Bonjour,

Quelqu’un peut-il m’expliquer en quoi le titre est « hors sujet. »

" Bonjour à tous,

Chiffrer l’ensemble de ses disques durs est-ce vraiment utile ?

Cela fait quelques temps que je voulais tester le chiffrement complet de mes partitions
et surtout ceux de mes serveurs web.

C’est fait , c’est installer ! Mais c’est complètement inutile !
connexion en SSH et tous les fichiers sont en clair !

Alors j’imagine que c’est utile pour les disques externes les clés USB et les portables.

Mais pour un serveur qui reste toujours allumé, c’est de la poudre au yeux !
Une fois votre pc ou votre serveur allumé, les fichiers sont en clair et donc parfaitement accessible
aux pirates.

C’est une information que j’aurais aimé connaître avant de chiffrer l’ensemble de mes partitions surtout que n’oublions pas les sauvegardes sont un peu plus ardu à faire!

Maintenant il est peut être possible d’avoir des partitions chiffrer et qu’il faut déchiffrer après la connexion SSH, et non comme c’est le cas actuellement au démarrage du pc (ou du serveur). Mais je n’ai jamais entendu parler de ce problème et encore moins d’une solution.

Je remercie donc par avance ceux qui aurait connaissance et autres indices pour résoudre cette épineux problème

Cordialement"

Bonjour,

Ce message vous est envoyé de manière automatisée par debian-fr.org pour vous informer que votre message a été masqué.

Le chiffrage une sécurité illusoire?

Votre message a été signalé comme étant hors sujet : la communauté considère qu’il ne correspond pas au sujet en discussion qui est défini par son titre et son premier message.

Ce message a été masqué suite à des signalements de la communauté. Nous vous invitons par conséquent à envisager de le modifier en prenant en considération leurs commentaires. Vous pourrez modifier votre message d’ici 10 minutes, et il sera ensuite rendu automatiquement visible à nouveau.

Toutefois, si ce message était masqué par la communauté une seconde fois, il le resterait jusqu’à ce qu’il soit examiné par des responsables.

Pour obtenir davantage de conseils, nous vous invitons à consulter notre charte communautaire .
# Oups ! Cette page n’existe pas ou est privée.* (lien mort !)*

créer 2h; réponse 2h; réponse 0; vue 1; lien 1;
ed; Ghostspirit.

Alors Plusieurs chose qui ne vont pas dans ce message automatique !

Pour obtenir davantage de conseils, nous vous invitons à consulter notre charte communautaire .
# Oups ! Cette page n’existe pas ou est privée.* (lien mort !)*

« la communauté » , « des signalements de la communauté »
Faux UN SEUL MODÉRATEUR !

"il ne correspond pas au sujet en discussion qui est défini par son titre et son premier message."
Permettez que je défende mon beefsteak

Dans mon message je donne autant une information que je pose une question, d’où le point d’interrogation dans le titre :

Chiffrer l’ensemble de ses disques durs est-ce vraiment utile ? (je pose ici la question)

Cela fait quelques temps que je voulais tester le chiffrement complet de mes partitions
et surtout ceux de mes serveurs web.

C’est fait , c’est installer ! Mais c’est complètement inutile !
connexion en SSH et tous les fichiers sont en clair ! (( j’indique ici le contexte , la surprise, et la désillusion qui en découle)

Alors j’imagine que c’est utile pour les disques externes les clés USB et les portables. (après réflexion)

Mais pour un serveur qui reste toujours allumé, c’est de la poudre au yeux !
Une fois votre pc ou votre serveur allumé, les fichiers sont en clair et donc parfaitement accessible
aux pirates (le constat)

C’est une information que j’aurais aimé connaître avant de chiffrer l’ensemble de mes partitions surtout que n’oublions pas les sauvegardes sont un peu plus ardu à faire! (d’où le partage avec la communauté : j’ai lu plein de texte sur le chiffrement essayé plusieurs tutos sans jamais avoir cette information, c’est l’information que je partage !)

(Enfin je ne suis pas un expert et je suis un peu, pour ne pas dire complètement perdu) :

Maintenant il est peut être possible d’avoir des partitions chiffrer et qu’il faut déchiffrer après la connexion SSH, et non comme c’est le cas actuellement au démarrage du pc ou du serveur. Mais je n’ai jamais entendu parler de ce problème et encore moins d’une solution. (ce que je recherche)

Je remercie donc par avance ceux qui aurait connaissance et autres indices pour résoudre cette épineux problème

Voilà j’ai dit ce que j’avais sur le coeur ! Merci de m’avoir lu et n’hésitez à me corriger, après tout je suis trop con pour être intelligent et pas assez pour l’ignorer

Cordialement

Une partition chiffrée c’est pour éviter qu’un accès direct au disque (via l’hyperviseur pour une Vm, via le disque physique pour un serveur physique) ne permette l’accès aux données.

le fait de se connecter en SSH n’a à faire dans cet aspect, d’autant qu’il est lui même chiffré et sécurité le cas échéant par des clef, ou même par un reverse proxy suivant l’architecture.

le chiffrage de disque n’a rien à voir avec le SSH, ce n’est pas le même objectif.

et c’est utile.

C’est pas la connexion SSH qui déchiffre la partition, mais le démarrage de la machine. Pour que ton système fonctionne, il a besoin que la partition sur laquelle il se trouve soit déchiffrée.

C’est à l’administrateur de la machine de sécuriser les accès à celle-ci, notamment SSH.
Comme le mentionne Zargos, l’intérêt de chiffrer son disque / partition c’est de se prémunir d’un vol de données dans le cas où l’attaquant obtienne un accès physique à la machine et reparte avec les disques sous le bras.

Tout dépend de comment tu fais tes sauvegardes.

Tu peux jeter un oeil du côté de logiciels comme Veracrypt, ou Zulucrypt (qui a ma préférence car dans les dépôts Debian)

Sauf que le système lui sera de toute façon déchiffré, et de fait accessible, y compris la configuration de veracrypt ou zulucrypt. cela bien sur en fonction des droits de l’utilisateur connecté en SSH (et des capacité d’élévation de droit, en ayant par exemple accès à une fonctionnalité de Shell à travers un application).

Oui tout à fait, mais il me semble que Zulucrypt prend en charge la possibilité d’utiliser un fichier de clé pour déchiffrer le volume chiffré, et cette clé peut se trouver physiquement sur un autre support (clé USB, etc).
A confirmer, toutefois, je n’ai que très peu utilisé ce genre de logiciels.

En plus de chiffrer un disque tu peux aussi chiffrer des fichiers.
A moins de développer un chiffrement quantique ou toi seul voit les données en clair, y a bien un moment ou la machine doit déchiffrer.

Pour tout ce qui risque de se déplacer, chiffrer me semble indispensable (pc portable, clé usb, …). pour le reste, l’intérêt est plus limité.

Le chiffrement, c’est pas de la magie. Si les données sont trop sensible … autant ne pas les enregistrer.

Merci à tous,

Le fait est que je suis partie d’une idée préconçue et erronée.
Sur Nextcloud quand vous télécharger un fichier via cette application, les fichiers sont chiffrés sur le disque dur et vous ne pouvez consulter le contenue des fichiers en clair via SSH.
J’avais donc cru quand chiffrant toutes mes partitions il en serait de mème.

A Posteriori c’est évident , à priori cela l’est un peu moins, Et c’est une information qui n’est pas donnée sur les différents sites qui aborde le chiffrement.

Concrètement voilà ce qui m’ennuie :

Pour sécurisé mes serveurs j’utilise SSH, Knock, fail2ban, Rkhunter, samhain, portsentry, la connexion à double facteur, logwatch, iptables.
Et tous ce petit monde m’envoie des email via msmtp et msmtp-mta.

or le fichier msmtprc contient l’adresse de mon serveur mail, mon login et mot de passe en clair.

Comment faire pour permettre à tous ces logiciels d’accéder au information contenu dans ce fichier
mais l’interdire à toutes autres utilisateurs ainsi qu’a root.

Je clos ici le sujet " Le chiffrage une sécurité illusoire?" et j’en ouvre un autre
« Comment sécurisé msmtprc ? »

Oui, le chiffrement côté serveur (server-side encryption) est une fonctionnalité facultative de Nextcloud.
Par contre c’est comme les autres solutions de chiffrement: ça nécessite des clés de (dé)chiffrement, et de mémoire quand je l’avais testée (sur la version précédente de Nextcloud) les clés sont bien stockées sur le serveur. Avec un accès suffisant (root) à la machine, je pense qu’on a tout ce qu’il faut pour changer le mot de passe de l’utilisateur, et utiliser les clés de déchiffrement.

Les processus sur ton serveur (y compris ces programmes, donc) appartiennent à des utilisateurs, et héritent le plus souvent des privilèges de ces utilisateurs. Il suffit de changer les permissions et propriétés des fichiers en conséquence. Par contre tu ne pourras pas empêcher root d’y accéder.

Si tu as des raisons de penser qu’un attaquant obtiendra facilement un accès root à ton serveur, alors n’utilise pas ton serveur. Sécurise le plus possible l’accès aux comptes privilégiés (root) de ton serveur, en particulier SSH. Comme tu parles de Nextcloud je suppose que tu as aussi apache ou nginx, ainsi que postgreSQL ou MariaDB, sur ce serveur. Sécurise les également (leurs configs par défaut ne sont généralement pas super sécurisées, mais tu trouveras facilement des guides sur le web pour corriger cela).

Je pense que la sécurisation des accès et la limitation des surfaces d’attaque (ne laisser accessible que ce qui est nécessaire, et uniquement pour les utilisateurs/processus nécessaires, rejeter toutes les autres connexions au moyen d’un parefeu…) sont les principales mesures de sécurité.

Tu trouveras pas mal d’infos intéressantes dans le guide de sécurisation de Debian, il commence à dater un peu, mais la plupart de ce qui y est écrit reste sûrement valable (et il y a des sections spécifiques pour SSH et apache)

L’utilisation de sudo nécessite pour bien faire de bien configurer quelles commandes avec quels paramètres.

cependant, il y a moyen d’avoir un accès privilégié, par exemple, avec VI/VIM, duquel on peut faire un shell. si les droits sudo sont trop large (sudo root) alors l’utilisateur peut gagner un accès privilégié au système.

@Sputnik93

Merci

Je recherche actuellement du coté de la désactivation de l’utilisateur root.

j’ai blindé ssh avec fail2ban knock et configurer root et ssh pour être avertie quand il y a une connection réussi.

Linux est touché par une nouvelle faille de sécurité permettant à des utilisateurs d’augmenter leurs privilèges jusqu’à disposer d’un accès root. Cette vulnérabilité touche plusieurs distributions comme Ubuntu, Debian, Red Hat, CentOS, Fedora et OpenBSD. Le déploiement d’une mise à jour corrective du paquet responsable est imminent.

Une faille de Polkit vieille de 12 ans permet aux utilisateurs Linux non privilégiés d’obtenir un accès root

Un bug datant de juillet 2011 permet de contourner le contrôle d’accès de la commande « sudo » et d’obtenir les privilèges d’un administrateur.

Malheureusement ce n’est pas la seule façon pour un pirates d’accédé à ton serveur.

cette vulnérabilité a été corrigé il me semble

@Zargos

C’est juste pour l’exemple. Toutes les semaines de nouvelles faille zeroday sont découvertes !

certes, mais pour certaines, leur exploitation n’est pas toujours simple, voire plus ou moins réalisable (la dernière sur Microsoft est quasiment infaisable en fait).

https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-004/

Pour pouvoir exploiter cette faille, il faudrait déjà pouvoir obtenir un accès à un compte utilisateur non privilégié, c’est à dire, avoir un accès physique à la machine ou/et distant + pouvoir y ouvrir une session en s’identifiant avec un compte utilisateur dont on connaitrait le nom de login + le mot de passe associé.

Je voudrais bien avoir un lien vers la liste de ces failles zeroday pour les dernières semaines,
je ne m’informe que sur des CERT ( Computer Emergency Response Team) comme par exemple : https://www.cert.ssi.gouv.fr/ et j’y trouve rarement des alertes concernant debian et les alertes concernant debian sont toujours très très vite corrigées par une simple mise à jour du système, ce ne sont donc pas des failles zero-day

Si Linux est utilisé par la NASA depuis des années, dans l’ISS (station orbitale), et même sur mars, et dans les calculateurs scientifiques du monde entier, etc.
ce n’est très certainement pas par économie de budget, mais c’est plutôt pour éviter d’énormes catastrophes qui feraient beaucoup plus de dégâts que de ne coûter que de l’argent perdu ou/et une perte de réputation.

@MicP
https://security-tracker.debian.org/tracker/source-package/linux

Et cela ne concerne que Debian ! Il faut ajouter apache, php,
nodejs dans certain cas, etc…

les failles en elles-même ne sont pas qu’une partie du problème. ce sont les exploitations de ces failles qui les rendent dangereuses;
la plupart des zero day sont tellement difficiles à exploiter que la plupart du temps, seuls les incompétents ont de fortes de chances d’etre atteint.

mais l’informatique est malheureusement l’industrie où l’incompétence est la plus grande.

Si on ne s’informe pas tous les jours sur ce qu’il se passe dans le monde de l’informatique (et de tout ce qui tourne autour), ce qui était en sécurité le 03/06/2022 n’est l’est certainement plus du tout le 04/06/2022, et ce n’est pas du tout une exagération.

Heureusement, des millions de personnes échangent leurs informations afin de permettre aux autres de ne pas se retrouver dans la même galère.

Bien sûr, certains préfèrent ne pas communiquer sur ces failles, comme par exemple, cette société qui préfère annoncer : « Dedalus, engagé envers le Ségur du numérique en santé »
et malgré le fait qu’ils étaient au courant de l’existence de cette fuite de données depuis novembre 2020 ils ont continué à utiliser leurs logiciels obsolètes sans rien changer à leur méthode de travail.

Finalement :
Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE

Pour tous les patients, médecins, etc. dont les informations de santé se retrouvent sur le dark web, le cauchemar ne fait que commencer, et c’est très certainement beaucoup plus de 1,5 millions d’euros que toutes ces personnes vont perdre.
Malheureusement, ce n’est pas la première fois que ça arrive.

Est-ce qu’il vaut mieux qu’on continue à communiquer sur les failles de sécurité
afin de pouvoir les régler au plus vite ?

ou alors est-ce qu’on fait bien attention à ne rien dire,
de façon à ce que tout le monde soit bien tranquille et rassuré ?

À mon avis, La sécurité par l’offuscation, ça ne fonctionne jamais très longtemps,
et je trouve beaucoup plus rassurant que des millions (peut-être beaucoup plus en fait) de personnes s’informent les uns et les autres de toutes les failles découvertes afin que des millions ayant des compétences complémentaires puissent régler tous ces problèmes au plus vite.

(J’ai pris les premiers exemples que j’ai trouvé au hasard sur le net, et ces exemples ne concernent qu’une toute petite partie du monde.)

en fait le problème ne se situe pas là.
Quand il est déclaré publiquement qu’un logiciel est plein de trou, la société qui l’édite vois son business chuter, pour ne pas parler de ses actions.
Et c’est ça qui les motive pour ne rien dire, et le plus souvent continuer leur boulot dégueulasse.

Ceci dit, l’industrie du logiciel médical est un parfait exemple de ce comportement. Non seulement la plupart du temps leurs applications sont médiocre (à quasiment tous les niveaux, même graphiquement), mais elles sont très souvent mises en cause au niveau de la sécurité.

Les applications développées avec les pieds le sont souvent pour des raisons de profits, sinon d’incompétences (l’informatique étant la pire industrie sur le sujet), sans parler du principe de Peter.

J’utilise ccrypt (ccencrypt, ccdecrypt) pour chiffrer des fichiers en nombre (par exemple tous les *txt d’un répertoire).

L’éditeur vim offre aussi une commande « :X » pour chiffrer tout ce qui sera enregistré, sans avoir à retaper le mot de passe lors des enregistrements. Le tampon temporaire n’est pas chiffré, mais en principe il est effacé à la sortie.
Il permet le choix de la méthode (j’ai paramétré blowfish2)

Cela concerne notamment mes notes très personnelles dans un contexte médical sensible.
Je ne transmets jamais ces notes qui sont sur mon ordinateur, pas même codée dans le cloud, mais il est souvent connecté (comme en ce moment).

Je me souviens d’un type super balaise une sorte d’agent de sécurité du web , tu vois le genre je buvais ses paroles … et le gars en question il m’a dit tu passes tout en virtuel du genre ta une boite dans une boite qui ouvre sur une autre boite et prout plus personne n’entre dans ton système seules les personnes autorisées et les pirates peuvent se torcher , je t’avoue que je n’ai pas tout compris mais ça avait l’air génial