Administration à distance de systèmes chiffrés, le retour.
Bonjour tout le monde, il y a eu en septembre une discussion sur le sujet « Administration à distance de systèmes chiffrés ». Je viens de voir passer un email sur une liste Debian anglophone mentionnant le programme « Mandos » ; cela peut peut-être vous intéresser. http://wiki.fukt.bsnet.se/wiki/Mandos Le site mentionne des paquets binaires à construire soi-même assez simplement, et quelqu'un est en train de préparer un paquet source qui pourraient devenir officiels. Amicalement, -- Charles Plessy Tsurumi, Kanagawa, Japon -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Administration à distance de systèmes chiffrés
Ma solution serait un peu identique: un switch KVM en reseau. Cela te permet un peu comme VNC de prendre le controle du clavier de l'ecran a distance comme si l'on etait en face de la machine et ce meme pendant qu'elle boot. C'est un peu honéreux mais c tres facil a mettre en place et ne brise aucune regles de sécu. 2008/9/17 dominix [EMAIL PROTECTED] Goldy a écrit : L'idée de rediriger la console sur une autre machine est intéressante (je n'ai pas spécialement envie de faire de la virtualisation), tu peux utiliser une carte d'acces a distance. ilo chez HP rsa chez IBM, jesaispu chez DELL plein de vendeur en offre. -- Dominix -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Administration à distance de systèmes chiffrés
Le Tue, 16 Sep 2008 01:17:11 +0200, Goldy wrote : [...] Ce n'est pas plus long si l'on dit à l'installateur de ne pas effacer la swap en écrivant des données aléatoires dessus. De plus, avec une telle configuration, une swap non chiffré est un trou de sécurité (la passphrase pouvant alors se retrouver en clair dans la swap). Pour ce qui est du chiffrage de la swap, il me semble que la clé de cryptage est généré aléatoirement à chaque boot de la machine, ce qui permet de ne pas s'embêter avec ça lors du boot (il est également possible de définir une passphrase pour la swap, mais ça obligera alors à saisir 2 passphrases au boot). Puisque j'ai plusieurs machines avec des partitions cryptées (essentiellement /home et swap), pour des raisons de sécurité, il est recommandé d'effacer les données http://www.debian.org/releases/stable/i386/ch06s03.html.fr#di-partition §6.3.2.4 : Effacer les données : oui Cette option détermine si la partition doit être remplie de données aléatoires avant le début du chiffrement. Cette opération est recommandée car un attaquant pourrait sinon discerner quelles parties de la partition sont actives et lesquelles ne le sont pas. De plus cela rendra plus difficile de récupérer des données laissées par des installations précédentes. Pour le type de clé (aléatoire ou phrase secrète), il faut effectivement choisir une clé aléatoire pour la swap. Ceci étant, au démarrage de la machine, en bougeant la souris on accélère la génération de la clé aléatoire ... -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]