Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente | |||
|
utilisateurs:lildadou:mediabunker [Le 23/04/2013, 01:24] lildadou |
utilisateurs:lildadou:mediabunker [Le 11/09/2022, 13:13] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 23: | Ligne 23: | ||
| Les 2 derniers points sont déjà relativement bien traités sur Internet, ce tutoriel se concentrera donc sur la première problématique. Même si le niveau de sécurité n'est pas optimum, il représentera malgré tout un niveau qui pourra dissuader un bon nombre de personnes malveillantes. Le concept vise à placer une grande partie du système sur un support chiffré. Seul le /boot sera accessible à l'attaquant, votre machine sera donc vulnérable aux attaques de type [[http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html|evil maiden (en)]] (l'attaquant accède à votre machine pour y placer un /boot corrompu qui interceptera la clé de déchiffrement de votre système de fichiers). | Les 2 derniers points sont déjà relativement bien traités sur Internet, ce tutoriel se concentrera donc sur la première problématique. Même si le niveau de sécurité n'est pas optimum, il représentera malgré tout un niveau qui pourra dissuader un bon nombre de personnes malveillantes. Le concept vise à placer une grande partie du système sur un support chiffré. Seul le /boot sera accessible à l'attaquant, votre machine sera donc vulnérable aux attaques de type [[http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html|evil maiden (en)]] (l'attaquant accède à votre machine pour y placer un /boot corrompu qui interceptera la clé de déchiffrement de votre système de fichiers). | ||
| - | Des solutions existent pour parer ces attaques mais ne serons pas mise en place dans un premier temps : | + | Des solutions existent pour parer ces attaques mais ne serons pas mise en place dans un premier temps : |
| - La première solution consiste à placer le /boot sur un support qui ne sera pas accessible à l'attaquant ; classiquement une clef USB que vous placerez sous surveillance constante. La machine sera toujours vulnérable à une attaque de type [[http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html|evil maiden (en)]], mais compliquera considérablement la tâche de l'attaquant puisque celui-ci devra s'attaquer au [[:grub|GRUB]] ou au [[:wiki:glossaire#BIOS]]. Il devient plus simple de placer un [[http://fr.wikipedia.org/wiki/Keylogger|keylogger]] matériel sur le clavier. | - La première solution consiste à placer le /boot sur un support qui ne sera pas accessible à l'attaquant ; classiquement une clef USB que vous placerez sous surveillance constante. La machine sera toujours vulnérable à une attaque de type [[http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html|evil maiden (en)]], mais compliquera considérablement la tâche de l'attaquant puisque celui-ci devra s'attaquer au [[:grub|GRUB]] ou au [[:wiki:glossaire#BIOS]]. Il devient plus simple de placer un [[http://fr.wikipedia.org/wiki/Keylogger|keylogger]] matériel sur le clavier. | ||
| - Une deuxième solution s'appuie sur les puces dites [[http://fr.wikipedia.org/wiki/Trusted_Platform_Module|TPM]]. Des mécanismes matériels entrent en scène pour s'assurer que le [[:wiki:glossaire#BIOS]] n'a pas été modifié, le [[:wiki:glossaire#BIOS]] vérifie que le GRUB n'a pas été modifié, et le [[:grub|GRUB]] vérifie que le /boot n'a pas été modifié. On obtient ainsi une chaine de confiance qui garanti que le système n'a pas été corrompu. Cette technique est complexe à mettre en place et la communauté du libre n'est pas encore enclin à promouvoir un système qui cachent aussi des effets secondaires pervers [[http://www.gnu.org/philosophy/can-you-trust.fr.html|source]]. | - Une deuxième solution s'appuie sur les puces dites [[http://fr.wikipedia.org/wiki/Trusted_Platform_Module|TPM]]. Des mécanismes matériels entrent en scène pour s'assurer que le [[:wiki:glossaire#BIOS]] n'a pas été modifié, le [[:wiki:glossaire#BIOS]] vérifie que le GRUB n'a pas été modifié, et le [[:grub|GRUB]] vérifie que le /boot n'a pas été modifié. On obtient ainsi une chaine de confiance qui garanti que le système n'a pas été corrompu. Cette technique est complexe à mettre en place et la communauté du libre n'est pas encore enclin à promouvoir un système qui cachent aussi des effets secondaires pervers [[http://www.gnu.org/philosophy/can-you-trust.fr.html|source]]. | ||
| Ligne 94: | Ligne 94: | ||
| Le chiffrement que nous utiliserons est l'[[http://fr.wikipedia.org/wiki/Rijndael|AES]]. Le chiffrage [[http://fr.wikipedia.org/wiki/Serpent_%28cryptographie%29|Serpent]], même s'il est cryptographiquement plus sûr, est suffisamment lourd pour former un goulot d'étranglement sur le débit des disques. | Le chiffrement que nous utiliserons est l'[[http://fr.wikipedia.org/wiki/Rijndael|AES]]. Le chiffrage [[http://fr.wikipedia.org/wiki/Serpent_%28cryptographie%29|Serpent]], même s'il est cryptographiquement plus sûr, est suffisamment lourd pour former un goulot d'étranglement sur le débit des disques. | ||
| - | Pour le container [[http://www.k-tux.com/luks-quelques-grammes-de-paranoia-pour-des-donnees-bien-protegees|LUKS]] en RAID, on va utiliser l'option //align-payload// (qui permet de modifier la où commence les blocs de données du container) pour aligner le container avec notre RAID. Par défaut cette valeur est de 8 (secteurs x 512o = 4Ko) que nous plaçons à 512. | + | Pour le container [[http://www.k-tux.com/luks-quelques-grammes-de-paranoia-pour-des-donnees-bien-protegees|LUKS]] en RAID, on va utiliser l'option //align-payload// (qui permet de modifier la où commence les blocs de données du container) pour aligner le container avec notre RAID. Par défaut cette valeur est de 8 (secteurs x 512o = 4Ko) que nous plaçons à 512. |
| La formule optimale est : //(chunk_size/512o)*qt_data_disk//. Un RAID5 de 3 disques aura une valeur de qt_data_disk de 2 un RAID0 de 3 disques aura une valeur de 3. Pensez à adapter cette valeur si vous avez personnalisé la taille du chunk de vos RAIDs. | La formule optimale est : //(chunk_size/512o)*qt_data_disk//. Un RAID5 de 3 disques aura une valeur de qt_data_disk de 2 un RAID0 de 3 disques aura une valeur de 3. Pensez à adapter cette valeur si vous avez personnalisé la taille du chunk de vos RAIDs. | ||
| <code> | <code> | ||
| Ligne 102: | Ligne 102: | ||
| </code> | </code> | ||
| - | Vous pouvez maintenant déverrouiller les conteneurs [[http://www.k-tux.com/luks-quelques-grammes-de-paranoia-pour-des-donnees-bien-protegees|LUKS]] pour obtenir vos partitions mappées dans /dev/mapper/ : | + | Vous pouvez maintenant déverrouiller les conteneurs [[http://www.k-tux.com/luks-quelques-grammes-de-paranoia-pour-des-donnees-bien-protegees|LUKS]] pour obtenir vos partitions mappées dans /dev/mapper/ : |
| <code> | <code> | ||
| cryptsetup luksOpen /dev/sda3 unlocked-swapa | cryptsetup luksOpen /dev/sda3 unlocked-swapa | ||
| Ligne 371: | Ligne 371: | ||
| On ne peut plus convertir une grappe RAID de niveau 0 vers un autre niveau atteignable (niveaux 5 et 6, par exemple). Je vous propose d'envoyer un paquet de café d'arabica de Colombie aux développeurs de mdadm accompagné d'une requête d'ajout de fonctionnalité (ou plutôt de correction de regression par rapport à //raidreconf//). | On ne peut plus convertir une grappe RAID de niveau 0 vers un autre niveau atteignable (niveaux 5 et 6, par exemple). Je vous propose d'envoyer un paquet de café d'arabica de Colombie aux développeurs de mdadm accompagné d'une requête d'ajout de fonctionnalité (ou plutôt de correction de regression par rapport à //raidreconf//). | ||
| - | Admettez qu'il serait plutôt cocasse de sauvegarder nos données si durement protégées... | + | Admettez qu'il serait plutôt cocasse de sauvegarder nos données si durement protégées... |
| - [[utilisateurs:lildadou:mediabunker#nettoyage_des_support_physique|Commencer par neutraliser cryptographiquement votre disque de sauvegarde]] | - [[utilisateurs:lildadou:mediabunker#nettoyage_des_support_physique|Commencer par neutraliser cryptographiquement votre disque de sauvegarde]] | ||
| - [[utilisateurs:lildadou:mediabunker#raid_luks_lvm|Créez-y ensuite un conteneur LUKS (sans vous préoccuper de l'alignement ou du partionnement)]] | - [[utilisateurs:lildadou:mediabunker#raid_luks_lvm|Créez-y ensuite un conteneur LUKS (sans vous préoccuper de l'alignement ou du partionnement)]] | ||