web-dev-qa-db-fra.com

Comment dois-je configurer le cryptage d'échange le 18.04?

Les choses changent avec le temps. La dernière question que j'ai trouvée sur ce sujet date de 2014 et semble faire référence à 14.04. Nous courons le serveur 18.04. Quelle est la manière actuelle de configurer le cryptage d'échange? Le processus préféré est-il toujours le même?

La configuration requise est la suivante: lors du boot clear swap, créez une clé et activez le cryptage du swap. À l’arrêt/redémarrage, oubliez la clé.

La documentation qui me concerne est destinée aux ordinateurs de bureau/portables. Elle est axée sur l'hibernation et vous oblige à fournir un mot de passe au démarrage. Elle n'est donc pas une option appropriée pour les serveurs.

Dans les commentaires ci-dessous, j'ai suggéré:

  • ecryptfs-setup-swap
  • cryptsetup

Si nous ajoutons d'autres options actuellement inconnues à cette liste, quelle est la méthode préférée? Je pense que ce serveur durera environ 5 ans. Est-ce que l'un est meilleur qu'un autre? Comment?

serverencryptionswap
1
Paul Chubb

À partir de Bionic 18.04, les deux approches principales pour le cryptage des échanges consistent à utiliser les outils cryptsetup/LUKS ou ecrypt *.

Selon Will Cook de Canonical (techradar.com/news/ubuntu-bionic-beaver-1804-lts-has-landed/6), l'ensemble d'outils ecrypt a été déplacé de l'univers principal à l'univers avec la sortie du 18.04. La raison en était que les outils ne recevaient pas le niveau de développement et de support des développeurs qu'ils étaient auparavant et qu'ils perdaient donc peu à peu en qualité et en valeur. À la base, Canonical n’a pas confiance en ces outils à long terme et, à moins que quelque chose ne change, il est prudent de dire qu’ils ne doivent pas être préférés.

Comme indiqué, les outils cryptsetup/LUKS sont dans la documentation actuelle, bien que ce soit pour un cas d'utilisation différent. Ils sont également dans la ligne principale du référentiel, ce qui, selon l'article de techradar, en font des citoyens de première classe dans l'écosystème Ubuntu.

LUKS est un schéma de chiffrement basé sur le noyau. Généralement, les choses qui sont déplacées dans le noyau sont considérées comme le premier choix simplement en raison du support à long terme. De nombreux projets d’espace utilisateur sont remplacés par des installations basées sur le noyau. Dans le même temps, les installations basées sur le noyau ont tendance à être remplacées plutôt que de simplement mourir sur l’arbre. IPChains était un exemple. C'était un pare-feu basé sur le noyau. Il a été remplacé par IPTables/Netfilter.

Salut Paul

1
Paul Chubb