Le 07/05/2018 à 15:06, Olivier a écrit : > 1. J'imagine possible de différencier les moyens de protection selon > la confidentialité des informations du serveur (pas besoin de protéger > le code binaire du programme cp, mais impératif de protéger un fichier > contenant des mots de passe) mais c'est peut-être fastidieux de > maintenir dans le temps une telle classification. Est-il possible de > tout chiffrer ?
Oui, et c'est meme le mieux. Quand je dis "tout chiffrer", c'est toute la partition, meme la "table of contents", meme le journal. Et c'est une bonne idée de tout chiffrer, meme la partition sytème, et en particulier la swap. Pour faire ca, luks est ton ami. > 2. Comment se protéger contre un attaquant qui essaie une infinité de > combinaison login-mot de passe ? fail2ban > 3. Comment se protéger contre un attaquant qui boote avec un disque > externe ? Tout chiffrer avec luks. > 4. Un disque chiffré est-il plus fragile face aux problèmes hardware > (bad sector, ...) ou plus compliqué à exploiter (sauvegarde, > restauration, ...) ? Si tu chiffre la partoche elle meme avec luks, tu y accède (et donc le sauvegarde) comme n'importe quel système de fichier. Le noyau se charge de tout chiffrer / déchiffrer a la volée, mais toit tu ne le vois pas. Pour les soucis de type bloc défectueux, je sais pas te répondre. C'est a ca que servent les sauvegardes et/ou la redondance (un serveur avec les disques qui sont pas en raid, ca fait bizarre). Pour les oublis de phrase de passe par contre, y'a pas de solution miracle : il faut s'en rappeller. Les attaques les plus difficiles a contrer sont de type "evil maid". On ne peut pas tout chiffrer : quand il démarre, il te demande ta phrase de passe, le petit bout de code qui te demande ta phrase de passe ne peut pas etre chiffré puisqu'il doit etre lu avant que tu ne donne ta phrase de passe. Le danger est donc un attaquant qui modifie ce petit bout de code non chiffré et lui rajoute une fonction d'enregistrement de ta phrase de passe. Puis il laisse le serveur fonctionner comme si de rien n'etait. La prochaine fois que tu reboote, tu tape ta phrase de passe, ca l'enregistre quelque part et l'attaquant peut alors te voler ton truc et lire les partitions chiffrées vu qu'il a la phrase de passe. > 5. Existe-t-il des dispositifs matériels à prévoir pour faciliter ce > qui précède ? Je sais pas te répondre.
