Le Luks sur les disques ça se déchiffre aussi par ssh, donc pas besoin de transmettre le code à quelqu'un sur place.

Et pour le TPM si le client a la main sur le bios, il a aussi la main sur TPM donc ça ne règle pas ton problème.

Pour la migration sur un autre OS pas une priorité ouah c'est énorme pour une distro qui vient de mourir, ça devrait être une urgence. Quand vous arriverez plus à installer CentOS sur un bare metal parce que le kernel est trop vieux et ne reconnait pas la carte réseau ou des périphériques vitaux vous serez au pied du mur.

Le but est de "sécuriser" la propriété intellectuelle de la boîte sur des machines qui seront hébergées chez les clients et la compagnie ne veut pas que quelqu'un puisse dupliquer les disques durs. Donc impossible d'avoir une personne connaissant le mot de passe chez le client.

Pour Centos la migration sous un autre OS n'est pas une priorité actuellement par la direction

Merci pour l'aide

Herve

On Tue, Nov 2, 2021 at 1:04 PM Wallace <wallace@morkitu.org> wrote:

Vous avez vraiment confiance dans TPM? Qui des master keys des constructeurs (inévitables sur le marché US)?

Je préfère largement qu'un utilisateur soit le seul à connaître son mot de passe, éventuellement set un deuxième mot de passe de secours pour un parc d'ordinateurs. Il le saisit au boot et on en parle plus. Ajouté un mot de passe pour protéger le bios et le changement de disque de démarrage et on est bien niveau sécurité.

En mode zero trust je ne vois pas comment on peut faire confiance au TPM. Et autre avantage de cette approche, tu peux enlever le disque et le mettre dans un autre ordinateur, l'utilisateur repart directement, avec TPM il faut réinstaller obligatoirement.

PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre 2020, autant installer directement sur une autre distro RPM équivalente, autant éviter une migration sous peu.

Le 02/11/2021 à 17:32, Florent CARRÉ a écrit :

Hello,

Tu peux suivre la documentation officielle de red hat qui utilise clevis pour aussi bien utiliser un network server ou un tpm v2:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening

https://github.com/latchset/clevis

J'espère que cela t'aidera

On Tue, Nov 2, 2021, 08:10 Dang Herve <dangherve@gmail.com> wrote:

Bonjour

Je cherche à chiffrer un disque et le déverrouiller automatiquement au démarrage avec un TPM sous Centos.

Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal faire une étape.

La seule chose que l'on veut faire est de se prévenir d'une copie de disque en dehors de notre système

Merci

Herve

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/