Securise mon serveur Debian contre la copie.

Securise mon serveur Debian contre la copie. - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 05-12-2007 à 16:23:44    

Bonjour,
 
Je recherche une solution pour sécuriser un maximum un serveur en ma possession.
 
J'ai donc penser à un volume LVM avec cryptage et un mot de passe adequat.
 
Mais le soucis est qu'il me le demande au démarrage, or ce serveur à besoin de redemarrer assez souvant (je sait c'est pas bien mais c'est comme ca :-)).
 
En clair, je ne veux pas qu'une personne puisse accéder à mais fichiers de configuration.
Un super mot de passe root ne suffit pas : Un boot CD suffit à faire sauter le mot de passe.
Bien sûr pas moyen de protege par le BIOS : c'est une VMWARE !!!.
 
Avez vous une solution pour autobooter mon LVM tout en cachant bien le mot de passe associer ?
Un peut comme Windows : ca boot comme ca veux, si l'on met le DD sur une autre becanne, à ce moment là il faudras connaitre le mot de passe.
 
J'accepte une solution basée par exemple sur le numéro de série proco, et qu'il serait impossible de restaurer le DD s'il n'est pas sur la vmware d'origine.
 
Merci de m'eclairer !


---------------
http://www.galoula.com = LE site de Galoula France !
Reply

Marsh Posté le 05-12-2007 à 16:23:44   

Reply

Marsh Posté le 05-12-2007 à 16:46:05    

Si les personnes contre qui tu souhaite sécuriser ton serveur ont un accès local à la machine, tu rate la règle #1 de la sécurité.

Reply

Marsh Posté le 05-12-2007 à 16:55:59    

Le soucis, c'est que ceci vas etre un serveur de pret.
 
Donc ils aurons obligatoirement acces physique à la machine.
 
Je pense que mon idée est possible est se basant sur le numéros de serie processeur ou NIC au boot pour authentifier mon systeme.
 
Mais je vois pas comme le faire.

Reply

Marsh Posté le 05-12-2007 à 17:02:55    

Si la machine a accès Internet, tu peux ne pas stocker le mot de passe dans la machine.
 
Tu peux aussi ne pas laisser tes fichiers de configuration critiques dans le mémoire de la machine.


Message édité par czh le 05-12-2007 à 17:07:30
Reply

Marsh Posté le 05-12-2007 à 17:36:17    

La machine est en fait un petit projet que je suis en train d e monter : un hotspot preconfigurer.
 
J'aimerais que l'utilisateur de celle-ci, n'est acces à qu'aux interfaces d'administration WEB que je suis en train de créer.
 
En revenche, il ne doit pas avoir accès au système de fichier : pas de SSH par exemple.
 
Mais ce que je craint le plus, et le demontage du disque dur car, de cette maniere on vois tout ce k'il y as dedans ...
 
Donc mot de passe si internet : OK mais comment ca marche ?
 
En revanche, il est fortement probable que la machine n'est pas d'accès réseau lors de son démarrage.
 
merci

Reply

Marsh Posté le 05-12-2007 à 23:01:07    

Pour le mot de passe à Internet, il suffit de demander un mot de passe à une entité sur Internet : page web, etc.
Cette entité peut contrôler suivant s'il y a un déconnexion suspecte, et choisir de donner ou non le mot de passe.
 
Pour le démarrage tu peux démarrer avec une conf de base puis mounter quand par exemple par dessus /etc lors de la connexion.
Ou sinon tu démarres carrément avec un système minimal utilisant le réseau, tu demount tout et tu remount ta partition cryptée en /.
Avec du chroot...
Bref Debian c'est super-flexible, amuse-toi bien !

Reply

Marsh Posté le 05-12-2007 à 23:53:43    

Bonjour,
 
Merci de ton aide :
 
Mais je vois pas un client télécharger près de 2Go via le reseau :()
 
M'enfin je retourne avec l'idée du LVM Crypter, mais je cherche un moyen de lui donner comme un certificat en binome.
 
Le client detient le certificat qui accepte le boot sur la machine, mais refusera de monter le disque dur en esclave.
 
Voyer vous comment je pourrait faire cella.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed