Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Chiffrer /var/lib/mysql

Anard

Bonjour, suite au vol de mon portable, j'en ai acheté un nouveau et ne voudrais pas faire les mêmes erreurs.
J'ai installé Ubuntu 18.04 (une partition unique pour le systèlme et le /home) et ai réinstallé le logiciel de l'association qui travaille par le biais d'un serveur Lamp sur MySql.

Les dossiers /home ne sont pas forcément sensibles, et surtout, je n'ai pas choisi le chiffrement dès l'installation. Je croyais en effet qu'un mot de passe serait demandé en plus du mot de passe utilisateur. En lisant la doc par la suite, j'ai cru comprendre que j'avais tord. Par contre, je ne vois des informations que sur le chiffrement de partitions et non de dossiers simples...

Bref, mon but serait donc de chiffrer les données de l'asso (Le dossier /var/lib/mysql) et que ceci se passe de manière transparente, c'est à dire que lorsqu'un utilisateur quelconque a ouvert une session, le dossier doit être automatiquement déchiffré. Eventuellement, est-ce qu'il serait possible suivant l'utilisateur de déchiffrer tel ou tel dossier...

Est-ce que c'est possible de manière relativement simple (sans réinstaller tout le système...) ?
Est-ce qu'il est possible d'imposer la "passphrase" ? J'ai cru comprendre dans la doc qu'Ubuntu générait une passphrase aléatoire qu'il était néccessaire de noter en cas de défaillance du disque (pour récupérer ses données). Dans l'idéal, j'aurais préféré une passphrase dont je puisse me souvenir relativement facilement.
Est-ce que je peux gérer tout ça de manière graphique (par exemple avec GnuPG) ?

Merci beaucoup pour vos précisions à ce sujet qui est encore très flou pour moi.

Anard

Re.

Je cherche un peu de mon côté et je suis tombé sur encfs et gnome-enfs-manager dans le Wiki.

Est-ce que par exemple, ça fonctionnerait correctement si j'indiquais à gnome-encfs-manager :

Répertoire à encrypter : /home/.BDD/ appartenant à mysql:mysql avec les droits 700 (comme /var/lib/mysql), contenant mysql, mysql-files et mysql-keyring, histoire que ce dossier soit accessible à tous les utilisateurs.
Point de montage : /var/lib/ pour que le dossier soit monté là où ira lire MySql

J'ai peur ainsi de rencontrer des erreurs au niveau des propriétaires et permissions de MySql ou des problèmes de lecture pour mon logiciel...

EDIT : après plusieurs essais avec encfs et gnome-encfs-manager, çaa ne fonctionne pas mais je ne omprends pas pourquoi. Il ne veut pas créer la "cachette". Je pense que c'est dû au fait que je veux monter le dossier dans /var/linb/mysql mais des précisions d'experts me serait fort utiles 😉

Anard

Bien bah je crois que j'ai fait une bêtise dans mes essais : je ne peux plus me conneter à mysql :

anard@PortableHP:~$ sudo mysql
[sudo] Mot de passe de anard : 
ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)
anard@PortableHP:~$ sudo apt -f install
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
2 partiellement installés ou enlevés.
Après cette opération, 0 o d'espace disque supplémentaires seront utilisés.
Paramétrage de mysql-server-5.7 (5.7.23-0ubuntu0.18.04.1) ...
Renaming removed key_buffer and myisam-recover options (if present)
Error occurred: Cannot select database.
mysql_upgrade failed with exit status 1
dpkg: erreur de traitement du paquet mysql-server-5.7 (--configure) :
 installed mysql-server-5.7 package post-installation script subprocess returned error exit status 1
dpkg: des problèmes de dépendances empêchent la configuration de mysql-server :
 mysql-server dépend de mysql-server-5.7 ; cependant :
 Le paquet mysql-server-5.7 n'est pas encore configuré.

dpkg: erreur de traitement du paquet mysql-server (--configure) :
 problèmes de dépendances - laissé non configuré
Aucun rapport « apport » n'a été créé car le message d'erreur indique une erreur consécutive à un échec précédent.
                                  Des erreurs ont été rencontrées pendant l'exécution :
 mysql-server-5.7
 mysql-server
E: Sub-process /usr/bin/dpkg returned an error code (1)
anard@PortableHP:~$

🙁

EDIT : Réparé en désinstallant mysql-server avec suppression de la base de données existante puis réinstall, création de la bdd + de l'utilisateur puis réimport de la base de données sauvegardée au départ. Ouf.

Par contre je ne sais toujours pas comment chiffrer ma base de données.
Aussi, je me rends compte que le logiciel que j'utilise a créé un fichier /var/www/Dolibarr/htdocs/conf/conf.php dans lequel sont écrits en clair les nom d'utilisateur et mot de passe pour la base de données. Il faudrait donc également chiffrer ce dossier... :/

bruno

Bonjour,

Si l'objectif est de protéger les données en cas de vol, il faut chiffrer l'intégralité du disque et utiliser des mots de passe forts pour les utilisateurs.

N.B. : un mot de passe dont on peut se souvenir facilement est souvent un mauvais mot de passe, sauf s'il s'agit dune phrase complète (pas une citation connue) du type : « Mes 666 fichiers sont à l’abri grâce au chiffrement fort ! »

Anard

Bonjour.
D'abord merci beauccoupp pour cette réponse... mais je me pose alors une autre question 🙂

La doc explique la démarche à suivre pour chiffrer son disque dur lors de l'installation.
Est-ce que je peux le faire danss mon cas (avec Ubuntu déjà installé et fonctionnel) en démarrant sur unn liveUSB ou est-ce que je suis obligé de reprendre l'installation de 0 ?
Voici mon partitionnement actuel. Les partitions Apple sont fonctionnelles mais pas très utilisées car Grub prend systématiquement la main sur mon bootloader. Je dois faire une manip dans le BIOS pour démarrer dessus. La machine n'est pas une Apple.

Disque /dev/sda : 465,8 GiB, 500107862016 octets, 976773168 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 4096 octets
taille d'E/S (minimale / optimale) : 4096 octets / 4096 octets
Type d'étiquette de disque : gpt
Identifiant de disque : 302692CA-7EF9-4C7F-80B3-EA51AF361C0E

Périphérique     Début       Fin  Secteurs Taille Type
/dev/sda1           40    409639    409600   200M Système EFI
/dev/sda2       409640 526185679 525776040 250,7G HFS ou HFS+ Apple
/dev/sda3    526185680 527455215   1269536 619,9M Amorçage Apple
/dev/sda4    527455216 976510983 449055768 214,1G Système de fichiers Linux

Merci.

bruno

Je ne sais pas si cette doc est toujours d'actualité. Ubuntu offre une option de chiffrement intégral au moment de l'installation. Je ne sais pas non plus s'il est possible de chiffrer la partition système après l'installation (j'en doute avec les outils décrits dans la doc).

Hoper

Le plus simple est d'isoler /var (le mettre sur sa propre partition, ou dans son propre volume logique LVM) et de le chiffrer.