Confiance en réseau
Clevis et Tang

Une bonne pratique en cybersécurité consiste à chiffrer intégralement vos stockages.

cryptsetup - LUKS

LUKS is the standard for Linux hard disk encryption.

By providing a standard on-disk-format, it does not
only facilitate compatibility among distributions, but also provides secure management of multiple user passwords.

Sous Linux, vous utilisez peut-être LUKS pour chiffrer des partitions LVM.

Lorsque vous redémarrez vos serveurs, vous devez taper un mot de passe permettant le déchiffrement de vos disques.

On se connecte par exemple "out of band" en mode console pour pouvoir entrer ce mot de passe. Ou on peut installer un petit serveur ssh (dropbear-initramfs) pour se connecter à distance et entrer le sésame.

Lorsque vous avez des dizaines de serveurs en production et que vous devez redémarrer régulièrement vos services, il faut entrer "manuellement" votre mot de passe ce qui devient inconcevable.

Clevis is a plugable framework for automated decryption. It can be used to provide automated decryption of data or even automated unlocking of LUKS volumes.

$ clevis encrypt PIN CONFIG < PLAINTEXT > CIPHERTEXT.jwe
$ clevis decrypt < CIPHERTEXT.jwe > PLAINTEXT

Clevis sur github

Pour répondre à cette problématique d'industrialisation, de nouveaux concepts comme la “Network-Bound Disk Encryption” ont vu le jour.

Lors de la mini-debconf online du 30/05/2020, une présentation de Christophe BIEDL explique comment faire un démarrage automatique depuis un réseau de confiance en utilisant Clevis & Tang.

Tang is a server implementation which provides cryptographic binding services without the need for an escrow. Clevis has full support for Tang.

Tang is a server for binding data to network presence,
Tang Versus Key Escrow: Ease of Use and Simple Security.

$ echo hi | clevis encrypt tang ’{"url": "http://tang.local"}’ The advertisement is signed with the following keys:
kWwirxc5PhkFIH0yE28nc-EvjDY
Do you wish to trust the advertisement? [yN] y

Tang sur github

Une fois en place, Tang propose un protocole qui permet également de faire une rotation régulière de vos clef ce qui augmentera d'autant la protection de vos secrets.

Odoo • Image et Texte

Audit, Conseil, Expertise

G-echo vous accompagne pour sécuriser votre infostructure.

Audit, conseil, expertise pour participer à l'augmentation de votre niveau de sécurité.

En prenant en compte les besoins opérationnels et la valeur ajoutée de votre organisation.




<
Votre debian vous la prendrez comment, avec ou sans password ?
Ou comment être sûr de redevenir root sur debian même si vous avez oublié votre mot de passe...