Quelle stratégie contre le vol d'un serveur ?

Le
Olivier
--000000000000425845056b9d57bc
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Bonjour,

Imaginons un serveur Debian
Quelle stratégie mettre en place pour diminuer au maximum les cons=
quences
néfastes suite à un vol du serveur ?

Quelques réflexions en vrac:

1. J'imagine possible de différencier les moyens de protection selon =
la
confidentialité des informations du serveur (pas besoin de protég=
er le code
binaire du programme cp, mais impératif de protéger un fichier co=
ntenant
des mots de passe) mais c'est peut-être fastidieux de maintenir dans l=
e
temps une telle classification. Est-il possible de tout chiffrer ?

2. Comment se protéger contre un attaquant qui essaie une infinit=
de
combinaison login-mot de passe ?

3. Comment se protéger contre un attaquant qui boote avec un disque ex=
terne
?

4. Un disque chiffré est-il plus fragile face aux problèmes hardw=
are (bad
sector, ) ou plus compliqué à exploiter (sauvegarde, restaurat=
ion, ) ?

5. Existe-t-il des dispositifs matériels à prévoir pour faci=
liter ce qui
précède ?

Slts

--000000000000425845056b9d57bc
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div><div><div><div><div><div>Bonjour,<br><br></div>Imagin=
ons un serveur Debian<br></div>Quelle stratégie mettre en place pour d=
iminuer au maximum les conséquences néfastes suite à un vol =
du serveur ?<br></div><br></div><div>Quelques réflexions en vrac:<br><=
br></div>1. J&#39;imagine possible de différencier les  moyens de=
protection selon la confidentialité des informations du serveur (pas =
besoin de protéger le code binaire du programme cp, mais impérati=
f de protéger un fichier contenant des mots de passe) mais c&#39;est p=
eut-être fastidieux de maintenir dans le temps une telle classificatio=
n. Est-il possible de tout chiffrer ?<br><br></div>2. Comment se proté=
ger contre un attaquant qui essaie une infinité de combinaison login-m=
ot de passe ?<br><br>3. Comment se protéger contre un attaquant qui bo=
ote avec un disque externe ?<br><br></div><div>4. Un disque chiffré es=
t-il plus fragile face aux problèmes hardware (bad sector, ) ou plu=
s compliqué à exploiter (sauvegarde, restauration, ) ?<br><br>=
</div><div>5. Existe-t-il des dispositifs matériels à prévoi=
r pour faciliter ce qui précède ?<br></div><div><br></div>Slts<br=
><div><div><div><div><div><br></div></div></div></div></div></div>

--000000000000425845056b9d57bc--
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
hamster
Le #26474159
Le 07/05/2018 à 15:06, Olivier a écrit :
1. J'imagine possible de différencier les  moyens de protection selon
la confidentialité des informations du serveur (pas besoin de protéger
le code binaire du programme cp, mais impératif de protéger un fichier
contenant des mots de passe) mais c'est peut-être fastidieux de
maintenir dans le temps une telle classification. Est-il possible de
tout chiffrer ?

Oui, et c'est meme le mieux. Quand je dis "tout chiffrer", c'est toute
la partition, meme la "table of contents", meme le journal. Et c'est une
bonne idée de tout chiffrer, meme la partition sytème, et en particulier
la swap. Pour faire ca, luks est ton ami.
2. Comment se protéger contre un attaquant qui essaie une infinité de
combinaison login-mot de passe ?

fail2ban
3. Comment se protéger contre un attaquant qui boote avec un disque
externe ?

Tout chiffrer avec luks.
4. Un disque chiffré est-il plus fragile face aux problèmes hardware
(bad sector, ...) ou plus compliqué à exploiter (sauvegarde,
restauration, ...) ?

Si tu chiffre la partoche elle meme avec luks, tu y accède (et donc le
sauvegarde) comme n'importe quel système de fichier. Le noyau se charge
de tout chiffrer / déchiffrer a la volée, mais toit tu ne le vois pas.
Pour les soucis de type bloc défectueux, je sais pas te répondre. C'est
a ca que servent les sauvegardes et/ou la redondance (un serveur avec
les disques qui sont pas en raid, ca fait bizarre).
Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.
Les attaques les plus difficiles a contrer sont de type "evil maid". On
ne peut pas tout chiffrer : quand il démarre, il te demande ta phrase de
passe, le petit bout de code qui te demande ta phrase de passe ne peut
pas etre chiffré puisqu'il doit etre lu avant que tu ne donne ta phrase
de passe. Le danger est donc un attaquant qui modifie ce petit bout de
code non chiffré et lui rajoute une fonction d'enregistrement de ta
phrase de passe. Puis il laisse le serveur fonctionner comme si de rien
n'etait. La prochaine fois que tu reboote, tu tape ta phrase de passe,
ca l'enregistre quelque part et l'attaquant peut alors te voler ton truc
et lire les partitions chiffrées vu qu'il a la phrase de passe.
5. Existe-t-il des dispositifs matériels à prévoir pour faciliter ce
qui précède ?

Je sais pas te répondre.
raphael.poitevin
Le #26474160
writes:
As tu vu l'émission d'Élise Lucet sur FR2 il y a peu,
le danger est le chiffrage à distance d'un ordinateur.
Le pirate (et non le hacker) enverra le code de déchiffrage
contre quelques bitcoins anonymes.
Des entreprises sont alors contraintes de payer,
une ne l'a pas fait et elle a dû fermer boutique.
Mais il s'agit d'ordinateurs sous Windows...
Ce qui explique, entre autres, que plus de 50% des serveurs pros
sont maintenant sous GNU/Linux.

Avez-vous remarqué d’ailleurs, que quand on interviewe des sp écialistes
du sujet et quand on leur demande si GNU/Linux es plus sécurisé q ue
Windows, ils sont toujours embêté et n’osent pas rép ondre clairement ?
Serait-ce une volonté de ne pas se mettre les éditeurs de logicie ls à
dos ?
--
Raphaël
Pierre Malard
Le #26474162
--Apple-Mail=_220C9886-E4C8-47D2-8A55-439FCFB19427
Content-Type: multipart/alternative;
boundary="Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3"
--Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Le 7 mai 2018 à 17:31, Raphaël POITEVIN writes:
As tu vu l'émission d'Élise Lucet sur FR2 il y a peu,
le danger est le chiffrage à distance d'un ordinateur.
Le pirate (et non le hacker) enverra le code de déchiffrage
contre quelques bitcoins anonymes.
Des entreprises sont alors contraintes de payer,
une ne l'a pas fait et elle a dû fermer boutique.
Mais il s'agit d'ordinateurs sous Windows...
Ce qui explique, entre autres, que plus de 50% des serveurs pros
sont maintenant sous GNU/Linux.

Avez-vous remarqué d’ailleurs, que quand on interviewe des spécialistes
du sujet et quand on leur demande si GNU/Linux es plus sécurisé que
Windows, ils sont toujours embêté et n’osent pas répondre clairement ?
Serait-ce une volonté de ne pas se mettre les éditeurs de logiciels à
dos ?

Ou plus simplement pour ne pas susciter de stériles challenges… Genre
« j’en ai une plus longue que la tienne ».
Sinon, je serait très intéressé pour avoir des sources sur la répartition
réelle GNU/Linux vs Windows. Les 50% annoncés, d’où viennent ils ?
Cordialement

--
Pierre Malard
« Tous les Français ambitionnent pour la France un grand rôle
dans le monde. Ce n'est point par des aventures guerrières qu'elle
le trouvera, c'est en donnant aux peuples l'exemple et le signal
de justice. »
Jean Jaures - "L'idéal de justice" - 1889
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8
</div>
<br class=""></body></html>
--Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3--
--Apple-Mail=_220C9886-E4C8-47D2-8A55-439FCFB19427
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----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 &kb
-----END PGP SIGNATURE-----
--Apple-Mail=_220C9886-E4C8-47D2-8A55-439FCFB19427--
hamster
Le #26474161
Le 07/05/2018 à 17:39, Olivier a écrit :
Le 7 mai 2018 à 16:00, hamster
Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.
Faut-il saisir une  phrase de passe quand un système est chif fré ?

Bien sur, sinon le fait de chiffrer n'a pas de sens. Quand tu met une
serrure sur une porte, il faut donner un tour de clef a chaque fois que
tu veux l'ouvrir…
Si oui, à quel moment (au boot, uniquement si on boote avec une cl é,
...) ?

Ca dépend ce que tu chiffre et comment.
Si tu chiffre un fichier ou un dossier, il faut donner la phrase de
passe au moment ou tu veux y accéder.
Si tu chiffre l'intégralité d'une partoche avec luks, il faut d onner la
phrase de passe au boot si tu le démarre normalement, et au moment o u tu
veux accéder a la partoche si tu boote avec une clef puis essaye de la lire.
Olivier
Le #26474166
--001a1147e7a2d0ee51056b9fe76c
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Le 7 mai 2018 à 17:53, hamster
Si tu chiffre l'intégralité d'une partoche avec luks, il faut d onner la
phrase de passe au boot si tu le démarre normalement, et au moment o u tu
veux accéder a la partoche si tu boote avec une clef puis essaye de la
lire.


Merci beaucoup pour ces précisions.
Dans mon cas, je chiffre la totalité du système. Au (re-)dém arrage, il
faudra saisir une passe-phrase à la console, c'est bien ça ?
--001a1147e7a2d0ee51056b9fe76c
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<br>
Si tu chiffre l&#39;intégralité d&#39;une partoche avec luks, il faut donner la<br>
phrase de passe au boot si tu le démarre normalement, et au moment ou tu<br>
veux accéder a la partoche si tu boote avec une clef puis essaye de la lire.<br>
<br>
--001a1147e7a2d0ee51056b9fe76c--
Pascal Hambourg
Le #26474171
Le 07/05/2018 à 17:39, Olivier a écrit :
Le 7 mai 2018 à 16:00, hamster
Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.


Il y a d'autres solutions.
Faut-il saisir une phrase de passe quand un système est chiffré ?

Pas forcément.
D'une part, il n'y a pas forcément de phrase de passe. Par exemple
dm-crypt, l'infrastructure de chiffrement sur laquelle se base LUKS,
n'en utilise pas. Si on utilise dm-crypt sans LUKS, il faut fournir la
clé de chiffrement (une des rôles de LUKS consiste à chiffrer et
déchiffrer la clé de chiffrement grâce à une phrase de passe).
D'autre part, il ne faut pas forcément la /saisir/. On peut la /fournir/
par tout moyen.
Si oui, à quel moment (au boot, uniquement si on boote avec une clé, ...) ?

Au moment où on a besoin de déchiffrer le contenu. S'il s'agit du
système, au démarrage évidemment.
Gabriel Moreau
Le #26474257
Les gros calculateurs sont tous sous Linux.

GNU/Linux
C'est clair, depuis 2 ans à 3 ans, microsoft a perdu la bataille
de l'informatique professionnelle au profit de Linux,
et celle des smartphones au profit d'Android.

Android est un noyau Linux ! Il faudrait dire a minima Android/Linux.
Toutes les "box" tournent sous noyau Linux à ma connaissance...
De plus en plus de commutateurs tournent sous Linux (un constructeur m'a
même dit que c'était vendeur)...
Malheureusement, en postes de travail, windows reste majoritaire,
à la communauté du Libre de le rendre minoritaire.

Je pense que la prochaine bataille est de ne pas travailler pour les
GAFA... Il faut faire très attention à mettre tous ses codes sous
copyleft (GPL ou équivalent). Google (et Apple) cherche par tous les
moyens à virer la couche GNU et l'étape d'après sera de virer la couche
GPL du noyau.
gaby
--
Gabriel Moreau - IR CNRS http://www.legi.grenoble-inp.fr
LEGI (UMR 5519) Laboratoire des Ecoulements Geophysiques et Industriels
Domaine Universitaire, CS 40700, 38041 Grenoble Cedex 9, France
mailto: tel:+33.476.825.015
andre_debian
Le #26474280
On Tuesday 08 May 2018 23:39:56 Pierre Malard wrote:
Merci à tous pour ces précisions,
Elles me seront très utiles pour en rabattre avec les thuriféra ires du
Windows « vrai pro » et « sérieux » que je renco ntre par trop ces temps-ci.
Encore merci

Sans compter nombres de sites qui vantent les serveurs sous Windows,
voire, le déclarent infiniment mieux que ceux sous Linux. Et combien l e
croiront encore...
Ces gens réagissent comme ça, car vexés par leur incapacit é à manier Linux,
le presse bouton sans réfléchir, c'est plus simple.
Et Microsoft tente de rattraper son déclin du marché professionne l en se
déclarant maintenant le virtuose de l'opensource, comme si il l'avait inventé
finalement et combien le croit...
Le 8 mai 2018 à 17:43, a écrit :
https://mavielinux.com/2015/06/04/les-parts-de-marche-de-linux-en-mai-2015/
www.journaldunet.com/solutions/expert/51207/l-ecrasante-domination-de-linu x-dans-le-cloud---vers-90--de-part-de-marche.shtml
www.developpez.com/actu/101333/Spiceworks-au-moins-une-entreprise-sur-deux -dans-le-monde-utilise-encore-Windows-Server-2003-quels-systemes-serveur- utilisez-vous-en-entreprise/
Les gros calculateurs sont tous sous Linux, les impôts, les FAI, PSA. ..
fab
Le #26474290
'lut,
Comme tu le dis, M$ a perdu la bataille des serveurs/box/smartphone/IoT
Ok mais....
Malheureusement, en postes de travail, windows reste majoritaire,
à la communauté du Libre de le rendre minoritaire.

A mon avis, la priorité n'est plus d'amener du GNU/Linux sur des postes
mais plutôt de se débarrasser des clouds privateurs. Comment faire pour
ne plus utiliser facebook/gmail/googlemap/youtube/onedrive/dropbox ?
Et là, on a aussi du taf!
Bonne journée,
f.
ps: malgré tout, ponctuellement, une défenestration vers du debian, je
ne dis jamais non ;)
Stéphane Rivière
Le #26474314
+1 sur la thread
ps: malgré tout, ponctuellement, une défenestration vers du debian, je
ne dis jamais non ;)

Une défenestration... connaissais pas !!! magnifique :)))
 PS dans une vie antérieure, passé 8 ans à benner du doze serveur 2K et
2K3 pour du Gnu/Linux Debian avec Xen avec noyau recompilé à l'époque,
Samba, Hylafax et Nuts pour la base...
Publicité
Poster une réponse
Anonyme