[Liste-clx] Planter mes nazes avec des clouds

François aifsair at gmail.com
Lun 26 Oct 10:55:04 CET 2015


2015-10-25 22:19 GMT+01:00 Olivier Duquesne (DaffyDuke) <daffyduke at lautre.net>:
> Salut,

Salut Daffy, waa pleins de questions!


> OVH ne supporte pas Freenas. Fait des serveurs physiques et virtuels, mais
> super cher.

J'ai un KS 3 en ce moment qui fait rien, il a 2G de stockage, ok sur
un seul disque, mais on parle de backup de backup.
Donc si tu veux jouer à le scratcher completement, ça peut le faire :)
Je crois me souvenir qu'on peut mettre un FreeBSD, sinon il doit y
avoir un mode rescue et donc possible de faire ce que tu veux (mais je
me trompe peut-être, trop de hetzner en ce moment ;))


> J'ai regardé S3 (Amazon). Ca peut. Ca reçoit les données non chiffrées par
> défaut depuis un plugin Freenas.
> Pour vraiment faire marcher le truc, il faut installer à la main gpg
> (portsnap & co) dans le jail s3cmd et adapter le script de synchro pour
> ajouter l'option --encrypt.
> C'est bien ça marche, c'est rapide. Je me suis fait avoir plusieurs fois de
> suite parce que le fichier n'est pas renommé en .gpg mais le contenu est
> bien chiffré.

Ajouter une option mv $1 $1.gpg? :D


> Mais si je veux utiliser ces données pour les jails qui seraient alors des
> EC2 (trop fort en passant Amazon j'avoue, en quelques clicks on a des Linux
> accessibles depuis internet gratuitement 750 heures), je ne vois pas de
> moyen simple de déchiffrer à la volée les données.
> Ben oui, le chiffrement gpg n'est pas basé sur une clé mais un password.

Alors, gpg c'est un couple clé publique / clé privée. Le password que
tu mets dessus c'est comme pour ssh, c'est pour venir chiffrer (de
façon symétrique cette fois) ta clé privée, histoire que si tu te la
fasse physiquement (ou plutôt virtuellement) voler, le voleur ne
puisse pas s'en servir.

>
> J'ai donc pensé à deux trucs :
> - veracrypt
> - encfs
>
>
> 1ere question :
> - peut-on redimensionner (étendre) un volume veracrypt ? dans la doc on dit
> bien non pour une partition disque, pour un volume, pas vu, ou alors j'ai
> mal traduit. Mais surtout, je n'ai pas vu de telle option dans le logiciel,
> qui soit dit en passant ressemble comme deux goûtes d'eau à TrueCrypt.

J'utilise TrueCrypt au boulot, pas moyen de faire ça visiblement. Je
sais pas pour vera.
Truc de porc: faire un deuxième volume et un unionFS par dessus?

>
> 2e question :
> J'ai déjà perdu toutes mes données à une époque où j'avais chiffré une
> dropbox avec encfs (conflit de synchro => altération de clé privée =>
> données inaccessibles).

Étrange comme problème. Ça revient à dire que tes fichiers ont été corrompus.

> Quelles sont les alternatives à encfs ?

En fait je pense qu'il faut éclairer un point que je ne pige pas quand
je lis les choses du dessus (ou alors Vera sait faire, et je savais
pas).
Il faut distinguer le chiffrement des volumes (chiffrer une partition,
qui sera montée et en écrivant dedans, ça arrivera chiffré sur le
disque) et le chiffrement de fichiers, où là c'est au userland de
savoir que le fichier .enc est chiffré et pas le fichier sans
extension (par exemple).

Parceque si tu veux backuper des fichiers "individuellement", c'est
pas pareil que de backuper ton volume de 5G qui fait une partition
"loop".

Pour répondre à la question, je suis tombé sur un thread sur
arstechnica: http://arstechnica.com/civis/viewtopic.php?f=21&t=1245367

Enfin, sous linux j'ai entendu plein de bien de duplicity. C'est envisageable?

>
> 3e question :
> Y'a t'il des hébergeurs éthiques et si possibles français qui sauraient
> répondre à un tel besoin Déjà OVH n'est pas dans les candidats dans les
> specs que j'aie vues.

Mais si mais si, tu prends un private cloud avec un rack storage + HA
+ vrack et c'est bon, pour 2KE t'as un truc éthique ;)

>
> 4e question :
> Qui devrait être la première finalement, peut-on utiliser un agent GPG sans
> clé mais un mot de passe ?

idikicomprendpas. CF chapitre au dessus. Sinon, prends une ubikey pour
mettre ta clé gpg dedans. Je sais pas si tu peux configurer le fait de
ne pas entrer ton PIN par contre.

Dernière question, qui devrait être la première: tu veux backuper
quels genre de fichiers?
Quel volumétrie (taille, nombre), à quelle fréquence de mise à jour?

>
>
> [1] : parce que c'est à la mode, parce que mes clients vont là dedans et que
> je me dois de monter en compétence, parce que c'est fun, parce que ça me
> fait peur et que j'aime le danger :-)
>
> Merci les gens,
>
> --
> Olivier Duquesne aka DaffyDuke
> http://www.coincoin.fr.eu.org
>
> _______________________________________________
> Liste-clx mailing list
> Liste-clx at clx.asso.fr
> https://listes.lautre.net/cgi-bin/mailman/listinfo/liste-clx
>


Plus d'informations sur la liste de diffusion Liste-clx