Limiter les accès physiques et les possibilités de démarrage

Support Debian
#1

Bonjour
Dans mes lectures pour sécuriser debian… on peut estimer que la 1ere étape est :

Limiter les accès physiques et les possibilités de démarrage

a) Activer un mot de passe pour le BIOS.
b) Désactiver le démarrage depuis périphériques.
c) Mettre un mot de passe à LILO ou GRUB (respectivement /etc/lilo.conf ou /boot/grub/menu.lst )
d) Vérifier que le fichier de configuration de LILO ou de GRUB est en lecture seule.

BON pour a) et b) on est d’accord qu’il faut avoir un accès physique au serveur pour tenter de le pirater ??? Peut-on dire que a) et b) ne sont pas très utiles si on a une porte blindé lol…

c) Bon comme je débute… je ne sais pas s’il existe une commande pour savoir si on utilise LILO ou GRUB… si cela existe je suis preneur pour ma culture personnelle…

Bon j’utilise GRUB (puisque /boot/grub/menu.lst existe alors que /etc/lilo.conf n’exsite pas sur ma machine).

Du coup, il va demander ce mot de passe QUAND ? à chaque démarrage ou dans d’autres situation ???
Je sais je suis nul, mais je m’améliore… :wink:

#2

# grub-md5-crypt commande introuvable ???

#3

Bonjour,

Limiter l’accès physique veut bien dire ce que ça veut dire : empêcher quelqu’un de non-autorisé à toucher physiquement à la machine. Par exemple, là où je bosse, il s’agit d’une salle serveur avec porte sécurisée dont seules les personnes autorisées ont la clef.
Dans les centres de données, ça peut aller beaucoup plus loin : gardien à l’entrée du site, ouverture des portes par biométrie/clef/badge, accès à une baie par clef puis accès au serveur par une autre clef.
Dans les solutions simples pour un particulier, certaines tours, comme les serveurs avec cache avant, disposent d’un système de fermeture par clef. Les boutons et les possibilités d’ouverture de la machine étant compliqué sans cette clef.

Limiter les possibilité de démarrage peut être un peu plus complexe, mais comme tu le dis :

  1. Limiter le démarrage que sur le disque principal (et verrouiller le BIOS par mot de passe)
  2. Exiger un mot de passe au démarrage de la machine (BIOS)
  3. Redondant, mais exiger un mot de passe sur grub
  4. Ne pas afficher le menu de grub pour éviter de démarrer sur autre chose que le système

Le problème des 2 et 3, c’est qu’a chaque démarrage, il faudra saisir le mot de passe. Dès lors, il faut que le mot de passe soit connu des utilisateurs ; ce qui le rend pratiquement inutile.
Concernant le quatrième point, cela peut poser de nombreux problèmes, notamment si le système ne démarre plus: adieu le mode de récupération.
Je reviens sur le “pratiquement inutile”. Le mot de passe au démarrage, que ce soit sur le BIOS ou grub, permet tout de même d’empêcher toutes personnes inconnues de démarrer l’OS de la station. Malheureusement, si la station est volée, puis ouverte, il reste possible de prendre le disque dur et de le mettre dans une autre station ou bien de réinitialiser le BIOS (enlever la pile + jumper à déplacé sur la carte mère). Si il s’agit simplement de protéger tout accès aux données, il suffit de chiffrer le disque dur.

Là où je travaille, les stations utilisateurs sont sous Windows, mais nous couplons le premier point avec un chiffrement Bitlocker afin de sécurisé, au mieux, les données.

#4

Au final mettre un prompt à 0 ne règle t il pas le problème…

Le risque d’obtenir un accès ROOT avec Grub ne se présente qu’au démarrage… si quelqu’un manipule le serveur physiquement ???

Ce risque n’existe pas depuis une attaque extérieure…

#5

Ben oui, mais ça vaut pour c et d aussi.

Exactement.

#6

grub-md5-crypt n’est pas installé avec grub ? il faut l’installer en plus (comment savoir quel paquet installer)

#7

Le prompt de grub ?

Une fois l’OS démarré, disons Debian, il faut s’identifier avant de faire quoique ce soit, donc oui.

Visiblement ce n’est disponible qu’avec le paquet grub-legacy: https://packages.debian.org/search?suite=default&section=all&arch=any&searchon=contents&keywords=grub-md5-crypt

#8

Voilà encore un message typique de @scam Toutes les phrases se terminent par un point d’interrogation. Une recherche avec Debian et cette commande m’amène directement à une page de wiki ubunti
On y voit à la fin comment procéder pour chiffrer les mots de passe dans la configuration de grub, via la commande grub-mkpasswd-pbkdf2 qui est bien présente sur une Debian moderne

fp2@debpacha:~$ dpkg-query --search $(which grub-mkpasswd-pbkdf2)
grub-common: /usr/bin/grub-mkpasswd-pbkdf2
fp2@debpacha:~$ dpkg --get-selections | fgrep grub
grub-common					install
grub-pc						install
grub-pc-bin					install
grub2-common					install
fp2@debpacha:~$

Le paquet grub est depuis longtemps un paquet de transition qui installe les bons paquets de grub2 (ici grub-pc au lieu des grub-efi*

Pourriez-vous nous donner les URLs où vous avez trouvé ces informations ?
Même si le paquet lilo est encore présent dans les dépôts Debian, cela fait belle lurette que grub l’a remplacé (sur les compatibles PC, sur des PowerPC on peut encore avoir yaboot ), et /boot/grub/menu.lst c’est du grub version 1, du paquet grub-legacy.

Bref, serait-il possible lorsque vous lisez quelque chose sur internet de réfréner votre envie pressante de poser des questions sur ce forum ( à la vitesse d’une mitraillette ) avant même d’avoir fait vous-même un minimum de recoupements et de recherche sur le sujet. (au moins estimer la date des documents ).

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« C’est terrible d’allonger la vie en prolongeant seulement la vieillesse. »
– Professeur Choron

« La vraie science est une ignorance qui se sait. »
– Michel Eyquem de Montaigne

2 J'aime
#9

https://www.debian.org/doc/manuals/securing-debian-howto/ch4.fr.html
Cela semblait pas trop nul comme source

http://secian.free.fr/securite/password_grub.html

Certains ne lisent pas… ils veulent une réponse…

Moi je lis… puis j’échange sur le forum pour essayer de comprendre.

Bon après peut être que je ne lis pas les bons trucs, mais je lis ce que je trouve :wink:

J’ai une explication, comme je ne parle pas anglais… avec le décalage horaire… les tuto en fraçais sont souvent périmés

#10

Pas nul certes, mais plus que datée.
Par exemple dans 4.10 les lignes qui précèdent le paragraphe 4.10.1 font référence à /dev/fd0 qui est le lecteur de disquettes.
Le fait que le paragraphe 4.10.1 Paramétrer /tmp en noexec est resté en anglais aurait pu aussi vous mettre la puce à l’oreille.

Ce document assez long contient aussi des conseils et vous pouvez facilement vérifier si c’est appliqué sur votre système. Par exemple en 4.18.2

cat /proc/sys/net/ipv4/tcp_syncookies

Le paragraphe 4.18.5 Désactiver les problèmes d’hôtes week-ennd fait allusion aux noyaux de version 2.2 ou antérieur. Je ne me rappelle plus exactement de la date de sortie de la version 3.11 Linux for workgroups, en fait on me dit que c’était en juillet 2013.

En ce qui concerne 4.20.1 svgalib d’après debian tracker svgalib la suppression de cette bibliothèque date de 2013.

Un peu d’esprit critique (surtout en matière de sécurité )

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« Celui qui, parti de rien, n’est arrivé nulle part n’a de merci à dire à personne !! »
Pierre Dac

« Je préfère le vin d’ici à l’au-delà »
Pierre Dac

#11

Ça dépend. Dans le BIOS il y a généralement deux mots de passe différents :

  • un mot de passe “utilisateur” nécessaire pour démarrer quand il est défini ;
  • un mot de passe “administrateur” nécessaire lorsqu’il est défini pour modifier la configuration ou sélectionner une soure d’amorçage autre que celle configurée par défaut.

Dans GRUB, on peut mettre en place des mots de passe pour différentes actions :

  • pour modifier la configuration ou lancer le shell depuis le menu de démarrage ;
  • pour sélectionner une entrée de menu particulière.