==> la machine sera enfermée dans une VM et fournira ses services uniquement au travers du réseau. Il ne sera pas possible d'ouvrir une session en local sur la machine.
Il suffit qu'il lance le vdi avec virtualbox sur son poste , et hop pas de problème.
Si tu reste dans un contexte "client", et non pas sécurité importante (espionnage industriel, espionnage, ...), les clients s'en foutent un peu de prendre la main de façon "non conforme".
Tu leur fout juste un user avec un shell diminué , un mdp grub et basta.
L'intérêt est que si le disque est monté en esclave sur un autre poste les données ne seront pas exploitables.
Il fera une cold boot attack. Avec une machine virtuelle il suffit de faire un snapshot de la mémoire...
et hop a lui les clés.
Si il veut, il pourra (vu que le système peux, et que potentiellement il peut se faire passer pour le système).
Mon client qui va effectuer le prêt est horriblement méfiant et envisage lors du prêt de pc fixe des solutions physiques, comme détruire tout les ports non utilisés sur la carte mère et couler dans une résine le disque et toutes les nappes !
Si il a du fric a dépenser, autant acheter directement auprès de la dgse ou de la nsa/leur fournisseur un portable convenablement durci, prendre de vrais expert sécu plutôt que linuxfr, etc...
(sans compter que les mesurette que tu cite ça n'empêche pas une connexion direct sur une puce, une attaque par un attaquant niveau 3, etc...
bref parano mais con et inutile)
L'application utilise PHP/MySQL/apache/java.
Et ça serait pas plus simple de mettre en place un vpn ?
Un coup de tunnel ssh sur le port 443 si tu es un derrière un proxy....
ou même une bête authentification sur une machine en dmz qui sert pour les demos....
Le client n'accorde aucune confiance à ses commerciaux.
Qu'il paie un expert sécu et ce qui vas avec sa "non confiance".
Non, la sécu c'est pas "oh tiens si je faisais de la sécu, j'aime pas mes commerciaux". Il veut de la sécu pour emmerder son personnel ? Ben qu'il la paie si il est si intelligent!
Enfin, j'aimerais savoir comment il espère qu'un type ait envie de vendre un truc si le patron est même pas foutu de les respecter...
[^] # Re: Il y a quelque chose qui ne va pas dans ton concept
Posté par briaeros007 . En réponse au message partition chiffrée. Évalué à 5.
Il suffit qu'il lance le vdi avec virtualbox sur son poste , et hop pas de problème.
Si tu reste dans un contexte "client", et non pas sécurité importante (espionnage industriel, espionnage, ...), les clients s'en foutent un peu de prendre la main de façon "non conforme".
Tu leur fout juste un user avec un shell diminué , un mdp grub et basta.
L'intérêt est que si le disque est monté en esclave sur un autre poste les données ne seront pas exploitables.
Il fera une cold boot attack. Avec une machine virtuelle il suffit de faire un snapshot de la mémoire...
et hop a lui les clés.
Si il veut, il pourra (vu que le système peux, et que potentiellement il peut se faire passer pour le système).
Mon client qui va effectuer le prêt est horriblement méfiant et envisage lors du prêt de pc fixe des solutions physiques, comme détruire tout les ports non utilisés sur la carte mère et couler dans une résine le disque et toutes les nappes !
Si il a du fric a dépenser, autant acheter directement auprès de la dgse ou de la nsa/leur fournisseur un portable convenablement durci, prendre de vrais expert sécu plutôt que linuxfr, etc...
(sans compter que les mesurette que tu cite ça n'empêche pas une connexion direct sur une puce, une attaque par un attaquant niveau 3, etc...
bref parano mais con et inutile)
L'application utilise PHP/MySQL/apache/java.
Et ça serait pas plus simple de mettre en place un vpn ?
Un coup de tunnel ssh sur le port 443 si tu es un derrière un proxy....
ou même une bête authentification sur une machine en dmz qui sert pour les demos....
Le client n'accorde aucune confiance à ses commerciaux.
Qu'il paie un expert sécu et ce qui vas avec sa "non confiance".
Non, la sécu c'est pas "oh tiens si je faisais de la sécu, j'aime pas mes commerciaux". Il veut de la sécu pour emmerder son personnel ? Ben qu'il la paie si il est si intelligent!
Enfin, j'aimerais savoir comment il espère qu'un type ait envie de vendre un truc si le patron est même pas foutu de les respecter...