plus d'accès à freenas

Rosin0416

Patron
Joined
Apr 11, 2016
Messages
214
Bonjour,
En relisant l'ensemble du sujet, une question m'est venue au post #18 :
Rosin0416 said:
Voir les deux : celle pour le pool de données et celle pour le pool "system dataset" ?
Alors en théorie oui mais en fait non! :smile:
Sur le dataset système lorsqu'il est encrypté, on ne peut pas mettre de phrase de passe... Eh oui car il n'y a pas de dataset système-système pour aller lire les clés pour déchiffrer le dataset-système...
Si j'ai bien compris, dans mon installation actuelle, les clés de chiffrages pour le pool de données sont sur le pool system dataset, étant donné que mon pool system dataset est aussi chiffré, où est stockée sa clé de chiffrage à lui ?
C'est très intéressant, mais j'avoue que j'ai un peu de mal.


Imaginons le cas où le system dataset n'est pas chiffré et le pool de données l'est, ça veux dire que les clés de chiffrage sont en "clair" sur le system dataset. Du coup une personne mal intentionné devra simplement trouver la phrase de passe du pool de données. Il faut que la phrase de passe soit costaute du coup!!

D'ailleurs, comment ça se passe le démarrage du serveur lorsqu'il y a une phrase de passe, il faut du coup se connecter à la page d'administration Freenas et ouvrir une console pour taper la phrase de passe ?
Je dis ça car quand je lance mon serveur, étant donné qu'il n'y a à priori pas de phrase de passe, j'appui sur le bouton du serveur, 5-10 mn après, j'ai accès à mes partages sans aller sur la page d'administration.

Pour les sauvegardes, une solution qui peut s'automatiser serait de connecter un disque externe en USB au serveur (s'il est accessible) et de faire ensuite une sauvegarde par ce biais en automatisant avec la réplication de snapshots ou rsync. Peut-être que cela demandera un peu de script, ça je sais pas.
Oui le serveur est accessible.
C'est ce que j'avais pensé au départ, c'était pour moi la solution tip top, mais je ne savais pas du tout comment le faire à l'époque et pas plus maintenant.

Sinon, sur un ordinateur connecté au réseau et un disque externe en USB, toujours avec rsync on peut automatiser les sauvegardes.
C'est la solution que j'utilise aujourd'hui, sans la partie automatisation car je n'ai que des PC portables.

Crdlt
 
Last edited:

Pitfrr

Wizard
Joined
Feb 10, 2014
Messages
1,523
... étant donné que mon pool system dataset est aussi chiffré, où est stockée sa clé de chiffrage à lui ?
Alors c'est pour ça que avec les dernières versions de FreeNAS, le dataset system ne peut pas être chiffré (enfin je crois)!
Je n'ai pas de réponse à cette question ("où est stockée la clé"), je ne connais pas suffisamment bien le fonctionnement à ce niveau là.


En gros la manière donc cela devrait être:
  • dataset de données chiffrées
  • clé de chiffrement sur le dataset system
  • phrase de passe qui permet de chiffrer la clé
  • dataset system non chiffré

Dans ce cas, lorsque le système démarre, il se lance sans problème, accède au dataset system mais ne peut déchiffrer le dataset de données car la clé est chiffrée par une phrase de passe. Il faut une intervention de l'utilisateur pour déchiffrer le dataset de données. Il doit alors en effet se connecter à l'interface web et déverrouiller le volume (dans l'onglet stockage) en entrant la phrase de passe.

Lorsque l'on a pas entré de phrase de passe, alors tout simplement la clé est en clair sur le dataset system. Si quelqu'un ne vole que les disques de données alors il ne pourra pas les lire. Par contre s'il a pris le disque avec le dataset system... il pourra récupérer les clés et accéder aux données.

Si l'on a configuré une phrase de passe alors les clés sont chiffrées sur le dataset system et il faut entrer la phrase de passe pour déchiffrer les clés.

La phrase de passe ne doit pas être trop faible (c'est pour ça qu'on parle de phrase de passe et pas de mot de passe) mais ce n'est pas elle qui va déterminer si les données sont plus ou moins fortement chiffrées, cela est indépendant. La différence que cela fera, c'est qu'entre une phrase de passe faible (par exemple "toto") et une forte (par exemple "Mega phrase de pAsse"), l'une (la forte) sera plus résistante à une attaque par force brute où on tentera toutes les combinaisons de clés. La phrase faible sera trouvée en une fraction de seconde.
 

Rosin0416

Patron
Joined
Apr 11, 2016
Messages
214
Bonjour Pitfrr.

Encore merci
Alors c'est pour ça que avec les dernières versions de FreeNAS, le dataset system ne peut pas être chiffré (enfin je crois)!
Si on a pas le choix, ça serait une bonne chose. ça va m'éviter de retourner dans tous les sens la question de savoir si je chiffre ou pas. ! :)
Je sais que tu as donné "la bonne pratique", mais je vais quand même me poser la question.

D'où sors-tu toutes ces info sur le fonctionnement même du système, du chiffrage,...
Parce que tout n'est pas écrit dans la doc!
Etant donné que des choses ont l'air de changer dans les dernières versions (on a évoqué une clé de chiffrage par pool au lieu que ce soit par disque , tu as évoqué le fait que le system dataset n'était peut-être plus chiffrable,...), j'aimerais bien potasser et comprendre sans aller embêter les gars du forum ! :)

Cordialement
 

Pitfrr

Wizard
Joined
Feb 10, 2014
Messages
1,523
J'ai glané ces informations au gré des post du forum (j'avais en mémoire un post intéressant mais je n'arrive pas à le retrouver...).
Quand il y a un post sur le chiffrement des données, ça attire mon attention et je vais le lire.
Après ça reste superficiel car je ne vais pas toujours tout vérifier.
Ensuite il y a des ressources externes à ce forum et je me suis un peu documenter. Mais encore une fois, de manière assez superficielle.

En ce moment je m'amuse avec TrueNAS et j'avoue que la partie chiffrement n'est pas très claire.
Notamment au niveau de l'interface utilisateur. Bref, va falloir que je regarde ça de plus près...
 
Top