cerhu > linux.debian.user.french

Olivier (07/05/2018, 15h10)
Bonjour,

Imaginons un serveur Debian
Quelle stratégie mettre en place pour diminuer au maximum les conséquences
néfastes suite à un vol du serveur ?

Quelques réflexions en vrac:

1. J'imagine possible de différencier les moyens de protection selon la
confidentialité des informations du serveur (pas besoin de protéger le code
binaire du programme cp, mais impératif de protéger un fichier contenant
des mots de passe) mais c'est peut-être fastidieux de maintenir dans le
temps une telle classification. Est-il possible de tout chiffrer ?

2. Comment se protéger contre un attaquant qui essaie une infinité de
combinaison login-mot de passe ?

3. Comment se protéger contre un attaquant qui boote avec un disque externe
?

4. Un disque chiffré est-il plus fragile face aux problèmes hardware (bad
sector, ...) ou plus compliqué à exploiter (sauvegarde, restauration, ...) ?

5. Existe-t-il des dispositifs matériels à prévoir pour faciliter ce qui
précède ?

Slts
hamster (07/05/2018, 16h10)
Le 07/05/2018 à 15:06, Olivier a écrit :
> 1. J'imagine possible de différencier les  moyens de protection selon
> la confidentialité des informations du serveur (pas besoin de protéger
> le code binaire du programme cp, mais impératif de protéger un fichier
> contenant des mots de passe) mais c'est peut-être fastidieux de
> maintenir dans le temps une telle classification. Est-il possible de
> tout chiffrer ?


Oui, et c'est meme le mieux. Quand je dis "tout chiffrer", c'est toute
la partition, meme la "table of contents", meme le journal. Et c'est une
bonne idée de tout chiffrer, meme la partition sytème, et en particulier
la swap. Pour faire ca, luks est ton ami.

> 2. Comment se protéger contre un attaquant qui essaie une infinité de
> combinaison login-mot de passe ?


fail2ban

> 3. Comment se protéger contre un attaquant qui boote avec un disque
> externe ?


Tout chiffrer avec luks.

> 4. Un disque chiffré est-il plus fragile face aux problèmes hardware
> (bad sector, ...) ou plus compliqué à exploiter (sauvegarde,
> restauration, ...) ?


Si tu chiffre la partoche elle meme avec luks, tu y accède (et donc le
sauvegarde) comme n'importe quel système de fichier. Le noyau se charge
de tout chiffrer / déchiffrer a la volée, mais toit tu ne le vois pas.
Pour les soucis de type bloc défectueux, je sais pas te répondre. C'est
a ca que servent les sauvegardes et/ou la redondance (un serveur avec
les disques qui sont pas en raid, ca fait bizarre).

Pour les oublis de phrase de passe par contre, y'a pas de solution
miracle : il faut s'en rappeller.

Les attaques les plus difficiles a contrer sont de type "evil maid". On
ne peut pas tout chiffrer : quand il démarre, il te demande ta phrase de
passe, le petit bout de code qui te demande ta phrase de passe ne peut
pas etre chiffré puisqu'il doit etre lu avant que tu ne donne ta phrase
de passe. Le danger est donc un attaquant qui modifie ce petit bout de
code non chiffré et lui rajoute une fonction d'enregistrement de ta
phrase de passe. Puis il laisse le serveur fonctionner comme si de rien
n'etait. La prochaine fois que tu reboote, tu tape ta phrase de passe,
ca l'enregistre quelque part et l'attaquant peut alors te voler ton truc
et lire les partitions chiffrées vu qu'il a la phrase de passe.

> 5. Existe-t-il des dispositifs matériels à prévoir pour faciliter ce
> qui précède ?


Je sais pas te répondre.
andre_debian (07/05/2018, 17h30)
On Monday 07 May 2018 15:06:41 Olivier wrote:
> Imaginons un serveur Debian :


ou tout autre serveur finalement :-)

> Quelle stratégie mettre en place pour diminuer au maximum les
> conséquences néfastes suite à un vol du serveur ?


Sauf si le contenu de la partition du serveur est chiffré,
si le serveur est physiquement volé,
ou que le pirate a le temps de rester devant l'ordinateur seul,
il pourra faire ce qu'il veut avec un live-CD.
Aucune parade possible dans ce cas.

C'est très rare que des ordinateurs soient volés dans des data-center,
ils sont tellement sécurisés au niveau des entrées.

[..]
> sector, ...) ou plus compliqué à exploiter (sauvegarde, restauration,...) ?
> 5. Existe-t-il des dispositifs matériels à prévoir pour faciliter ce qui
> précède ?


La menace réside plutôt ici :
Pour empêcher des intrusions à distance sur le serveur, que veux tu blinder ?
C'est un vaste sujet.
SSH essentiellement je pense,
et le serveur Web + site, empêcher des réinjections de codes php et sql.
Il y a bien des solutions proposées sur le net.

As tu vu l'émission d'Élise Lucet sur FR2 il y a peu,
le danger est le chiffrage à distance d'un ordinateur.
Le pirate (et non le hacker) enverra le code de déchiffrage
contre quelques bitcoins anonymes.
Des entreprises sont alors contraintes de payer,
une ne l'a pas fait et elle a dû fermer boutique.
Mais il s'agit d'ordinateurs sous Windows...
Ce qui explique, entre autres, que plus de 50% des serveurs pros
sont maintenant sous GNU/Linux.

André
Raphaël POITEVIN (07/05/2018, 17h40)
andre_debian writes:
> As tu vu l'émission d'Élise Lucet sur FR2 il y a peu,
> le danger est le chiffrage à distance d'un ordinateur.
> Le pirate (et non le hacker) enverra le code de déchiffrage
> contre quelques bitcoins anonymes.
> Des entreprises sont alors contraintes de payer,
> une ne l'a pas fait et elle a dû fermer boutique.
> Mais il s'agit d'ordinateurs sous Windows...
> Ce qui explique, entre autres, que plus de 50% des serveurs pros
> sont maintenant sous GNU/Linux.


Avez-vous remarqué d?ailleurs, que quand on interviewe des spécialistes
du sujet et quand on leur demande si GNU/Linux es plus sécurisé que
Windows, ils sont toujours embêté et n?osent pas répondre clairement ?
Serait-ce une volonté de ne pas se mettre les éditeurs de logiciels à
dos ?
Olivier (07/05/2018, 17h40)
Le 7 mai 2018 à 16:00, hamster <hamster> a écrit :

>> Pour les oublis de phrase de passe par contre, y'a pas de solution

> miracle : il faut s'en rappeller.
>Faut-il saisir une phrase de passe quand un système est chiffré ?

Si oui, à quel moment (au boot, uniquement si on boote avec une clé, ...) ?
Pierre Malard (07/05/2018, 17h50)
> Le 7 mai 2018 à 17:31, Raphaël POITEVIN <raphael.poitevin> a écrit :
> andre_debian writes:
> Avez-vous remarqué d?ailleurs, que quand on interviewe des spécialistes
> du sujet et quand on leur demande si GNU/Linux es plus sécuriséque
> Windows, ils sont toujours embêté et n?osent pas répondre clairement ?
> Serait-ce une volonté de ne pas se mettre les éditeurs de logiciels à
> dos ?


Ou plus simplement pour ne pas susciter de stériles challenges?Genre
« j?en ai une plus longue que la tienne ».

Sinon, je serait très intéressé pour avoir des sources sur la répartition
réelle GNU/Linux vs Windows. Les 50% annoncés, d?oùviennent ils ?

Cordialement
hamster (07/05/2018, 18h00)
Le 07/05/2018 à 17:39, Olivier a écrit :
> Le 7 mai 2018 à 16:00, hamster <hamster
> <mailto:hamster>> a écrit :
> Pour les oublis de phrase de passe par contre, y'a pas de solution
> miracle : il faut s'en rappeller.
>> Faut-il saisir une  phrase de passe quand un système est chiffré ?


Bien sur, sinon le fait de chiffrer n'a pas de sens. Quand tu met une
serrure sur une porte, il faut donner un tour de clef a chaque fois que
tu veux l'ouvrir?

> Si oui, à quel moment (au boot, uniquement si on boote avec une clé,
> ...) ?


Ca dépend ce que tu chiffre et comment.

Si tu chiffre un fichier ou un dossier, il faut donner la phrase de
passe au moment ou tu veux y accéder.

Si tu chiffre l'intégralité d'une partoche avec luks, il faut donner la
phrase de passe au boot si tu le démarre normalement, et au moment ou tu
veux accéder a la partoche si tu boote avec une clef puis essaye de la lire.
Olivier (07/05/2018, 18h20)
Le 7 mai 2018 à 17:53, hamster <hamster> a écrit :

>> Si tu chiffre l'intégralité d'une partoche avec luks, il faut donner la

> phrase de passe au boot si tu le démarre normalement, et au moment ou tu
> veux accéder a la partoche si tu boote avec une clef puis essaye de la
> lire.
>Merci beaucoup pour ces précisions.


Dans mon cas, je chiffre la totalité du système. Au (re-)démarrage, il
faudra saisir une passe-phrase à la console, c'est bien ça ?
Wallace (07/05/2018, 18h30)
Le 07/05/2018 à 17:22, andre_debian a écrit :
> On Monday 07 May 2018 15:06:41 Olivier wrote:
> ou tout autre serveur finalement :-)
> Sauf si le contenu de la partition du serveur est chiffré,
> si le serveur est physiquement volé,
> ou que le pirate a le temps de rester devant l'ordinateur seul,
> il pourra faire ce qu'il veut avec un live-CD.
> Aucune parade possible dans ce cas.
> C'est très rare que des ordinateurs soient volés dans des data-center,
> ils sont tellement sécurisés au niveau des entrées.

Alors sans parler de vol, on peut parler de vol légal ou d'abus de
pouvoir, exemple :
- requête judiciaire par forcément fondée (pour constater et embêter
plus qu'autre chose) avec retrait des serveurs pour expertise judiciaire
- duplication de machine virtuelle et analyse vécu plusieurs fois fait
par des hébergeurs pas neutres du tout ou par des clients curieux de
comprendre comment nos installations Linux marchaient mieux que les
leurs sur leur cloud privé

Le chiffrement de serveur est donc plus utile qu'on ne le pense.

>> Ce qui explique, entre autres, que plus de 50% des serveurs pros

> sont maintenant sous GNU/Linux.

Une personne chez Azur MS disait lors d'une conférence d'une solution
open source que plus de 60% de leurs serveurs hébergés sur leur cloud
sont sous Linux. Et un autre chiffre d'estimation basé plus sur la
partie web parle de 80% de serveurs Linux. Vu le nombre d'instance chez
Azur plutôt orienté Windows et le taux bien plus haut en usage web donne
la fourchette de la vrai valeur entre 60 et 80%.
Pascal Hambourg (07/05/2018, 20h20)
Le 07/05/2018 à 17:39, Olivier a écrit :
> Le 7 mai 2018 à 16:00, hamster <hamster> a écrit :
>> Pour les oublis de phrase de passe par contre, y'a pas de solution
>> miracle : il faut s'en rappeller.


Il y a d'autres solutions.

> Faut-il saisir une phrase de passe quand un système est chiffré ?


Pas forcément.
D'une part, il n'y a pas forcément de phrase de passe. Par exemple
dm-crypt, l'infrastructure de chiffrement sur laquelle se base LUKS,
n'en utilise pas. Si on utilise dm-crypt sans LUKS, il faut fournir la
clé de chiffrement (une des rôles de LUKS consiste à chiffrer et
déchiffrer la clé de chiffrement grâce à une phrase de passe).
D'autre part, il ne faut pas forcément la /saisir/. On peut la /fournir/
par tout moyen.

> Si oui, à quel moment (au boot, uniquement si on boote avec une clé, ...) ?


Au moment où on a besoin de déchiffrer le contenu. S'il s'agit du
système, au démarrage évidemment.
Jérôme (08/05/2018, 14h40)
On Mon, 7 May 2018 17:44:20 +0200
Pierre Malard <plm> a écrit :

> Ou plus simplement pour ne pas susciter de stériles challenges? Genre
> « j?en ai une plus longue que la tienne ».
> Sinon, je serait très intéressé pour avoir des sources surla répartition
> réelle GNU/Linux vs Windows. Les 50% annoncés, d?où viennent ils ?
> Cordialement


C'est très facile pour les serveurs web, il suffit de les interroger.
Contrairement aux postes clients, s'ils donnent plus ou moins de détails
selon les réglages, ils ne se font pas passer pour des windows XP ;)

Après, pour les serveurs hors web, je suppose qu'ils font des enquêtes comme
tout le monde quand on fait des stats. Il y en a qui doivent avoir des
chiffres plus précis et détaillés, grâce a l'espionnagegénéralisé (qui n'a
rien a voir avec l'espionnage industriel, juré-craché), encore faut-il avoir
la capacité a tirer des informations pertinentes au tsunami de données
générées, il y a un goulet d'étranglement au niveau desinterfaces
chaises-claviers entre autres...

Je ne connais pas la précisions des résultats et surtout la méthodologie
employée ce qui est le plus important pour qu'une publication de
statistiques ait une quelconque valeur non pifométrique :

- Méthode de collecte, échantillon....
- Serveur sur le web (facile a trouver) ou dans un réseau (demande une
enquête de terrain, et le terrain comprend quels pays ?).
- C'est quoi un serveur ? Matériel, logique ? Une machine
virtuelle, une mini-machine en grappe comme les caissons de chez Google ?
Un serveur de mails ? de base de donnée ? la réponse est de moins
en moins évidente et ne se satisfait pas du tout d'un unique chiffredans un
titre de journaleux.

....

Si on se fie au passé, les enquêtes on systématiquement caviardé les
résultats et la méthodologie utilisée pour pénaliser Linux par rapport a des
clients plus rémunérateurs... donc s'ils disent 50% ça ne risque pas d'être
moins et peut être beaucoup plus, ce que je crois.
andre_debian (08/05/2018, 17h50)
On Monday 07 May 2018 17:44:20 Pierre Malard wrote:
> Sinon, je serait très intéressé pour avoir des sources surla répartition
> réelle GNU/Linux vs Windows. Les 50% annoncés, d?où viennent ils ?


En 2015, soit 3 ans :
"Serveurs : Windows Server détient 30% des parts de marché derrière Linux
avec 38%. BSD est à 1% et les autres basés sur Unix se maintiennent vers les
30%. Ces chiffres peuvent varier suivant le type de serveur analysé " :
[..]

"À la domination de Microsoft sur le poste de travail répond une domination de
Linux du côté serveur, et dans le Cloud. On peut l'estimer à90%" :
[..]

Linux à 50% en 2016 (2 ans) :
[..]

Les gros calculateurs sont tous sous Linux.

C'est clair, depuis 2 ans à 3 ans, microsoft a perdu la bataille
de l'informatique professionnelle au profit de Linux,
et celle des smartphones au profit d'Android.

Malheureusement, en postes de travail, windows reste majoritaire,
à la communauté du Libre de le rendre minoritaire.

André
Gabriel Moreau (08/05/2018, 19h30)
> Les gros calculateurs sont tous sous Linux.

GNU/Linux

> C'est clair, depuis 2 ans à 3 ans, microsoft a perdu la bataille
> de l'informatique professionnelle au profit de Linux,
> et celle des smartphones au profit d'Android.


Android est un noyau Linux ! Il faudrait dire a minima Android/Linux.

Toutes les "box" tournent sous noyau Linux à ma connaissance...

De plus en plus de commutateurs tournent sous Linux (un constructeur m'a
même dit que c'était vendeur)...

> Malheureusement, en postes de travail, windows reste majoritaire,
> à la communauté du Libre de le rendre minoritaire.


Je pense que la prochaine bataille est de ne pas travailler pour les
GAFA... Il faut faire très attention à mettre tous ses codes sous
copyleft (GPL ou équivalent). Google (et Apple) cherche par tous les
moyens à virer la couche GNU et l'étape d'après sera de virer la couche
GPL du noyau.

gaby
Pierre Malard (08/05/2018, 23h50)
Merci à tous pour ces précisions,
Elles me seront très utiles pour en rabattre avec les thuriféraires du Windows « vrai pro » et « sérieux » que je rencontre par trop ces temps-ci.

Encore merci
[..]
andre_debian (09/05/2018, 00h10)
On Tuesday 08 May 2018 23:39:56 Pierre Malard wrote:
> Merci à tous pour ces précisions,
> Elles me seront très utiles pour en rabattre avec les thuriféraires du
> Windows « vrai pro » et « sérieux » que je rencontre par trop ces temps-ci.
> Encore merci


Sans compter nombres de sites qui vantent les serveurs sous Windows,
voire, le déclarent infiniment mieux que ceux sous Linux. Et combien le
croiront encore...
Ces gens réagissent comme ça, car vexés par leur incapacité à manier Linux,
le presse bouton sans réfléchir, c'est plus simple.
Et Microsoft tente de rattraper son déclin du marché professionnel en se
déclarant maintenant le virtuose de l'opensource, comme si il l'avait inventé
finalement et combien le croit...
[..]

Discussions similaires
Quelle(s) stratégie de sauvegarde?

Quelle stratégie pour se protégerdes spam ?

quelle stratégie de scan film employez vous ??

La Bourse : quelle stratégie ?


Fuseau horaire GMT +2. Il est actuellement 19h49. | Privacy Policy