Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
Le 02/11/2021 21:43, Orditux Informatique a écrit : On Tue, 2 Nov 2021 14:36:07 -0500 Florent CARRÉ wrote: Encore une question basique : qu'y aurait-il de mal à employer une rolling release en production si il existe un canal de mise à jour dédié seulement aux mises à jour de sécurité ? (Je ne sais pas si cela existe chez CentOS… Il me faudrait aller tester… ) Bah du coup c'est plus une rolling release, par définition. Une rolling release c'est une distribution qui se met tout le temps à jour avec les dernières version de logiciels. Comment tu fais pour avoir *QUE* des mises à jour de sécurité si t'as pas un référentiel stable ? Tu as une security team qui backport et test des patch de sécurité pour chaque version mineure de chaque soft sur les 10 dernières années (cycle de vie d'une CentOS) ? Rien que pour un logiciel comme Firefox ça fait (à la louche) 600 versions à maintenir. Personne n'a les ressources pour faire ça. Sinon tu peux simplement changer ton nom de version dans dans /etc/apt/source.list pour "stable" et ça te fait une Debian rolling-release-mais-figée-avec-que-des-maj-de-sécurité. Et pourquoi pas Suse quitte à parler de distribution RPM ? Parce que le gestionnaire de paquets n'est pas l'élément central d'une distribution. SuSe est une distribution indépendante, Oracle Linux est basée sur les sources de Red Hat, la migration est donc plutôt légère (changer les repos yum, les fichiers d'identification de la distribution et les quelques paquets modifiés/supplémentaires par Oracle). Une migration vers SuSe implique de tout réinstaller. -- Benjamin Boudoir ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
Hello, > J'ai essayé de retourner sur freebsd installé sur une VM Azure (ok avec cpu > AMD), j'étais horrifié du manque de performance face à une simple Debian > out-of-box. Azure, FreeBSD... Je ne suis pas *certain* que l’environnement soit totalement propice pour laisser le petit démon se lâcher. Personnellement, le "clowd" c'est bien, mais on est quand même mieux en bare métal... > Freebsd avec les derniers retex de Netflix sur la partie réseau me semblait > bon > pour remplacer certaines Debian mais au final, cela ne s'est pas fait. > À moins que wireguard sur Freebsd ne soit vraiment pas au point et causerait > cette perte de performance. Disons que Wireguard est mieux en mode kernel, mais ça reste encore expérimentatl > As-tu essayé Nomad pour orchestrer des jails? BastilleBSD est bien :D > C'est exactement ce qui m'intéressait dans cette migration /Xavier ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
Un pote a basculé les environnements (dev/staging et prod) sur Rocky Linux et ça tourne bien SUSE, et bien le jour où openSUSE aura les même SELinux policies que SUSE Linux Enterprise ou RHEL, oui je pourrais la tester mais actuellement, elle est toujours disqualifiée. Si je me souviens bien, CentOS Stream est une rolling release comme ArchLinux donc aucun channel dédié sauf si cela a enfin été mis en place. On Tue, Nov 2, 2021, 15:45 Orditux Informatique wrote: > On Tue, 2 Nov 2021 14:36:07 -0500 > Florent CARRÉ wrote: > > > Elle devient une rolling release (CentOS Stream), la version normale > > (RHEL-like) de CentOS étant mise à mort, il ne reste plus qu'à migrer sur > > Oracle Linux et/ou Rocky Linux. > > Encore une question basique : qu'y aurait-il de mal à employer une > rolling release en production si il existe un canal de mise à jour dédié > seulement aux > mises à jour de sécurité ? (Je ne sais pas si cela existe chez CentOS… Il > me faudrait > aller tester… ) > > > Perso, j'ai utilisé le script de migration vers Oracle Linux 8 (kernel > UEK) > > et c'est un coucou Suisse. > > Je comprends donc que cela fonctionne comme une horloge (?) > > Et pourquoi pas Suse quitte à parler de distribution RPM ? > > > PS: migration faite bien avant l'arrivée de Rocky Linux > > Ah oui, la distro "downstream". L'avez-vous testée ? > > Cordialement, > Joyce MARKOLL > > > -- > Orditux Informatique > 06 18 56 60 83 > cont...@orditux.org > RCS Foix : 381 525 765 00024 > Numéro de déclaration d'activité : 76090059009 > Identifiant DataDock 0067430 > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
On Tue, 2 Nov 2021 14:36:07 -0500 Florent CARRÉ wrote: > Elle devient une rolling release (CentOS Stream), la version normale > (RHEL-like) de CentOS étant mise à mort, il ne reste plus qu'à migrer sur > Oracle Linux et/ou Rocky Linux. Encore une question basique : qu'y aurait-il de mal à employer une rolling release en production si il existe un canal de mise à jour dédié seulement aux mises à jour de sécurité ? (Je ne sais pas si cela existe chez CentOS… Il me faudrait aller tester… ) > Perso, j'ai utilisé le script de migration vers Oracle Linux 8 (kernel UEK) > et c'est un coucou Suisse. Je comprends donc que cela fonctionne comme une horloge (?) Et pourquoi pas Suse quitte à parler de distribution RPM ? > PS: migration faite bien avant l'arrivée de Rocky Linux Ah oui, la distro "downstream". L'avez-vous testée ? Cordialement, Joyce MARKOLL -- Orditux Informatique 06 18 56 60 83 cont...@orditux.org RCS Foix : 381 525 765 00024 Numéro de déclaration d'activité : 76090059009 Identifiant DataDock 0067430 ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
Vincent, c'est facile de compter celle que j'utilise: - RPM based: RHEL et Oracle Linux (quand il n'y a pas de license Red Hat de disponible) - DEB based: Debian - spécialisée: blackarch J'ai essayé de retourner sur freebsd installé sur une VM Azure (ok avec cpu AMD), j'étais horrifié du manque de performance face à une simple Debian out-of-box. Freebsd avec les derniers retex de Netflix sur la partie réseau me semblait bon pour remplacer certaines Debian mais au final, cela ne s'est pas fait. À moins que wireguard sur Freebsd ne soit vraiment pas au point et causerait cette perte de performance. As-tu essayé Nomad pour orchestrer des jails? C'est exactement ce qui m'intéressait dans cette migration On Tue, Nov 2, 2021, 15:02 Vincent Habchi wrote: > > Elle devient une rolling release (CentOS Stream), la version normale > (RHEL-like) de CentOS étant mise à mort, il ne reste plus qu'à migrer sur > Oracle Linux et/ou Rocky Linux. > > Mais, mais, mais. Y a combien de distributions Linux en vrai ? > > Parce que, je veux pas dire, hein, mais sous BSD, on ne multiplie pas les > petits pains :p > > V. > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
> Elle devient une rolling release (CentOS Stream), la version normale > (RHEL-like) de CentOS étant mise à mort, il ne reste plus qu'à migrer sur > Oracle Linux et/ou Rocky Linux. Mais, mais, mais. Y a combien de distributions Linux en vrai ? Parce que, je veux pas dire, hein, mais sous BSD, on ne multiplie pas les petits pains :p V. ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
Elle devient une rolling release (CentOS Stream), la version normale (RHEL-like) de CentOS étant mise à mort, il ne reste plus qu'à migrer sur Oracle Linux et/ou Rocky Linux. Perso, j'ai utilisé le script de migration vers Oracle Linux 8 (kernel UEK) et c'est un coucou Suisse. PS: migration faite bien avant l'arrivée de Rocky Linux On Tue, Nov 2, 2021, 14:31 Orditux Informatique wrote: > Bonjour, > > j'ai quelques questions, parce que je n'ai pas l'impression que les > changements qui ont > eu lieu depuis 2020 signent l'arrêt de la distribution CentOS. Elle évolue. > > https://planet.centos.org > > “On October 18th, we had the historic news that project lead and long-term > Board of > Directors member Karanbir “KB” Singh will resign from the Board, effective > immediately. > > If you’ve been around CentOS for any time at all, you’ve heard of KB, and > his work with > the community. It’s safe to say that without KB, the project would not be > where it is > now. ” > …… > “KB’s departure is also a vote of confidence in the recently added > directors, and faith > that they will continue to lead the project in the right direction, even > as we shift > focus to Stream and stronger SIGs.” > > Qu'en pensez-vous ? Le modèle de développement est-il si différent de ce > qu'il a été, > que la distribution ne serait plus à plébisciter en entreprise ? > > N'est-ce pas simplement un changement de scène et quelques nouvelles > habitudes à adopter ? > > Cordialement, > Joyce MARKOLL > > PS : SIGs = Special Interest Groups > > > On Tue, 2 Nov 2021 18:03:12 +0100 > Wallace wrote: > > > PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre > > 2020, autant installer directement sur une autre distro RPM équivalente, > > autant éviter une migration sous peu. > > > -- > Orditux Informatique > 06 18 56 60 83 > cont...@orditux.org > RCS Foix : 381 525 765 00024 > Numéro de déclaration d'activité : 76090059009 > Identifiant DataDock 0067430 > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM - CentOS au présent et au futur
Bonjour, j'ai quelques questions, parce que je n'ai pas l'impression que les changements qui ont eu lieu depuis 2020 signent l'arrêt de la distribution CentOS. Elle évolue. https://planet.centos.org “On October 18th, we had the historic news that project lead and long-term Board of Directors member Karanbir “KB” Singh will resign from the Board, effective immediately. If you’ve been around CentOS for any time at all, you’ve heard of KB, and his work with the community. It’s safe to say that without KB, the project would not be where it is now. ” …… “KB’s departure is also a vote of confidence in the recently added directors, and faith that they will continue to lead the project in the right direction, even as we shift focus to Stream and stronger SIGs.” Qu'en pensez-vous ? Le modèle de développement est-il si différent de ce qu'il a été, que la distribution ne serait plus à plébisciter en entreprise ? N'est-ce pas simplement un changement de scène et quelques nouvelles habitudes à adopter ? Cordialement, Joyce MARKOLL PS : SIGs = Special Interest Groups On Tue, 2 Nov 2021 18:03:12 +0100 Wallace wrote: > PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre > 2020, autant installer directement sur une autre distro RPM équivalente, > autant éviter une migration sous peu. -- Orditux Informatique 06 18 56 60 83 cont...@orditux.org RCS Foix : 381 525 765 00024 Numéro de déclaration d'activité : 76090059009 Identifiant DataDock 0067430 pgpX24SrkVnk9.pgp Description: PGP signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM
Si j'ai bien compris le Clevis c'est un luks dont la clef se base sur le TPM? Pour les sécu listées j'ai tout de coché sauf le U2F qui me pose trop de question non résolue. Comme par exemple tu laisses ta clef Yubi trainer sur le bureau ou connecter en permanence à l'ordi, rien n'empêche quelqu'un d'autre de valider ton 2FA à ta place donc de démarrer ta session ou ton ordi chiffré. Soit j'ai loupé un élément soit ça me parait juste bloquer que quelques scénarios d'attaque mais pas tous. Par contre chez moi pas de SSO, on préfère pousser par Ansible l'authentification nécessaire sur les postes ou serveurs pour qu'il n'y ait pas de dépendance. Ton serveur d'authentification est chez Tartampion Cloud et ce dernier a un souci, plus personne ne peut utiliser les serveurs même chez d'autres hébergeurs, je trouve ça très moyen même avec un PCA/PRA. Le 02/11/2021 à 18:15, Florent CARRÉ a écrit : Wallace, je préfère l'approche du serveur, ce qui dans clevis est https://github.com/latchset/tang La chose n'est pas parfaite mais pour certains d'usage, largement suffisant. Sinon, tout à fait d'accord avec toi: - password bios/EFI - password ATA (je m'en souviens sur Thinkpad) - password LUKS au boot - password sur le single mode (coucou GRUB) - password session Ensuite, pour les plus violents: - SSO - PAM-U2F: https://www.prado.lt/how-to-configure-local-two-factor-authentication-with-u2f-on-ubuntu-19-10/amp - full disk encryption: - old: https://sandrokeil.github.io/yubikey-full-disk-encryption-secure-boot-uefi/intro.html - fido2-luks: https://github.com/shimunn/fido2luks - additional good doc: https://wiki.archlinux.org/title/YubiKey On Tue, Nov 2, 2021, 12:04 Wallace wrote: Vous avez vraiment confiance dans TPM? Qui des master keys des constructeurs (inévitables sur le marché US)? Je préfère largement qu'un utilisateur soit le seul à connaître son mot de passe, éventuellement set un deuxième mot de passe de secours pour un parc d'ordinateurs. Il le saisit au boot et on en parle plus. Ajouté un mot de passe pour protéger le bios et le changement de disque de démarrage et on est bien niveau sécurité. En mode zero trust je ne vois pas comment on peut faire confiance au TPM. Et autre avantage de cette approche, tu peux enlever le disque et le mettre dans un autre ordinateur, l'utilisateur repart directement, avec TPM il faut réinstaller obligatoirement. PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre 2020, autant installer directement sur une autre distro RPM équivalente, autant éviter une migration sous peu. Le 02/11/2021 à 17:32, Florent CARRÉ a écrit : Hello, Tu peux suivre la documentation officielle de red hat qui utilise clevis pour aussi bien utiliser un network server ou un tpm v2: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening https://github.com/latchset/clevis J'espère que cela t'aidera On Tue, Nov 2, 2021, 08:10 Dang Herve wrote: Bonjour Je cherche à chiffrer un disque et le déverrouiller automatiquement au démarrage avec un TPM sous Centos. Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal faire une étape. La seule chose que l'on veut faire est de se prévenir d'une copie de disque en dehors de notre système Merci Herve ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM
Le Luks sur les disques ça se déchiffre aussi par ssh, donc pas besoin de transmettre le code à quelqu'un sur place. Et pour le TPM si le client a la main sur le bios, il a aussi la main sur TPM donc ça ne règle pas ton problème. Pour la migration sur un autre OS pas une priorité ouah c'est énorme pour une distro qui vient de mourir, ça devrait être une urgence. Quand vous arriverez plus à installer CentOS sur un bare metal parce que le kernel est trop vieux et ne reconnait pas la carte réseau ou des périphériques vitaux vous serez au pied du mur. Le 02/11/2021 à 18:12, Dang Herve a écrit : Le but est de "sécuriser" la propriété intellectuelle de la boîte sur des machines qui seront hébergées chez les clients et la compagnie ne veut pas que quelqu'un puisse dupliquer les disques durs. Donc impossible d'avoir une personne connaissant le mot de passe chez le client. Pour Centos la migration sous un autre OS n'est pas une priorité actuellement par la direction Merci pour l'aide Herve On Tue, Nov 2, 2021 at 1:04 PM Wallace wrote: Vous avez vraiment confiance dans TPM? Qui des master keys des constructeurs (inévitables sur le marché US)? Je préfère largement qu'un utilisateur soit le seul à connaître son mot de passe, éventuellement set un deuxième mot de passe de secours pour un parc d'ordinateurs. Il le saisit au boot et on en parle plus. Ajouté un mot de passe pour protéger le bios et le changement de disque de démarrage et on est bien niveau sécurité. En mode zero trust je ne vois pas comment on peut faire confiance au TPM. Et autre avantage de cette approche, tu peux enlever le disque et le mettre dans un autre ordinateur, l'utilisateur repart directement, avec TPM il faut réinstaller obligatoirement. PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre 2020, autant installer directement sur une autre distro RPM équivalente, autant éviter une migration sous peu. Le 02/11/2021 à 17:32, Florent CARRÉ a écrit : Hello, Tu peux suivre la documentation officielle de red hat qui utilise clevis pour aussi bien utiliser un network server ou un tpm v2: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening https://github.com/latchset/clevis J'espère que cela t'aidera On Tue, Nov 2, 2021, 08:10 Dang Herve wrote: Bonjour Je cherche à chiffrer un disque et le déverrouiller automatiquement au démarrage avec un TPM sous Centos. Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal faire une étape. La seule chose que l'on veut faire est de se prévenir d'une copie de disque en dehors de notre système Merci Herve ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM
Wallace, je préfère l'approche du serveur, ce qui dans clevis est https://github.com/latchset/tang La chose n'est pas parfaite mais pour certains d'usage, largement suffisant. Sinon, tout à fait d'accord avec toi: - password bios/EFI - password ATA (je m'en souviens sur Thinkpad) - password LUKS au boot - password sur le single mode (coucou GRUB) - password session Ensuite, pour les plus violents: - SSO - PAM-U2F: https://www.prado.lt/how-to-configure-local-two-factor-authentication-with-u2f-on-ubuntu-19-10/amp - full disk encryption: - old: https://sandrokeil.github.io/yubikey-full-disk-encryption-secure-boot-uefi/intro.html - fido2-luks: https://github.com/shimunn/fido2luks - additional good doc: https://wiki.archlinux.org/title/YubiKey On Tue, Nov 2, 2021, 12:04 Wallace wrote: > Vous avez vraiment confiance dans TPM? Qui des master keys des > constructeurs (inévitables sur le marché US)? > > Je préfère largement qu'un utilisateur soit le seul à connaître son mot de > passe, éventuellement set un deuxième mot de passe de secours pour un parc > d'ordinateurs. Il le saisit au boot et on en parle plus. Ajouté un mot de > passe pour protéger le bios et le changement de disque de démarrage et on > est bien niveau sécurité. > > En mode zero trust je ne vois pas comment on peut faire confiance au TPM. > Et autre avantage de cette approche, tu peux enlever le disque et le mettre > dans un autre ordinateur, l'utilisateur repart directement, avec TPM il > faut réinstaller obligatoirement. > > PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre > 2020, autant installer directement sur une autre distro RPM équivalente, > autant éviter une migration sous peu. > Le 02/11/2021 à 17:32, Florent CARRÉ a écrit : > > Hello, > Tu peux suivre la documentation officielle de red hat qui utilise clevis > pour aussi bien utiliser un network server ou un tpm v2: > > > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening > > https://github.com/latchset/clevis > > J'espère que cela t'aidera > > > On Tue, Nov 2, 2021, 08:10 Dang Herve wrote: > >> Bonjour >> >> Je cherche à chiffrer un disque et le déverrouiller automatiquement au >> démarrage avec un TPM sous Centos. >> >> Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce >> que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal >> faire une étape. >> >> La seule chose que l'on veut faire est de se prévenir d'une copie de >> disque en dehors de notre système >> >> Merci >> >> Herve >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > > ___ > Liste de diffusion du FRsAGhttp://www.frsag.org/ > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM
Le but est de "sécuriser" la propriété intellectuelle de la boîte sur des machines qui seront hébergées chez les clients et la compagnie ne veut pas que quelqu'un puisse dupliquer les disques durs. Donc impossible d'avoir une personne connaissant le mot de passe chez le client. Pour Centos la migration sous un autre OS n'est pas une priorité actuellement par la direction Merci pour l'aide Herve On Tue, Nov 2, 2021 at 1:04 PM Wallace wrote: > Vous avez vraiment confiance dans TPM? Qui des master keys des > constructeurs (inévitables sur le marché US)? > > Je préfère largement qu'un utilisateur soit le seul à connaître son mot de > passe, éventuellement set un deuxième mot de passe de secours pour un parc > d'ordinateurs. Il le saisit au boot et on en parle plus. Ajouté un mot de > passe pour protéger le bios et le changement de disque de démarrage et on > est bien niveau sécurité. > > En mode zero trust je ne vois pas comment on peut faire confiance au TPM. > Et autre avantage de cette approche, tu peux enlever le disque et le mettre > dans un autre ordinateur, l'utilisateur repart directement, avec TPM il > faut réinstaller obligatoirement. > > PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre > 2020, autant installer directement sur une autre distro RPM équivalente, > autant éviter une migration sous peu. > Le 02/11/2021 à 17:32, Florent CARRÉ a écrit : > > Hello, > Tu peux suivre la documentation officielle de red hat qui utilise clevis > pour aussi bien utiliser un network server ou un tpm v2: > > > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening > > https://github.com/latchset/clevis > > J'espère que cela t'aidera > > > On Tue, Nov 2, 2021, 08:10 Dang Herve wrote: > >> Bonjour >> >> Je cherche à chiffrer un disque et le déverrouiller automatiquement au >> démarrage avec un TPM sous Centos. >> >> Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce >> que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal >> faire une étape. >> >> La seule chose que l'on veut faire est de se prévenir d'une copie de >> disque en dehors de notre système >> >> Merci >> >> Herve >> ___ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > > ___ > Liste de diffusion du FRsAGhttp://www.frsag.org/ > > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM
Vous avez vraiment confiance dans TPM? Qui des master keys des constructeurs (inévitables sur le marché US)? Je préfère largement qu'un utilisateur soit le seul à connaître son mot de passe, éventuellement set un deuxième mot de passe de secours pour un parc d'ordinateurs. Il le saisit au boot et on en parle plus. Ajouté un mot de passe pour protéger le bios et le changement de disque de démarrage et on est bien niveau sécurité. En mode zero trust je ne vois pas comment on peut faire confiance au TPM. Et autre avantage de cette approche, tu peux enlever le disque et le mettre dans un autre ordinateur, l'utilisateur repart directement, avec TPM il faut réinstaller obligatoirement. PS: pourquoi partir sur CentOS cet OS est en fin de vie depuis décembre 2020, autant installer directement sur une autre distro RPM équivalente, autant éviter une migration sous peu. Le 02/11/2021 à 17:32, Florent CARRÉ a écrit : Hello, Tu peux suivre la documentation officielle de red hat qui utilise clevis pour aussi bien utiliser un network server ou un tpm v2: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening https://github.com/latchset/clevis J'espère que cela t'aidera On Tue, Nov 2, 2021, 08:10 Dang Herve wrote: Bonjour Je cherche à chiffrer un disque et le déverrouiller automatiquement au démarrage avec un TPM sous Centos. Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal faire une étape. La seule chose que l'on veut faire est de se prévenir d'une copie de disque en dehors de notre système Merci Herve ___ Liste de diffusion du FRsAG http://www.frsag.org/ ___ Liste de diffusion du FRsAG http://www.frsag.org/___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] Chiffrage et TPM
Hello, Tu peux suivre la documentation officielle de red hat qui utilise clevis pour aussi bien utiliser un network server ou un tpm v2: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening https://github.com/latchset/clevis J'espère que cela t'aidera On Tue, Nov 2, 2021, 08:10 Dang Herve wrote: > Bonjour > > Je cherche à chiffrer un disque et le déverrouiller automatiquement au > démarrage avec un TPM sous Centos. > > Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce que > j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal > faire une étape. > > La seule chose que l'on veut faire est de se prévenir d'une copie de > disque en dehors de notre système > > Merci > > Herve > ___ > Liste de diffusion du FRsAG > http://www.frsag.org/ > ___ Liste de diffusion du FRsAG http://www.frsag.org/
[FRsAG] Chiffrage et TPM
Bonjour Je cherche à chiffrer un disque et le déverrouiller automatiquement au démarrage avec un TPM sous Centos. Quelqu'un aurait-il un guide ou un petit tutoriel fonctionnel? Tout ce que j'ai trouvé sur internet ne semble pas fonctionner ou alors je dois mal faire une étape. La seule chose que l'on veut faire est de se prévenir d'une copie de disque en dehors de notre système Merci Herve ___ Liste de diffusion du FRsAG http://www.frsag.org/
