Re: [FRsAG] Chiffrage et TPM

2021-11-02 Par sujet Dang Herve 
Le but est de "sécuriser" la propriété intellectuelle de la boîte sur des
machines qui seront hébergées chez les clients et la compagnie ne veut pas
que quelqu'un puisse dupliquer les disques durs. Donc impossible d'avoir
une personne connaissant le mot de passe chez le client.

Pour Centos la migration sous un autre OS n'est pas une priorité
actuellement par la direction

Merci pour l'aide

Herve


On Tue, Nov 2, 2021 at 1:04 PM Wallace  wrote:

> Vous avez vraiment confiance dans TPM? Qui des master keys des
> constructeurs (inévitables sur le marché US)?
>
> Je préfère largement qu'un utilisateur soit le seul à connaître son mot de
> passe, éventuellement set un deuxième mot de passe de secours pour un parc
> d'ordinateurs. Il le saisit au boot et on en parle plus. Ajouté un mot de
> passe pour protéger le bios et le changement de disque de démarrage et on
> est bien niveau sécurité.
>
> En mode zero trust je ne vois pas comment on peut faire confiance au TPM.
> Et autre avantage de cette approche, tu peux enlever le disque et le mettre
> dans un autre ordinateur, l'utilisateur repart directement, avec TPM il
> faut réinstaller obligatoirement.
>
> PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre
> 2020, autant installer directement sur une autre distro RPM équivalente,
> autant éviter une migration sous peu.
> Le 02/11/2021 à 17:32, Florent CARRÉ a écrit :
>
> Hello,
> Tu peux suivre la documentation officielle de red hat qui utilise clevis
> pour aussi bien utiliser un network server ou un tpm v2:
>
>
> https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening
>
> https://github.com/latchset/clevis
>
> J'espère que cela t'aidera
>
>
> On Tue, Nov 2, 2021, 08:10 Dang Herve  wrote:
>
>> Bonjour
>>
>> Je cherche à chiffrer un disque et le déverrouiller automatiquement au
>> démarrage avec un TPM sous Centos.
>>
>> Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce
>> que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal
>> faire une étape.
>>
>> La seule chose que l'on veut faire est de se prévenir d'une copie de
>> disque en dehors de notre système
>>
>> Merci
>>
>> Herve
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>
> ___
> Liste de diffusion du FRsAGhttp://www.frsag.org/
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] Chiffrage et TPM

2021-11-02 Par sujet Dang Herve 
Bonjour

Je cherche à chiffrer un disque et le déverrouiller automatiquement au
démarrage avec un TPM sous Centos.

Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce que
j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal
faire une étape.

La seule chose que l'on veut faire est de se prévenir d'une copie de disque
en dehors de notre système

Merci

Herve
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] [DIY] boîtier pour NAS

2021-08-26 Par sujet Dang Herve 
Dommage pour la communauté.

D'un côté je n'avais pas encore eu l'occasion de le tester j'avais déjà
investie dans un gnubee mais je trouvais le boitier plus finis

Herve

On Thu, Aug 26, 2021 at 4:52 AM David Ponzone 
wrote:

> Pour info, 18 mois après:
>
> https://kobol.io vient d’annoncer qu’ils arrêtaient le projet (trop de
> problème d’approvisionnement et de coûts en ce moment).
>
> C’est une  triste nouvelle, j’allais finir par commander le mien.
>
> Quelqu’un a identifié un projet similaire ?
>
>
> Le 4 janv. 2020 à 16:10, Ludovic Scotti  a écrit :
>
> Je suis tombé là dessus après lecture sur inpact-hardware.com :
> https://kobol.io/
>
> Le concept est intéressant.
>
> Le jeu. 2 janv. 2020 à 23:03, Olivier Vailleau 
> a écrit :
>
>>
>>
>> Le lun. 30 déc. 2019 à 17:24, David Ponzone  a
>> écrit :
>>
>>>
>>> Je suis assez content aussi du sortir du modèle de RAID obscur de Syno.
>>> Je crois avoir lu que certains avaient réussi à le relire sur un Linux
>>> normal, mais j’ai pas trop envie d’essayer si un jour je suis dans
>>> l’urgence.
>>>
>>
>> David,
>> Je confirme, le raid "miroir" à la sauce Syno, c'est rien d'autre qu'un
>> miroir LVM.
>> J'ai réussi à relire mes disques avec un live cd (la RescueCD, je
>> crois..) il faut bien activer le LVM et ça lit.
>>
>> La morale pour moi: Dans les entrailles du Syno, ne touche pas à ce qui
>> te dépasse.
>> et puis un backup glacier Amazon, pasque quand on fait une connerie, le
>> raid il réplique la connerie très vite.
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] [tech] LDAP / openvpn

2021-04-09 Par sujet Dang Herve 
Bonjour

Je dois mettre en relation notre openvpn avec les LDAP de google.

J'ai la connexion au LDAP non sécurisé "fonctionne" avec ldapsearch vu que
j'ai le retour suivant :
search: 2
result: 13 Confidentiality required

Par contre avec le LDAP SSL j'obtiens
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

La connexion SSL semble marchait si je me réfère aux instructions de google


Auriez vous une idée de ce que j'oublie de configurer ou de ce que je ne
fais pas correctement?

Merci

Herve
___
Liste de diffusion du FRsAG
http://www.frsag.org/