoisse première était plus centrée sur la différence d'approche quant à l'exclusion de certain repertoires systèmes avec lvm

----------

## dervishe

Salut,

j'avais opté pour une solution de ce type il y a quelque temps. Je dirais, pour ma part, que le mode sans "accès dégradé" (donc tout dans la boite cryptée) n'est pas trop problématiques car:

1/ On devrait avoir des sauvegardes cryptées des docs sur un autre média (surtout en milieu pro je dirais)

2/ L'accès via cryptsetup et lvm ne pose pas trop de soucis avec un bon cd d'install (même minimal). Pour l'instant (je touche du bois)  je n'ai jamais eu de soucis avec ça en mode rescue...

Pour ma part j'avais opté pour une config btrfs (qui me permet les snapshots et autres joyeusetés mais bon ça reste de l'expérimental qui d'ailleur ne m'a jamais causé aucun soucis depuis)

J'avais fait un tuto pour une install sur SSD justement de lvm + ext4 et de btrfs

(https://blogs.fsfe.org/dervishe/2013/01/25/installer-une-gentoo-64-bits-sur-un-toshiba-portege-r830-137/)

----------

