[sécurité] Protéger le noyau et l'initramfs

[Moviuro]

Plop,

Dans le cas où, comme moi, vous êtes parano , vous avez un / chiffré.
Par contre, quid du noyal et de l'initrd qui sont sur une partition non chiffrée ?... Bah il faut s'assurer qu'ils sont bons.
Mais ça, il faut le faire quand ?
En fait, ça ne devient critique que si la machine a accès au réseau : si la machine a accès, PAF, faut considérer que la machine est intégralement compromise, fin de l'histoire.

Donc, je vous propose des services systemd qui vont vous balancer en rescue.target avant d'avoir du réseau si les checksum sont pas bonnes.

Code : Tout sélectionner

/etc/systemd/system/update-checksum@.path
[Unit]
Description=Watch /boot/%i to update its checksums

[Path]
PathChanged=/boot/%i

[Install]
WantedBy=multi-user.target

Code : Tout sélectionner

/etc/systemd/system/update-checksum@.service
[Unit]
Description=Update /boot/%i's checksums

[Service]
Type=oneshot
Environment=destination=/etc/sha512
ExecStartPre=-/usr/bin/mkdir ${destination}
ExecStart=/usr/bin/sh -c "/usr/bin/sha512sum /boot/%i > ${destination}/%i.sha512"

Code : Tout sélectionner

/etc/systemd/system/verifyhash@.service
[Unit]
Description=Verify /boot/%i's hash against the one stored on the encrypted drive
OnFailure=gotorescue.service

[Service]
Type=oneshot
Environment=location=/etc/sha512
ExecStart=/usr/bin/sha512sum -c ${location}/%i

Code : Tout sélectionner

/etc/systemd/system/gotorescue.service
[Unit]
Description=Go to rescue.target

[Service]
Type=oneshot
ExecStart=/usr/bin/systemctl isolate rescue.target

Code : Tout sélectionner

/etc/systemd/system/<votre ou vos service(s) de gestion de réseau>.service.d/afterhashcheck.conf
[Unit]
After=verifyhash@vmlinuz-linux.service verifyhash@initramfs-linux.img.service
Requires=verifyhash@vmlinuz-linux.service verifyhash@initramfs-linux.img.service

Il suffit alors d'activer update-checksum@vmlinuz-linux.path et update-checksum@initramfs-linux.img.path puis de réinstaller linux : ça devrait créer /etc/sha512 et ajouter les fichiers de sha512 dedans... sinon, c'est qu'il y a un truc cassé

Voilà, c'est in ze box.
(Je vous conseille de faire un test avec une checksum volontairement altérée, s'assurer que ça fonctionne bien comme voulu)

EDIT: l'accès au réseau, c'est pour dire que le rootkit ou n'importe quelle saloperie qui traîne a peut-être pu envoyer des informations vers un serveur.

[Elbarto]

Dans le cas où, comme moi, vous êtes parano , vous avez un / chiffré.

étant parano je refuse d'avoir un "/" chiffré, car je me dis que le risque n'est pas négligeable de me retrouver ensuite dans l'incapacité de déchiffrer la partition "/" le jour où il y aura un bug avec l'outil qui sert à déchiffrer, ou quand cet outil ne sera plus disponible

trop de sécurité peut paradoxalement nuire à la sécurité

[Moviuro]

Dans le cas où, comme moi, vous êtes parano , vous avez un / chiffré.

étant parano je refuse d'avoir un "/" chiffré, car je me dis que le risque n'est pas négligeable de me retrouver ensuite dans l'incapacité de déchiffrer la partition "/" le jour où il y aura un bug avec l'outil qui sert à déchiffrer, ou quand cet outil ne sera plus disponible

trop de sécurité peut paradoxalement nuire à la sécurité

Bof bof... Franchement, LUKS est bien assez vieux (mature !) et stable pour être sûr de pas tout casser. Au pire, faut sauvegarder les headers LUKS.
Aussi, "nuire à la sécurité", c'est pas vrai. rien n'est plus secure que quelque chose que même toi tu peux plus ouvrir.
(Et puis sous Arch, il faut savoir apprécier la casse, aussi )

[Elbarto]

il ne serait pas plus simple de se concentrer plutôt sur le firewall pour empêcher l'accès à distance de la machine par un hacker ?

sans oublier des mots de passe forts et variés,

le truc de chiffrer sa partition ça me semble utile surtout dans un cas de figure précis: c'est lorsque tu as peur que quelqu'un vole ton PC, en général c'est utile si on a un PC portable et qu'on sait qu'on peut se le faire voler au bureau pendant la pause de midi, au moins le voleur ne saura pas décrypter le contenu

[Moviuro]

le truc de chiffrer sa partition ça me semble utile surtout dans un cas de figure précis: c'est lorsque tu as peur que quelqu'un vole ton PC, en général c'est utile si on a un PC portable et qu'on sait qu'on peut se le faire voler au bureau pendant la pause de midi, au moins le voleur ne saura pas décrypter le contenu

Ce qui est exactement mon cas... 2 ordinateurs plutôt pas dégueu en résidence étudiante dont 1 avec je balade tout le temps dans mon sac pour aller en cours.
Et protéger le noyau, c'est si quelqu'un installe un noyau custom sur la machine pour y injecter un rootkit. Bref, je ne nie pas l'aspect complètement paranoïaque de la chose, mais c'est un cas de figure qui peut se produire (pouvoir = c'est dans le champ des possibles).