Quelle stratégie contre le vol d'un serveur ?

Le 07/05/2018 à 15:06, Olivier a écrit :

1. J'imagine possible de différencier les  moyens de protection selon
la confidentialité des informations du serveur (pas besoin de protéger
le code binaire du programme cp, mais impératif de protéger un fichier
contenant des mots de passe) mais c'est peut-être fastidieux de
maintenir dans le temps une telle classification. Est-il possible de
tout chiffrer ?

Oui, et c'est meme le mieux. Quand je dis "tout chiffrer", c'est toute
la partition, meme la "table of contents", meme le journal. Et c'est une
bonne idée de tout chiffrer, meme la partition sytème, et en particulier
la swap. Pour faire ca, luks est ton ami.

2. Comment se protéger contre un attaquant qui essaie une infinité de
combinaison login-mot de passe ?

fail2ban

3. Comment se protéger contre un attaquant qui boote avec un disque
externe ?

Tout chiffrer avec luks.

4. Un disque chiffré est-il plus fragile face aux problèmes hardware
(bad sector, ...) ou plus compliqué à exploiter (sauvegarde,
restauration, ...) ?

Si tu chiffre la partoche elle meme avec luks, tu y accède (et donc le
sauvegarde) comme n'importe quel système de fichier. Le noyau se charge
de tout chiffrer / déchiffrer a la volée, mais toit tu ne le vois pas.
Pour les soucis de type bloc défectueux, je sais pas te répondre. C'est
a ca que servent les sauvegardes et/ou la redondance (un serveur avec
les disques qui sont pas en raid, ca fait bizarre).

Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.

Les attaques les plus difficiles a contrer sont de type "evil maid". On
ne peut pas tout chiffrer : quand il démarre, il te demande ta phrase de
passe, le petit bout de code qui te demande ta phrase de passe ne peut
pas etre chiffré puisqu'il doit etre lu avant que tu ne donne ta phrase
de passe. Le danger est donc un attaquant qui modifie ce petit bout de
code non chiffré et lui rajoute une fonction d'enregistrement de ta
phrase de passe. Puis il laisse le serveur fonctionner comme si de rien
n'etait. La prochaine fois que tu reboote, tu tape ta phrase de passe,
ca l'enregistre quelque part et l'attaquant peut alors te voler ton truc
et lire les partitions chiffrées vu qu'il a la phrase de passe.

5. Existe-t-il des dispositifs matériels à prévoir pour faciliter ce
qui précède ?

Je sais pas te répondre.

andre_debian@numericable.fr writes:

As tu vu l'émission d'Élise Lucet sur FR2 il y a peu,
le danger est le chiffrage à distance d'un ordinateur.
Le pirate (et non le hacker) enverra le code de déchiffrage
contre quelques bitcoins anonymes.
Des entreprises sont alors contraintes de payer,
une ne l'a pas fait et elle a dû fermer boutique.
Mais il s'agit d'ordinateurs sous Windows...
Ce qui explique, entre autres, que plus de 50% des serveurs pros
sont maintenant sous GNU/Linux.

Avez-vous remarqué d’ailleurs, que quand on interviewe des sp écialistes
du sujet et quand on leur demande si GNU/Linux es plus sécurisé q ue
Windows, ils sont toujours embêté et n’osent pas rép ondre clairement ?
Serait-ce une volonté de ne pas se mettre les éditeurs de logicie ls à
dos ?
--
Raphaël

--Apple-Mail=_220C9886-E4C8-47D2-8A55-439FCFB19427
Content-Type: multipart/alternative;
boundary="Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3"


--Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8

Le 7 mai 2018 à 17:31, Raphaël POITEVIN <raphael.poitevin@gmail.com> a écrit :

andre_debian@numericable.fr writes:

As tu vu l'émission d'Élise Lucet sur FR2 il y a peu,
le danger est le chiffrage à distance d'un ordinateur.
Le pirate (et non le hacker) enverra le code de déchiffrage
contre quelques bitcoins anonymes.
Des entreprises sont alors contraintes de payer,
une ne l'a pas fait et elle a dû fermer boutique.
Mais il s'agit d'ordinateurs sous Windows...
Ce qui explique, entre autres, que plus de 50% des serveurs pros
sont maintenant sous GNU/Linux.

Avez-vous remarqué d’ailleurs, que quand on interviewe des spécialistes
du sujet et quand on leur demande si GNU/Linux es plus sécurisé que
Windows, ils sont toujours embêté et n’osent pas répondre clairement ?
Serait-ce une volonté de ne pas se mettre les éditeurs de logiciels à
dos ?

Ou plus simplement pour ne pas susciter de stériles challenges… Genre
« j’en ai une plus longue que la tienne ».

Sinon, je serait très intéressé pour avoir des sources sur la répartition
réelle GNU/Linux vs Windows. Les 50% annoncés, d’où viennent ils ?

Cordialement



--
Pierre Malard

« Tous les Français ambitionnent pour la France un grand rôle
dans le monde. Ce n'est point par des aventures guerrières qu'elle
le trouvera, c'est en donnant aux peuples l'exemple et le signal
de justice. »
Jean Jaures - "L'idéal de justice" - 1889
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr

perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--


--Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
charset=utf-8

<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">Le 7 mai 2018 à 17:31, Raphaël POITEVIN &lt;<a href="mailto:raphael.poitevin@gmail.com" class="">raphael.poitevin@gmail.com</a>&gt; a écrit :</div><br class="Apple-interchange-newline"><div class=""><div class=""><a href="mailto:andre_debian@numericable.fr" class="">andre_debian@numericable.fr</a> writes:<br class=""><blockquote type="cite" class="">As tu vu l'émission d'Élise Lucet sur FR2 il y a peu, <br class="">le danger est le chiffrage à distance d'un ordinateur.<br class="">Le pirate (et non le hacker) enverra le code de déchiffrage<br class="">contre quelques bitcoins anonymes.<br class="">Des entreprises sont alors contraintes de payer,<br class="">une ne l'a pas fait et elle a dû fermer boutique.<br class="">Mais il s'agit d'ordinateurs sous Windows...<br class="">Ce qui explique, entre autres, que plus de 50% des serveurs pros <br class="">sont maintenant sous GNU/Linux.<br class=""></blockquote><br class="">Avez-vous remarqué d’ailleurs, que quand on interviewe des spécialistes<br class="">du sujet et quand on leur demande si GNU/Linux es plus sécurisé que<br class="">Windows, ils sont toujours embêt é et n’osent pas répondre clairement&nbsp;?<br class="">Serait-ce une volonté de ne pas se mettre les éditeur s de logiciels à<br class="">dos&nbsp;?<br class=""></div></div></blockquote><div><br class=""></div><div>Ou plus simplement pour ne pas susciter de stériles challenges… Genre</div><div>«&nbsp;j’en ai une plus longue que la tienne&nbsp;».</div><div><br class=""></div><div>Sinon, je serait très intéressé pour avoir des sources sur la répartition&nbsp;</div><div>réelle GNU/Linux vs Windows. Les 50% annoncés, d’où viennent ils ?</div><div><br class=""></div><div>Cordialement</div><div><br class=""></div><div><br class=""></div><div><br class=""></div></div><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div style="margin: 0px; font-size: 10px; font-family: 'Courier New';" class="">--&nbsp;</div><div style="margin: 0px; font-size: 10px; font-family: 'Courier New';" class="">Pierre Malard</div><div style="margin: 0px; font-size: 10px; font-family: 'Courier New'; min-height: 11px;" class=""><br class=""></div><div style="margin: 0px; font-family: Times;" class="">&nbsp; &nbsp;«<span class="Apple-converted-space">&nbsp;</span><i class="">Tous les Français ambitionnent pour la France un grand rôle</i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">&nbsp; &nbsp;dans le monde. Ce n'est point par des aventures guerrières qu'elle</i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">&nbsp; &nbsp;le trouvera, c'est en donnant aux peuples l'exemple et le signal</i></div><div style="margin: 0px; font-family: Times;" class=""><i class="">&nbsp; &nbsp;de justice.<span class="Apple-converted-space">&nbsp;</span></i>»</div><div style="margin: 0px; font-family: Times;" class="">&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; Jean Jaures&nbsp;- "L'idéal de justice" - 1889</div><div style="margin: 0px; font-size: 10px; font-family: 'Courier New';" class="">&nbsp; &nbsp;|&nbsp; &nbsp; &nbsp;&nbsp;_,,,---,,_</div><div style="margin: 0px; font-size: 10px; font-family: 'Courier New';" class="">&nbsp;&nbsp;&nbsp;/,`.-'`'&nbsp; &nbsp;&nbsp;-.&nbsp;&nbsp;;-;;,_</div><div style="margin: 0px; font-size: 10px; font-family: 'Courier New';" class="">&nbsp;&nbsp;|,4-&nbsp;&nbsp;) )-,_. , (&nbsp;&nbsp;`'-'</div><div style="margin: 0px; font-size: 10px; font-family: 'Courier New';" class="">&nbsp;'---''(_/--'&nbsp;&nbsp;`-'_) &nbsp; πr</div><div style="margin: 0px; font-family: Times; min-height: 14px;" class=""><br class=""></div><div style="margin: 0px; font-size: 10px; font-family: 'Courier New';" class="">perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. &nbsp;;-;;,_: &nbsp;|,A- &nbsp;) )-,_. , ( &nbsp;`'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' &nbsp;`-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'</div><div style="margin: 0px; font-family: 'Courier New';" class=""><span style="font-size: 10px;" class="">- --&gt; Ce message n’engage que son auteur &lt;--</span></div></div></div>
</div>
<br class=""></body></html>
--Apple-Mail=_A9C84A22-FC37-4EA6-BCFB-93D881DE26E3--

--Apple-Mail=_220C9886-E4C8-47D2-8A55-439FCFB19427
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP

-----BEGIN PGP SIGNATURE-----
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 &kb
-----END PGP SIGNATURE-----

--Apple-Mail=_220C9886-E4C8-47D2-8A55-439FCFB19427--

Le 07/05/2018 à 17:39, Olivier a écrit :

Le 7 mai 2018 à 16:00, hamster <hamster@suna.fdn.fr
<mailto:hamster@suna.fdn.fr>> a écrit :

Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.


Faut-il saisir une  phrase de passe quand un système est chif fré ?

Bien sur, sinon le fait de chiffrer n'a pas de sens. Quand tu met une
serrure sur une porte, il faut donner un tour de clef a chaque fois que
tu veux l'ouvrir…

Si oui, à quel moment (au boot, uniquement si on boote avec une cl é,
...) ?

Ca dépend ce que tu chiffre et comment.

Si tu chiffre un fichier ou un dossier, il faut donner la phrase de
passe au moment ou tu veux y accéder.

Si tu chiffre l'intégralité d'une partoche avec luks, il faut d onner la
phrase de passe au boot si tu le démarre normalement, et au moment o u tu
veux accéder a la partoche si tu boote avec une clef puis essaye de la lire.

--001a1147e7a2d0ee51056b9fe76c
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

Le 7 mai 2018 à 17:53, hamster <hamster@suna.fdn.fr> a écrit :

Si tu chiffre l'intégralité d'une partoche avec luks, il faut d onner la
phrase de passe au boot si tu le démarre normalement, et au moment o u tu
veux accéder a la partoche si tu boote avec une clef puis essaye de la
lire.

Merci beaucoup pour ces précisions.

Dans mon cas, je chiffre la totalité du système. Au (re-)dém arrage, il
faudra saisir une passe-phrase à la console, c'est bien ça ?

--001a1147e7a2d0ee51056b9fe76c
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quo te">Le 7 mai 2018 à 17:53, hamster <span dir="ltr">&lt;<a href="ma ilto:hamster@suna.fdn.fr" target="_blank">hamster@suna.fdn.fr</a>&gt;</sp an> a écrit :<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
Si tu chiffre l&#39;intégralité d&#39;une partoche avec luks, il faut donner la<br>
phrase de passe au boot si tu le démarre normalement, et au moment ou tu<br>
veux accéder a la partoche si tu boote avec une clef puis essaye de la lire.<br>
<br>
</blockquote></div><br></div><div class="gmail_extra">Merci beaucoup pour ces précisions.<br><br></div><div class="gmail_extra">Dans mon cas, je chiffre la totalité du système. Au (re-)démarrage, il fa udra saisir une passe-phrase à la console, c&#39;est bien ça ?<br ></div></div>

--001a1147e7a2d0ee51056b9fe76c--

Le 07/05/2018 à 17:39, Olivier a écrit :

Le 7 mai 2018 à 16:00, hamster <hamster@suna.fdn.fr> a écrit :

Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.

Il y a d'autres solutions.

Faut-il saisir une phrase de passe quand un système est chiffré ?

Pas forcément.
D'une part, il n'y a pas forcément de phrase de passe. Par exemple
dm-crypt, l'infrastructure de chiffrement sur laquelle se base LUKS,
n'en utilise pas. Si on utilise dm-crypt sans LUKS, il faut fournir la
clé de chiffrement (une des rôles de LUKS consiste à chiffrer et
déchiffrer la clé de chiffrement grâce à une phrase de passe).
D'autre part, il ne faut pas forcément la /saisir/. On peut la /fournir/
par tout moyen.

Si oui, à quel moment (au boot, uniquement si on boote avec une clé, ...) ?

Au moment où on a besoin de déchiffrer le contenu. S'il s'agit du
système, au démarrage évidemment.

Les gros calculateurs sont tous sous Linux.

GNU/Linux

C'est clair, depuis 2 ans à 3 ans, microsoft a perdu la bataille
de l'informatique professionnelle au profit de Linux,
et celle des smartphones au profit d'Android.

Android est un noyau Linux ! Il faudrait dire a minima Android/Linux.

Toutes les "box" tournent sous noyau Linux à ma connaissance...

De plus en plus de commutateurs tournent sous Linux (un constructeur m'a
même dit que c'était vendeur)...

Malheureusement, en postes de travail, windows reste majoritaire,
à la communauté du Libre de le rendre minoritaire.

Je pense que la prochaine bataille est de ne pas travailler pour les
GAFA... Il faut faire très attention à mettre tous ses codes sous
copyleft (GPL ou équivalent). Google (et Apple) cherche par tous les
moyens à virer la couche GNU et l'étape d'après sera de virer la couche
GPL du noyau.

gaby
--
Gabriel Moreau - IR CNRS http://www.legi.grenoble-inp.fr
LEGI (UMR 5519) Laboratoire des Ecoulements Geophysiques et Industriels
Domaine Universitaire, CS 40700, 38041 Grenoble Cedex 9, France
mailto:Gabriel.Moreau@legi.grenoble-inp.fr tel:+33.476.825.015

On Tuesday 08 May 2018 23:39:56 Pierre Malard wrote:

Merci à tous pour ces précisions,
Elles me seront très utiles pour en rabattre avec les thuriféra ires du
Windows « vrai pro » et « sérieux » que je renco ntre par trop ces temps-ci.
Encore merci

Sans compter nombres de sites qui vantent les serveurs sous Windows,
voire, le déclarent infiniment mieux que ceux sous Linux. Et combien l e
croiront encore...
Ces gens réagissent comme ça, car vexés par leur incapacit é à manier Linux,
le presse bouton sans réfléchir, c'est plus simple.
Et Microsoft tente de rattraper son déclin du marché professionne l en se
déclarant maintenant le virtuose de l'opensource, comme si il l'avait inventé
finalement et combien le croit...

Le 8 mai 2018 à 17:43, andre_debian@numericable.fr a écrit :
https://mavielinux.com/2015/06/04/les-parts-de-marche-de-linux-en-mai-2015/
www.journaldunet.com/solutions/expert/51207/l-ecrasante-domination-de-linu x-dans-le-cloud---vers-90--de-part-de-marche.shtml
www.developpez.com/actu/101333/Spiceworks-au-moins-une-entreprise-sur-deux -dans-le-monde-utilise-encore-Windows-Server-2003-quels-systemes-serveur- utilisez-vous-en-entreprise/
Les gros calculateurs sont tous sous Linux, les impôts, les FAI, PSA. ..

'lut,

Comme tu le dis, M$ a perdu la bataille des serveurs/box/smartphone/IoT
Ok mais....

Malheureusement, en postes de travail, windows reste majoritaire,
à la communauté du Libre de le rendre minoritaire.

A mon avis, la priorité n'est plus d'amener du GNU/Linux sur des postes
mais plutôt de se débarrasser des clouds privateurs. Comment faire pour
ne plus utiliser facebook/gmail/googlemap/youtube/onedrive/dropbox ?

Et là, on a aussi du taf!

Bonne journée,

f.

ps: malgré tout, ponctuellement, une défenestration vers du debian, je
ne dis jamais non ;)

+1 sur la thread

ps: malgré tout, ponctuellement, une défenestration vers du debian, je
ne dis jamais non ;)

Une défenestration... connaissais pas !!! magnifique :)))

 PS dans une vie antérieure, passé 8 ans à benner du doze serveur 2K et
2K3 pour du Gnu/Linux Debian avec Xen avec noyau recompilé à l'époque,
Samba, Hylafax et Nuts pour la base...