Re: Quelle stratégie contre le vol d'un serveur ?

To: debian-user-french@lists.debian.org
Subject: Re: Quelle stratégie contre le vol d'un serveur ?
From: hamster <hamster@suna.fdn.fr>
Date: Mon, 7 May 2018 16:00:09 +0200
Message-id: <[🔎] ba3e7eb0-7aed-0337-0676-03669f6104a2@suna.fdn.fr>
In-reply-to: <[🔎] CAPeT9jgfpjWngPysk98Tup7sFaMXqrQx1KVL0fLUh=zMdU+_JQ@mail.gmail.com>
References: <[🔎] CAPeT9jgfpjWngPysk98Tup7sFaMXqrQx1KVL0fLUh=zMdU+_JQ@mail.gmail.com>

Le 07/05/2018 à 15:06, Olivier a écrit :
> 1. J'imagine possible de différencier les  moyens de protection selon
> la confidentialité des informations du serveur (pas besoin de protéger
> le code binaire du programme cp, mais impératif de protéger un fichier
> contenant des mots de passe) mais c'est peut-être fastidieux de
> maintenir dans le temps une telle classification. Est-il possible de
> tout chiffrer ?

Oui, et c'est meme le mieux. Quand je dis "tout chiffrer", c'est toute
la partition, meme la "table of contents", meme le journal. Et c'est une
bonne idée de tout chiffrer, meme la partition sytème, et en particulier
la swap. Pour faire ca, luks est ton ami.

> 2. Comment se protéger contre un attaquant qui essaie une infinité de
> combinaison login-mot de passe ?

fail2ban

> 3. Comment se protéger contre un attaquant qui boote avec un disque
> externe ?

Tout chiffrer avec luks.

> 4. Un disque chiffré est-il plus fragile face aux problèmes hardware
> (bad sector, ...) ou plus compliqué à exploiter (sauvegarde,
> restauration, ...) ?

Si tu chiffre la partoche elle meme avec luks, tu y accède (et donc le
sauvegarde) comme n'importe quel système de fichier. Le noyau se charge
de tout chiffrer / déchiffrer a la volée, mais toit tu ne le vois pas.
Pour les soucis de type bloc défectueux, je sais pas te répondre. C'est
a ca que servent les sauvegardes et/ou la redondance (un serveur avec
les disques qui sont pas en raid, ca fait bizarre).

Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.

Les attaques les plus difficiles a contrer sont de type "evil maid". On
ne peut pas tout chiffrer : quand il démarre, il te demande ta phrase de
passe, le petit bout de code qui te demande ta phrase de passe ne peut
pas etre chiffré puisqu'il doit etre lu avant que tu ne donne ta phrase
de passe. Le danger est donc un attaquant qui modifie ce petit bout de
code non chiffré et lui rajoute une fonction d'enregistrement de ta
phrase de passe. Puis il laisse le serveur fonctionner comme si de rien
n'etait. La prochaine fois que tu reboote, tu tape ta phrase de passe,
ca l'enregistre quelque part et l'attaquant peut alors te voler ton truc
et lire les partitions chiffrées vu qu'il a la phrase de passe.

> 5. Existe-t-il des dispositifs matériels à prévoir pour faciliter ce
> qui précède ?

Je sais pas te répondre.

Reply to:

Follow-Ups:
- Re: Quelle stratégie contre le vol d'un serveur ?
  - From: Olivier <oza.4h07@gmail.com>

References:
- Quelle stratégie contre le vol d'un serveur ?
  - From: Olivier <oza.4h07@gmail.com>

Prev by Date: Quelle stratégie contre le vol d'un serveur ?
Next by Date: KVM et OpenVSwitch
Previous by thread: Quelle stratégie contre le vol d'un serveur ?
Next by thread: Re: Quelle stratégie contre le vol d'un serveur ?
Index(es):
- Date
- Thread