Vous n'êtes pas identifié(e).
Pages : 1
Est-ce qu'il n'y a pas un utilisateur système qui risque d'avoir besoin de l'accès ?
Qu'en pensez-vous ?
Merci d'avance.
Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
À l'issue d'une telle commande ça deviendrait :
Donc à moins d'être root ou membre du groupe root, pas moyen de rentrer dans le dossier usr.
Hors ligne
Il vaut mieux montrer que raconter.
Hors ligne
Il y a vraiment besoin d'expliquer pourquoi supprimer la permission d'exécution générale sur tous les programmes et répertoires n'est pas une bonne idée ?
À quelqu'un qui méconnaît suffisamment son système et les implications d'une telle commande et qui pose la question avant de faire une bêtise ? Oui, ça me paraît essentiel et l'objet même d'un tel forum
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH
Hors ligne
Hors ligne
Le désordre, c'est l'ordre, moins le pouvoir.
Hors ligne
Et un port autre que 22.
Ça, c'est bon ! J'ai dû changer quatre fois, je crois.
Du coup, je vais plutôt essayer un chroot, d'après ce que j'ai lu, ça devrait répondre à ma demande.
Dell Inspiron 7500 series - Debian Stretch - KDE/openbox - ZSH
Samsung - Debian Jessie - LXDE/pas de graphique - ZSH
Hors ligne
Ce que je voulais surtout, mais je ne sais si je suis clair, c'est qu'un petit malin qui ait récupéré mes codes puisse se balader dans mon système.
Un petit malin qui récupérerait tes codes sera capable de faire tout ce que tu fais toi avec ces codes, quelles que soient les sécurités que tu mets en place.
Mon avis sur les différentes solutions proposées :
Changer de port d’écoute pour SSH n’arrêtera pas un attaquant motivé, en fait ça sert essentiellement à avoir un peu moins de "bruit" dans tes fichiers journaux et à te donner un faux sentiment de sécurité.
Le chroot peut paraître attirant, mais garde en tête que tu seras toi aussi coincé dedans, et surtout quelqu’un de suffisamment calé techniquement pourra en sortir pour accéder au reste du système. Si tu choisis cette méthode il faudra absolument que tu sécurises ton chroot autant (sinon plus) que ton système réel.
L’identification par clé, contrairement aux deux précédentes, est une *vraie* solution fiable. Plus moyen d’essayer de deviner ton mot de passe, il faut te voler cette clé pour espérer accéder à ton serveur SSH. Ne reste plus donc qu’à protéger celle-ci, en particulier en ne la copiant pas sur des machines dont tu n’as pas le contrôle total.
En ligne
L’identification par clé, contrairement aux deux précédentes, est une *vraie* solution fiable. Plus moyen d’essayer de deviner ton mot de passe, il faut te voler cette clé pour espérer accéder à ton serveur SSH. Ne reste plus donc qu’à protéger celle-ci, en particulier en ne la copiant pas sur des machines dont tu n’as pas le contrôle total.
À ces bons conseils, j'ajouterai l'obligation de protéger ta clé par phrase de passe. Ainsi même si le fichier de clé est dérobé, il est inutilisable sans ta phrase de passe. Et en mode parano, tu peux conserver ce fichier de clé sur une clé USB chiffrée que tu conserverais sur toi.
Hors ligne
Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
En ligne
Et en mode parano, tu peux conserver ce fichier de clé sur une clé USB chiffrée que tu conserverais sur toi.
La mienne se trouve sur une unique machine, au disque intégralement chiffré
Et pour pousser la parano jusqu’au bout même le BIOS de cette machine a été remplacé par libreboot, pour éviter un éventuel firmware espion…
Et comme ça ne suffit toujours pas, cette machine ne me quitte jamais !
En ligne
La mienne se trouve sur une unique machine, au disque intégralement chiffré
Vraiment intégralement chiffré ? Même le chargeur d'amorçage et /boot ?
Ou alors tu amorçes depuis un autre support ?
Il vaut mieux montrer que raconter.
Hors ligne
Vraiment intégralement chiffré ? Même le chargeur d'amorçage et /boot ?
L’instance de GRUB lancée par libreboot se trouve sur une puce externe au disque dur, le MBR n’est pas utilisé.
-----
s'il utilise libreboot, il me semble que /boot peut également être chiffré.
Exact, mais je ne sais pas si c’est vraiment spécifique à libreboot/coreboot, qui fait appel à GRUB pour le lancement de l’OS.
Dernière modification par vv222 (19-03-2016 14:40:46)
En ligne
L’instance de GRUB lancée par libreboot se trouve sur une puce externe au disque dur, le MBR n’est pas utilisé.
D'accord pour GRUB, mais pour le noyau et l'initramfs ? le GRUB inclus dans libreboot est capable de lire un /boot chiffré ?
Il vaut mieux montrer que raconter.
Hors ligne
D'accord pour GRUB, mais pour le noyau et l'initramfs ? le GRUB inclus dans libreboot est capable de lire un /boot chiffré ?
Oui, comme tu peux le voir dans ce guide pour Trisquel facilement adaptable à Debian :
https://libreboot.org/docs/gnulinux/enc … squel.html
En ligne
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Pages : 1