Chiffrement total du serveur Proxmox

Par /

🔐 Chiffrement total du serveur Proxmox – LUKS + Dropbear SSH

🗓️ Historique

Historiquement, le serveur fonctionnait en mode déchiffré. Pour résumer : les communications étaient bien chiffrées, les sauvegardes également, mais physiquement le serveur ne l’était pas. En d’autres termes, quiconque avait la possibilité d’accéder physiquement au serveur et de récupérer les disques durs pouvait en lire les données.

🧱 Infrastructure technique et sécurité

  • Chiffrement complet avec LUKS : tous les disques du serveur Proxmox hôte sont chiffrés avec LUKS (Linux Unified Key Setup) utilisant AES-256, protégeant toutes les données au repos, y compris les machines virtuelles et leurs données. Même en cas d’accès physique aux disques, les données restent chiffrées et inaccessibles sans la clé de déverrouillage.
  • Déverrouillage à distance sécurisé : intégration de Dropbear SSH dans l’initramfs permettant de déverrouiller le serveur à distance via SSH lors du boot. L’accès se fait exclusivement par authentification par clé publique SSH, garantissant que seul un utilisateur autorisé possédant la clé privée correspondante peut se connecter. Une fois connecté via SSH, il faut entrer le mot de passe LUKS pour chaque disque chiffré afin de déverrouiller les volumes. Les clés de déverrouillage LUKS ne sont jamais transmises en clair sur le réseau.
  • Redondance d’accès distant : en cas de problème avec Dropbear SSH, un nano KVM fournit une solution de secours pour le contrôle à distance du serveur, offrant une redondance pour l’accès distant.
  • Isolation réseau : l’accès SSH dans initramfs est limité au réseau local via un VLAN dédié, réduisant l’exposition aux attaques externes. Permet de redémarrer et déverrouiller le serveur à distance, particulièrement utile pour un serveur hébergé ou difficile d’accès physiquement.

📍 Utilisation réelle

« Le chiffrement complet du serveur avec LUKS et le déverrouillage à distance via Dropbear SSH permettent de sécuriser totalement les données tout en conservant la flexibilité de gestion à distance. Cela offre une protection efficace contre les accès physiques non autorisés tout en maintenant une accessibilité pratique pour l’administration. »

Fichier mis à jour le 30 décembre 2025

Retour en haut