Bonsoir un petit post pour avoir vos retours sur les différentes manière que vous avez pu explorer afin de sécuriser vos données. Cela peut aller de la mise en place d’une partition cryptée, du cryptage d’un répertoire, ou d’un fichier, à la restriction de droit jusqu’à l’ajout de mot de passe pour accéder a un répertoire.

Quels sont pour vous les meilleurs façon de mettre en place une sécurisation de données. Sachant très bien que la sécurité d’information sur un ordinateur est relative à l’utilisation que l’on en fait et à l’accès qu’on lui donne

Sur des documents importants: cryptage et décryptage à la volée des fichiers déposés, avec une partition temporaire (sur laquelle sont compilés des fichiers donc où ils apparaissent en clair) cryptée et avec des droits précis. Chaque fichier effacé est préalablement rempli de 00 puis effacé. Bien sûr la machine est surveillée, y compris par une webcam avec motion qui tourne sur une autre machine.

Sympa ta méthode me plaît pas mal tu as des informations sur la mise en place d’un tel système ? Je cherche à sécuriser une partie de mes données sur mon portable certaines données que je considère comme sensible et dont je ne veux pas forcément que l’on puisse y avoir accès.

[quote=“fran.b”]Sur des documents importants: cryptage et décryptage à la volée des fichiers déposés, avec une partition temporaire (sur laquelle sont compilés des fichiers donc où ils apparaissent en clair) cryptée et avec des droits précis. Chaque fichier effacé est préalablement rempli de 00 puis effacé. Bien sûr la machine est surveillée, y compris par une webcam avec motion qui tourne sur une autre machine.[/quote]+ un ours des Carpates ou un troll des montagnes pour garder le tout… et… plus d’problème de confidentialité…

(oui bon… en même temps c’est du pause café alors… … oui… désolé pour le pourissage de fil… … mais j’ai pas pu m’empêcher… )

Bien entendu les images sont envoyées sur une machine distante pour sauvegarde et une balise est émise toutes les 30s pour être sur que la machine est bien en ligne.
Vu que la première chose que font d’éventuels voleurs est de couper le téléphone (les bons j’entends) au bout de trois balises manquantes ont peut réagir en local et en distant.

Si c’est un portable voilà ce que j’ai vu sur un mac : verrouillage de la machine par mot de passe, lorsqu’on ouvre le volet si on se loupe dans le mdp l’écran flashouille et la cam prend une photo…
Bon d’accord c’est idiot un mac.

Ca me fait mourir de rire c’est histoire de prendre une photo si on se plante de mot de passe lol

Sinon c’est pas trop l’accès à la machine qui me gène étant donné que c’est un portable si j’ai des données sensible j’aimerais pouvoir me servir du portable pour présenter des choses mais garder mes infos sensibles hors de portée de toutes personnes qui pourrait utiliser mon portable (avec moi a coté toujours) sans pour autant lui dire non pas la non pas la etc…

En fait, je pourrais créer un profil invité que j’utiliserais mais ainsi je n’aurais pas accès aux informations ou plus difficilement qui sont nécessaire. Il doit y avoir un moyen d’ajouter des acl sur les différents répertoires.

PATH=/sbin:/usr/sbin:/bin:/usr/bin DESC="Preparation /tmps" NAME=divers DAEMON=/bin/true SCRIPTNAME=/etc/init.d/$NAME [ -x "$DAEMON" ] || exit 0 [ -r /etc/default/$NAME ] && . /etc/default/$NAME . /lib/init/vars.sh . /lib/lsb/init-functions do_start() { losetup /dev/loop0 /var/partition.crypt echo -n "Mot de passe:" read PASSE echo $PASSE | cryptsetup -c aes-cbc-essiv:sha256 create partition /dev/loop0 losetup /dev/loop1 /dev/mapper/partition mount /dev/loop1 /tmps } do_stop() { umount /tmps losetup -d /dev/loop1 cryptsetup remove partition losetup -d /dev/loop0 } do_reload() { return 0 } case "$1" in start) [ "$VERBOSE" != no ] && log_daemon_msg "Starting $DESC" "$NAME" do_start case "$?" in 0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;; 2) [ "$VERBOSE" != no ] && log_end_msg 1 ;; esac ;; stop) [ "$VERBOSE" != no ] && log_daemon_msg "Stopping $DESC" "$NAME" do_stop case "$?" in 0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;; 2) [ "$VERBOSE" != no ] && log_end_msg 1 ;; esac ;; restart|force-reload) log_daemon_msg "Restarting $DESC" "$NAME" do_stop case "$?" in 0|1) do_start case "$?" in 0) log_end_msg 0 ;; 1) log_end_msg 1 ;; # Old process is still running *) log_end_msg 1 ;; # Failed to start esac ;; *) ;; esac ;; *) echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2 exit 3 ;; esac : Ce fichier s’appelle /etc/init.d/crypt et doit être lancé au démarrage.

Motion est lancé par ce fichier

[code]#!/bin/sh
cd ~/surveille
FICHIER=/tmp/surveilleliste
echo -n > $FICHIER
FILM=/bin/date --date '1 day ago' +"surveille-%Y-%m-%d.avi"

echo $FILM

for i in seq 1 9 ; do ls 0$i* >> $FICHIER 2> /dev/null ; done
NB=ls *.jpg | grep -E "^[1-9][0-9]" | sed -e '1,$s/^\([0-9]*\)-.*$/\1/' | sort -u
for i in $NB ; do ls $i-* >> $FICHIER 2> /dev/null
#echo $i
done
cat $FICHIER | xargs jpegtoavi -f 25 320 240 > $FILM
killall motion
rm *.jpg
sleep 2
screen -d -m motion -c /home/francois/motion.conf
[/code]
qui est exécuté tous les jours par crontab.

Enfin un script fait un rsync régulièrement toutes les minutes sur un serveur distant.

du coup tu vois le film de la journée en accéléré si tu demandes un fps de 25 à jpegtoavi, c’est bien pratique ça
je suppose que tu demandes 1 image par seconde à motion non ?

tu n’as jamais voulu utiliser la capacité de détection de mouvement de motion ?
c’est très pratique
cela permettrait de minimiser la taille de tes films, voire de ne pas en avoir en cas d’absence de mouvement

ben c’est encore un truc de maqueux

J’ai testé motion avec la détection de mouvement sa fonctionne pas mal quelques petits déclenchement d’enregistrement lorsque l’ombre d’un véhicule se profile contre le mur mais bon pas trop de problème sinon.

Reste à retrouver ma config car c’est sur un autre PC qui est down complètement.

[quote=“antalgeek”]du coup tu vois le film de la journée en accéléré si tu demandes un fps de 25 à jpegtoavi, c’est bien pratique ça
je suppose que tu demandes 1 image par seconde à motion non ?

tu n’as jamais voulu utiliser la capacité de détection de mouvement de motion ?
c’est très pratique
cela permettrait de minimiser la taille de tes films, voire de ne pas en avoir en cas d’absence de mouvement[/quote]
Si, c’est ce que j’utilise, dans la pratique les films sont petits (1 à 10M)

Dans motion on peux configurer le nombre de px qui ont changé entre deux trames ainsi qu’une correction de luminosité (à valider je confonds peut-être avec opencv). Cela pourra peut-être filtrer tes évènements non désirés.

Sinon j’avais fait un petit programme permettant de filtrer les images issues de motion en fonction d’objets détectés.
Par exemple au bureau j’ai une cam qui pointe vers une fenêtre : si un chat passe devant le système s’en fiche, si c’est un bonhomme alors j’agis.

Dans motion on peux configurer le nombre de px qui ont changé entre deux trames ainsi qu’une correction de luminosité (à valider je confonds peut-être avec opencv). Cela pourra peut-être filtrer tes évènements non désirés.

Sinon j’avais fait un petit programme permettant de filtrer les images issues de motion en fonction d’objets détectés.
Par exemple au bureau j’ai une cam qui pointe vers une fenêtre : si un chat passe devant le système s’en fiche, si c’est un bonhomme alors j’agis.[/quote]

Et si c’est un homme déguisé en chat qui passe devant la fenêtre ?

Judicieuse remarque, pour les chats je ne sais pas mais mon chien avait tendance à déclencher le bouzin quand il regardait la camera. Je précise quand même : mon clebs a une “chetron sauvage”.
La recherche est faite en fonction de critères morphologiques comme le visage, le haut du corps humain et un corps humain en entier.
Les descriptifs sont relativement robustes (quoique quand j’ai bricolé mon concombre j’ai eu des surprises) mais au fil des versions d’opencv on arrive à un résultat correct. D’ailleurs faut que je finisse de packager la 2.0 pour lenny.
Bref dans le cas où la forme en mouvement n’est pas assimilable à un objet cherché il faut en revenir aux vieux fondamentaux de la vision industrielle : mon contour est-il au bon endroit ? mon motif (template) est-il aussi au bon endroit ?..
Je ne suis pas allé jusque là même si j’aurais bien aimé je me suis contenté de 3 états :

1. rien ne bouge tout va bien
2. ça bouge
3. ça bouge et on est sur que c’est un bonhomme

A ne pas sortir du contexte…

Quand je vous lis, je me rends compte que je ne pourrais pas encore longtemps me passer de cryptage sur certains fichiers.

A l’heure actuelle, je ne crypte rien, par flemme et par manque de paranoïa.

Mais en regardant le contenu de ~/Documents, je m’aperçois qu’un mal intentionné aurait de quoi usurper sept fois mon identité. S’il y accédait…

Mes postes ne sont pas connectés 24h/24 au net, et je reste rassuré par l’idée qu’il faudrait vraiment qu’on me cherche MOI pour avoir un soucis. Dans le même temps, tout document comportant des infos confidentielles est déchiré en très petits morceaux mélangés à des ordures humides, par paranoïa.

Moi j’ai plus peur d’hadopi que d’une éventuelle intrusion sur mon système ( pléonasme? ), car de toute façon, à partir du moment où je n’ai rien de confidentiel sur mon pc, je ne vois pas pourquoi s’embêter à crypter ses disques, faire une vérification md5 à chaque démarrage, mettre une webcam 24/24, avoir un mot de passe 128 caractère, dont aucun alphanumérique, avoir tout en filaire pour éviter les captations d’ondes ( même la souris, on sait jamais ), avoir des règles iptables en béton, ssh sur le port 64203, http sur le port 6789, et ne pas laisser l’utilisateur lambda monter une partition, ne jamais, au grand jamais, installer sudo, ni mettre les données web dans /var/www.

enfin bref, non, je ne suis pas parano, moi.

[quote=“L0u!$”][…]je ne vois pas pourquoi s’embêter à crypter ses disques, faire une vérification md5 à chaque démarrage, mettre une webcam 24/24, avoir un mot de passe 128 caractère, dont aucun alphanumérique, avoir tout en filaire pour éviter les captations d’ondes ( même la souris, on sait jamais ), avoir des règles iptables en béton, ssh sur le port 64203, http sur le port 6789, et ne pas laisser l’utilisateur lambda monter une partition, ne jamais, au grand jamais, installer sudo, ni mettre les données web dans /var/www.

enfin bref, non, je ne suis pas parano, moi.[/quote]

tu fermes ta maison à clé quand tu parts ?
tu fermes ta bagnole quand tu la gares ?
tu ne donnes pas de renseignements personnels au démarcheurs téléphoniques ?
tu ne fais pas traîner ton ip fixe sur n’importe que domaine ?

si tu as répondu oui à une de ces questions ta remarque précédente est hors de propos
sinon tu vis au pays des bisounours

[quote=“antalgeek”][quote=“L0u!$”][…]je ne vois pas pourquoi s’embêter à crypter ses disques, faire une vérification md5 à chaque démarrage, mettre une webcam 24/24, avoir un mot de passe 128 caractère, dont aucun alphanumérique, avoir tout en filaire pour éviter les captations d’ondes ( même la souris, on sait jamais ), avoir des règles iptables en béton, ssh sur le port 64203, http sur le port 6789, et ne pas laisser l’utilisateur lambda monter une partition, ne jamais, au grand jamais, installer sudo, ni mettre les données web dans /var/www.

enfin bref, non, je ne suis pas parano, moi.[/quote]

tu fermes ta maison à clé quand tu parts ?
tu fermes ta bagnole quand tu la gares ?
tu ne donnes pas de renseignements personnels au démarcheurs téléphoniques ?
tu ne fais pas traîner ton ip fixe sur n’importe que domaine ?

si tu as répondu oui à une de ces questions ta remarque précédente est hors de propos
sinon tu vis au pays des bisounours[/quote]

Je ferme ma maison à clef quand je pars de chez moi, et j’éteint mon ordi quand je ne l’utilise pas.
Je n’ai pas de bagnole.
Les démarcheurs téléphoniques, ils sont juste chiants, je leur raccroche au nez, et je ne suis pas en liste rouge ( c’est comme ça qu’on dit? ). mais je vois pas bien le rapport avec l’informatique.
Je n’ai pas d’ip fixe.

Et non, je ne vis pas dans le monde des bisounours.
Mon serveur, lui, est protégé et c’est normal. Mon PC, lui, a le strict minimum et un autologin.

Ben tu fermes ta maison et tu sécurise ton serveur donc tu veilles à ce que personne ne puisse accéder à tes biens et données personnels…et tu ne vis pas au pays des bisounours.
Le cryptage des données répond à la problématique suivante : si par hasard quelqu’un accède à mes données celles-ci ne doivent pas être (facilement) lisibles.
La video-surveillance répond quand à elle au besoin : je veux être averti si quelqu’un essaye d’accéder à mes biens/données personnels.
Pour un particulier comme toi et moi ces deux derniers moyens de protection ne servent pas à grand chose si ce n’est protéger ses mots de passe, les photos de famille, les meubles…
Pour une entreprise qui peut diviser sa facture d’assurance par 2 et montrer à ses concurrents qu’elle veille au grain l’intérêt est immédiat.
La probabilité de se faire visiter par un malveillant personnage est de 1 pour un paquet de boîtes, il convient de se protéger.

Je comprends parfaitement ashgenesis dans sa recherche de sécurisation de certains répertoires je vis cette situation au quotidien.
Je me ballade de client en client avec mon portable sous le bras. Celui-ci me sert à illustrer ce que je montre au client, faire mes devis, modifier des sources de programmes, modifier des plans. Il est donc impératif que personne ne puisse accéder à certaines données.

Vois-tu le rapport avec les clés de voiture maintenant ?

@L0u!$

Ce n’est pas forcément une question de paranoïa mais plutôt une question de confidentialité si jamais j’ai besoin de mon ordi pour faire une présentation ou pour montrer certaines choses à différentes personnes je souhaite ne pas avoir de problème du genre ‘oups pas ça’ ou ne pas pouvoir montrer quelque chose car d’autres informations confidentielles seraient présentes.

Dans ce cas vous me direz de tout séparer mais reconstruire un environnement de travail complet pour quelques données confidentielles, c’est utiliser un lance roquette pour abattre une mouche.

Il y a des situations ou un minimum de paranoïa peut nous faciliter la vie