CONNEXION
  • RetourJeux
    • Sorties
    • Hit Parade
    • Les + populaires
    • Les + attendus
    • Soluces
    • Tous les Jeux
    • Gaming
  • RetourActu Gaming
    • News
    • Astuces
    • Tests
    • Previews
    • Toute l'actu gaming
  • RetourBons plans
    • Bons plans
    • Bons plans Smartphone
    • Bons plans Hardware
    • Bons plans Image et Son
    • Bons plans Amazon
    • Bons plans Cdiscount
    • Bons plans Decathlon
    • Bons plans Fnac
    • Tous les Bons plans
  • RetourJVTech
    • Actus High-Tech
    • Intelligence Artificielle
    • Smartphones
    • Mobilité urbaine
    • Hardware
    • Image et son
    • Tutoriels
    • Tests produits High-Tech
    • Guides d'achat High-Tech
    • JVTech
  • RetourCulture
    • Actus Culture
    • Culture
  • RetourVidéos
    • A la une
    • Gaming Live
    • Vidéos Tests
    • Vidéos Previews
    • Gameplay
    • Trailers
    • Chroniques
    • Replay Web TV
    • Toutes les vidéos
  • RetourForums
    • Hardware PC
    • PS5
    • Switch 2
    • Xbox Series
    • Switch
    • Pokemon pocket
    • FC 25 Ultimate Team
    • League of Legends
    • Tous les Forums
  • PC
  • PS5
  • Xbox Series
  • Switch 2
  • PS4
  • One
  • Switch
  • iOS
  • Android
  • MMO
  • RPG
  • FPS
En ce moment Genshin Impact Valhalla Breath of the wild Animal Crossing GTA 5 Red dead 2
Liste des sujets

chroot & sécurité

ThoMauh
ThoMauh
Niveau 2
24 août 2015 à 12:31:13

Je viens de dépanner pour la première fois mon système (Manjaro) en bootant sur la clé USB de la distribution, en montant mes partitions et manipulant les fichiers système qui posaient problème en chroot.

Tout ça s'est fait assez simplement et sans avoir eu besoin d'utiliser le compte root de mon système. Du coup je m'interroge : n'importe qui, disposant d'un live system USB linux, peut accéder à l'intégralité de mes fichiers stockés ; c'est pas terrible en terme de sécurité, non ?

Nh3xus
Nh3xus
Niveau 10
24 août 2015 à 12:43:55

Si ça te tracasse tant que ça, tu chiffre ton /home avec LUKS + dm-crypt.

ça protège tes données mais on peut toujours compromettre ton système.

Pour mieux protéger le système, tu peux chiffrer l'intégralité du système avec LUKS + dm-crypt à l'exception de la partition /boot que tu prends soin de déplacer sur une carte SD / une clé USB.

Comme ça, impossible de démarrer la bécane sans cette clé USB : pas d'accès au GRUB, rien, nada.

Après de manière générale, lorsque tu as un accès physique à une machine, c'est déjà trop tard si le mec est vraiment calé.

Mais ça reste très efficace et difficile à contourner.

PS : Sur un PC Windows non chiffré on peut aussi monter les partitions NTFS avec un Linux Live et tout modifier, y compris les mots de passes des comptes Windows (merci aux hash NTLM pas sécurisés et aux rainbow tables).

Message édité le 24 août 2015 à 12:44:28 par Nh3xus
Pseudo supprimé
Pseudo supprimé 24 août 2015 à 20:37:44

Pour mieux protéger le système, tu peux chiffrer l'intégralité du système avec LUKS + dm-crypt à l'exception de la partition /boot que tu prends soin de déplacer sur une carte SD / une clé USB.

On te la vole, tu la perds. Et si tu laisses /boot sur ton disque quelqu'un va bricoler ton initrd pour y foutre un keylogger. La vie est belle, mais faut mettre une limite à ce que tu veux arrêter, soit plus souvent ceux qui veulent voler ton ordi qu'un mec calé (comme vous dites) qui va prendre son temps mais finir par réussir.

Pseudo supprimé
Pseudo supprimé 25 août 2015 à 12:51:52

Un pc accessible physiquement est compromis. ( citation d'un expert en sécurité )
on peut très bien te mettre un sale truc dans ton loader ou ton kernel sur ton pc, tu vas faire quoi ? mettre ton pc dans un coffre fort pour que personne n'y touche ?

ThoMauh
ThoMauh
Niveau 2
25 août 2015 à 14:39:45

Je pensais qu'il existait une solution intermédiaire en fait, du type mot de passe obligatoire au GRUB, ou même au chroot :-(

Le /boot sur USB est une bonne idée sinon, quoi qu'un peu tordue et lourde à mettre en oeuvre.

L'incohérence que je soulevais était que : le système demande des droits d'utilisateur pour manipuler des fichiers d'une part et peut les outrepasser en moins de 2 minutes avec une clé bootable d'autre part.

Nh3xus
Nh3xus
Niveau 10
25 août 2015 à 15:32:20

le système demande des droits d'utilisateur pour manipuler des fichiers d'une part et peut les outrepasser en moins de 2 minutes avec une clé bootable d'autre part.

C'est un mécanisme pensé pour éviter de bricker le système, comme on peut par exemple bricker un smartphone en jouant à l'apprenti sorcier avec son bootloader.

Mettre un mot de passe sur le GRUB c'est tout à fait possible.

Mais le fichier de conf de Grub reste librement accessible puisqu'il n'est pas chiffrable.

Donc c'est un peu plus long à contourner mais c'est pas difficile non plus.
M'enfin, comme je te l'ai expliqué plus haut, Windows n'est pas mieux lotis à ce niveau là.

Message édité le 25 août 2015 à 15:34:03 par Nh3xus
vava740
vava740
Niveau 10
26 août 2015 à 16:33:23

De la lecture sur le sujet : https://twopointfouristan.wordpress.com/2011/04/17/pwning-past-whole-disk-encryption/

Pseudo supprimé
Pseudo supprimé 26 août 2015 à 22:20:26

Le 26 août 2015 à 16:33:23 vava740 a écrit :
De la lecture sur le sujet : https://twopointfouristan.wordpress.com/2011/04/17/pwning-past-whole-disk-encryption/

Exact, le loader ou le boot sera toujours décrypter. Et de toutes façon même un disque dur crypté est décryptable, suffit juste d'avoir une ordinateur ultrapuissant ou de trouver la clé par un quelconque moyen. J'ai vu l'info passé pour un pédo qu'il avait arrêté et qui refusait de donner la clé de décryptage de son disque, ils ont fini par la trouver quand même :rire:

ThoMauh
ThoMauh
Niveau 2
29 août 2015 à 10:13:38

Le 25 août 2015 à 15:32:20 Nh3xus a écrit :

le système demande des droits d'utilisateur pour manipuler des fichiers d'une part et peut les outrepasser en moins de 2 minutes avec une clé bootable d'autre part.

C'est un mécanisme pensé pour éviter de bricker le système, comme on peut par exemple bricker un smartphone en jouant à l'apprenti sorcier avec son bootloader.

Bein disons que la solution intermédiaire aurait été d'exiger au montage des partitions système le root système, non ?

Finalement j'ai opté pour le mot de passe au démarrage de l'EFI plutôt qu'au GRUB vu que je l'ai TIMEOUT=0 pour gagner du temps :oui:

Mettre un mot de passe sur le GRUB c'est tout à fait possible.

Mais le fichier de conf de Grub reste librement accessible puisqu'il n'est pas chiffrable.

Donc c'est un peu plus long à contourner mais c'est pas difficile non plus.
M'enfin, comme je te l'ai expliqué plus haut, Windows n'est pas mieux lotis à ce niveau là.

Je crois qu'on est tous convaincu ici, concernant Windows :hap:

Sous forums
  • Aide à l'achat Mac
  • Macintosh
  • Création de Jeux
  • Programmation
  • Création de sites web
  • Linux
  • Internet
  • Steam Deck
  • Hardware
La vidéo du moment