Le policier qui dressait le constat nous a demandé s’il y avait un système de tracking sur un des laptops. Honte à moi, je prévoyais de l’installer à mon retour…

Mieux vaut prévenir…

Évidemment, personne n’aimerait voir son laptop se faire voler. Mais si on ne s’y est pas préparé, le retrouver sera probablement impossible. Même si dans tous les cas la probabilité de le retrouver reste faible, pourquoi ne pas mettre toutes les chances de votre côté ?

Identification

La première information qui aurait pu être utile et que nous n’avons malheureusement pas pu communiquer aux policiers, c’est un moyen d’identifier l’ordinateur ! Prenez donc le temps de noter sur une feuille de papier et/ou quelque part dans le Cloud les informations discriminantes de votre laptop :

• Sa marque et modèle
• Son numéro de série
• Ses éventuels numéros tracking propres au constructeur
• Ses adresses MAC (Ethernet, WiFi, WiMax, Bluetooth)

Ce n’est pas grand chose mais si la police venait à retrouver une centaine de laptops dans une cache, ils pourraient probablement vous restituer le vôtre.

Si votre laptop est volé, avoir son numéro de série va vous permettre de l’inscrire sur plusieurs listes :

• Stolen-Property, StolenComputers et bien d’autres sont des bases de données de numéros de série d’ordinateurs volés. Un acheteur consciencieux devrait toujours obtenir le numéro de série avant d’acheter et l’entrer sur ces sites.
• La hotline du constructeur garde généralement ce genre de listes. Si quelqu’un les contactait pour de l’assistance sur votre machine, ils pourraient vous en informer.

Bien sûr, ces solutions sont des “long shot”. Si vous souhaitez être plus proactif dans la récupération de votre ordinateur, il va falloir s’orienter vers des solutions logicielles voire matérielles…

Solutions logicielles

Vous avez probablement déjà entendu parler de telles solutions : vous installez un logiciel de tracking sur votre machine et un site gratuit ou payant vous permet de le localiser, de prendre une photo webcam et de collecter d’autres informations.

La solution que je recommande parce qu’elle est aboutie, puissante et pourtant Open-Source est Prey. Cette solution gratuite est disponible sur toutes les plateformes : Windows, MacOS, Linux et même iOS et Android !

Par défaut Prey fonctionne de manière centralisée sur les serveurs du projets. Cela le rend très facile d’utilisation mais avec quelques options payantes heureusement achetables après le vol.

Dans sa version “geek”, Prey est entièrement décentralisé, se basant sur votre propre système, et donc sans aucun risque pour votre vie privée. Je vous recommande aussi de vous renseigner sur Adeona une solution encore plus sûre mais toujours développement.

Attention tout de même : n’oubliez pas que ces solutions nécessitent que votre ordinateur se connecte à Internet ! Pour cette raison, je recommande de laisser un compte “invité” sans aucun droits d’accès mais qui suffira au voleur. Évidemment la solution logicielle ne survivra pas au formatage de l’ordinateur.

Solution matérielle

Mis à part essayer de faire tenir dans votre chassis un de ces appareils servant à espionner votre femme/enfants/employé, je ne connais qu’une solution qui résiste à un reformatage du PC : Computrace.

Très peu connue du grand public, Computrace, commercialisé sous le nom LoJack for Laptops, est une technologie d’Absolute Software inclue dans la plupart des ordinateurs récents (liste de compatibilité). Les mauvaises langues diront que Computrace est un trojan caché dans le BIOS de ces machines et ils n’auraient pas tout à fait tort. Puisqu’il est contenu dans le BIOS, ce petit script est impossible à supprimer. S’il le faut, il se réinstalle au démarrage ce qui le rend même immunisé à un changement du disque dur.

A la manière de Prey, il contacte toutes les 24 heures les serveurs de Computrace pour voir si la machine a été volée (puis toutes les 20 minutes si c’est le cas) et permet de localiser l’ordinateur ou en effacer les données si requis. Malheureusement, en plus de nécessiter Windows ou MacOS pour fonctionner, c’est une solution commerciale qui nécessite de payer un abonnement annuel (minimum 30$/an) et de configurer la machine avant qu’elle ne soit volée.

(Petite note d’inquiétude pour le geek qui est en vous : Computrace semble contacter les serveurs d’Absolute Software même s’il n’a jamais été activé. Serions-nous trahis par notre BIOS ? Heureusement que leur technologie n’est pas compatible Linux…)

Conclusion

Voilà j’espère que je vous aurai convaincu de prendre quelques minutes de votre temps pour préparer le pire. En tout cas, moi j’ai installé Prey sur tous les nouveaux laptops que nous avons dû acheter suite à nos mésaventures.

Pour pousser le vice plus loin, n’oubliez pas de chiffrer vos données sensibles et de révoquer vos clés et mots de passe si nécessaire.

Pour en savoir plus, je vous invite à lire les récits de récupérations grâce à Prey ou, pourquoi pas, expliquer en commentaire comment vous sécurisez votre précieux PC.

Si vous avez aimé ce post...

1. Linux – Laptop – Ultimate Powersaving !
2. Partager la connexion de son laptop
3. Internet sur votre laptop via un iPhone

Malheureusement l’organisateur n’avait rien organisé de plus que les affiches. Arrivé sur place j’ai donc dû faire ce que j’ai pu pour prendre les choses en main. Voici enfin compilé et en français quelques conseils pour qu’une Key Signing Party d’une taille raisonnable (nous étions une quinzaine) se déroule correctement.

C’est quoi PGP et une Key Signing Party?

Pour ceux qui ne connaissent pas, PGP ou “Pretty Good Privacy” est un système cryptographique introduit par Philip Zimmermann et basé sur le principe connu des paires de clés publiques et privées. Désormais standardisé en la norme OpenPGP (RFC4880), PGP permet de sécuriser ses communications soit en signant un message pour prouver son auteur soit en chiffrant le contenu pour être sûr que seul le destinataire légitime pourra le lire.

Mais puisque tout le monde peut générer sa paire de clés de chiffrement, il faut un moyen de lui donner de la valeur : il faut que d’autres personnes signent la clé publique pour certifier l’identité de son propriétaire. Pour cela on organise lors de divers rassemblements geeks des Key Signing Parties où les utilisateurs de PGP s’échangent leurs clés publiques et procèdent à une vérification de l’identité (grâce à un Passeport ou autre document officiel).

Étape 1 : Informez les gens à temps

Les RMLL durent une semaine et l’annonce de la Key Signing s’est pourtant faite moins de 8h avant son déroulement. Il vaut mieux prévenir plus tôt pour que les gens puissent éventuellement créer leur première clé PGP et se documenter sur son utilisation.

Surtout, il faut récolter les clés publiques des participants de préférence avant le début de la Key Signing Party.

Étape 2 : Récoltez les clés publiques des participants

Même si la plupart des clés sont disponibles sur le serveur de clés du MIT, elles n’y sont justement pas toutes. Pire, certains utilisateurs de PGP préfèrent que leurs clés ne se partagent que de personne à personne.

Il est donc important que l’organisateur récupère toutes les clés publiques, de préférence avant la Key Signing, pour éviter qu’elle ne dure trop longtemps.

Pour cela demandez aux participants de vous envoyer leur clé par e-mail (non chiffré mais signé) ou de l’uploader sur un serveur que vous mettriez en place.

Étape 3 : Compilez les informations du keyring et imprimez-les

Une fois que vous avez récolté les clés publiques de tous les participants il faut en faire quelque chose d’utile pour la Key Signing Party. Un tableau tel que celui-ci est intéressant:

Ensuite envoyez-le ou mieux imprimez-le pour chaque participant. La Key Signing peut commencer.

Étape 4 : Un peu d’ordre dans tout ça…

C’est maintenant le grand jour. Demandez aux participants de venir avec une pièce d’identité, la liste imprimée, un stylo et leur propre fingerprint.

Les participants se mettent en deux lignes face à face, dans l’ordre de la liste. Normalement lors d’une Key Signing Party on n’utilise pas de laptop. Les deux participants l’un en face de l’autre vérfient mutuellement la fingerprint imprimée sur la liste et la pièce d’identité. Après vérification ils cochent les cases correspondantes.

Une fois tout vérifié, chacun passe au participant à sa droite. Ceux en bout de file changent de ligne. Et ainsi de suite… Normalement à la fin tout le monde aura vérifié les identité des de tous les autres participants.

Si la Key Signing Party prend des proportions inattendues il est peut-être nécessaire d’imaginer un autre système, par exemple en utilisant une webcam et un projecteur pour que tout le monde puisse vérifier une même identité en même temps.

Étape 5 : Distribuez le keyring

Puisque vous avez récolté toutes les clés publiques, il faut maintenant les retransmettre à tous les participants. Pour cela créez un keyring, càd. un fichier texte avec toutes les clés publiques les unes à la suite des autres. Vous pouvez éventuellement signer ou fournir le hash SHA-1 de ce fichier pour l’authentifier.

Si vous avez déjà importé les clés dans votre keyring personnel vous pouvez facilemenet exporter vers un keyring dédié à la Key Signing Party :
$ gpg --armor --export key1 key2 key3 key4 > Keyring-de-MaSuperKeySigningParty.asc
Faites en sorte que tous les participants y aient accès : mettez-le sur un serveur web ou envoyez-le par e-mail.

Étape 6 : Expliquez aux n00bs comment signer

Bah oui à toute Key Signing Party il y aura forcément des puceaux du PGP. Expliquez-leur la procédure idéale :

• Récupérer et importer le keyring dans gpg
• Vérifier consciencieusement le fingerprint et l’identité des différentes clés publiques en les comparant au papier rempli durant la Key Signing
• Signer chaque clé publique uniquement si on est sûr de sa vérification d’identité
• Envoyer les clés ainsi signées par e-mail à son propriétaire original. Éviter de les uploader directement sur un serveur de clés car cela permet de vérifier l’adresse e-mail.

À noter qu’il existe des outils pour automatiser tout cela. J’utilise PIUS, un script Python qui se charge de tout jusqu’à l’envoi par e-mail assez simplement :
./pius -H smtp.gmail.com -P 587 -u tito@webtito.be -S -A -s -r


En savoir plus…

• La documentation de GnuPG
• How PGP works (en)

Si vous avez aimé ce post...

1. SSH sans mot de passe
2. Mise en place d’un système de backup avec Rsnapshot
3. S’authentifier avec une clé USB

Un attaquant vera son adresse IP inscrite dans le fichier /etc/hosts.deny l’empêchant de se logguer.

Installation

Gentoo

emerge denyhosts

Debian et dérivés

aptitude install denyhosts

Red Hat et consorts

yum install denyhosts

Configuration

/etc/denyhosts

#Doit pointer vers votre fichier logguant les tentatives de connexions
SECURE_LOG = /var/log/auth.log

#Ces dernières lignes permettent d'utiliser le partage d'IP. On peut se limiter au partage montant ou descendant
#C'est purement facultatif mais je vous le recommande.
SYNC_SERVER = http://xmlrpc.denyhosts.net:9911
SYNC_UPLOAD = yes
SYNC_DOWNLOAD = yes

Puis pour le lancer :
/et/init.d/denyhosts start

Sous Gentoo pour le lancer automatiquement au boot vous devez l’ajouter à votre « rc par défaut » :
rc-update add denyhosts default

Logs

Allons faire un tour dans les logs de DenyHosts pour voir à quoi s’attendre.

Exemple de synchro où l’on récupère des IP à blacklister :

Feb 20 04:42:43 - denyhosts : INFO received new hosts: ['217.10.117.161', '194.185.200.156', '91.75.180.114', '202.141.132.50', '60.248.91.64', '211.100.42.83', '202.165. 177.203', '211.155.227.171', '58.221.34.18', '88.191.15.133', '210.51.36.162', '220.165.28.66', '91.205.74.41', '61.178.74.43', '202.117.54.134', '74.127.18.195', '195.250.39.6 6', '216.229.160.194', '122.70.147.103', '200.195.168.194', '202.44.11.60', '94.190.187.113', '213.5.64.164', '201.116.98.210', '163.13.175.44', '119.149.189.199', '93.152.156. 13', '125.7.209.4', '210.51.48.71', '88.117.234.162', '217.97.185.35', '217.20.183.73', '117.41.228.195', '201.20.186.222', '79.39.6.98', '221.165.162.4', '211.72.171.76', '209 .255.67.10', '80.203.122.116', '12.152.124.2', '70.169.201.74', '202.5.95.205', '217.219.67.131', '65.98.97.98', '218.241.155.144', '80.14.186.105', '96.31.68.39', '218.108.247 .138', '61.138.217.19', '82.230.95.10']

Ajout d’un attaquant + upload au serveur central :

Feb 21 09:25:31 - denyhosts : INFO new denied hosts: ['81.7.171.15']
Feb 21 09:43:01 - sync : INFO sent 1 new host

Reset du compteur en cas de login réussi :

Feb 21 11:35:03 - loginattempt: INFO resetting count for: 10.0.0.3

Liens

Site officiel
Statistiques mondiales de DenyHosts

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. SSH sans mot de passe
3. On a testé pour vous : Ubuntu Jaunty Jackalope 9.04

C’est un bug de type NULL Pointer Deference qui permet au pirate d’exécuter n’importe quel code au niveau du kernel et donc d’acquérir les droits root.

NULL Pointer

Dans le noyau Linux, chaque socket de connexion a une structure d’opérations associée (proto_ops) qui contient des pointeurs vers diverses opérations : accept, bind, shutdown, …

Si une des opérations n’est pas nécessaire à ce type de socket, le pointeur devrait tout de même être défini vers une fonction “inutile”. Mais évidemment tous les développeurs n’y pensent pas forcément et beaucoup de sockets laissent ces pointeurs non-initialisés (NULL).

Le problème, c’est que certaines fonctions du noyau Linux (sock_sendpage, par exemple) ne vérifient pas si ces pointeurs sont bien initialisés et exécutent le code “NULL”, c’est à dire un code à l’emplacement 0.

Un pirate n’a donc qu’à insérer son code dans l’emplacement 0 et faire en sorte que le kernel l’exécute. Puisque le kernel possède des droits absolus, il est très facile d’exploiter cette faille pour acquérir les droits de root (privilege escalation).

Des exploits déjà disponibles

Comme le précise Julien Tinnes, ce type de vulnérabilité est très facile à exploiter : « ça ne nous a pris que quelques minutes pour adapter un ancien exploit ». Et forcément il y en a déjà plusieurs qui circulent sur la toile.

Nous avons trouvé un exploit nommé wunderbar_emporium. Celui-ci exploite un bug dans pulseaudio et n’est donc pas dangereux pour la plupart des serveurs. (NB aux petits script kiddies ) Comme vous pouvez le voir dans le screenshot ci-dessus il fonctionne plutôt pas mal!

Bien sûr des exploits existent pour des failles dans d’autres protocoles, plus largement répandus que Pulseaudio.

Mais un patch aussi disponible

Très exactement 9 minutes après la publication de l’article sur le blog de Jean Tinnes, Linus Torvalds lui-même a mis en ligne le patch comblant cette faille en remplaçant la fonction sock->ops->sendpage par kernel_sendpage, fonction ne laissant pas passer ce genre d’erreurs.

Les kernels gérant mmap_min_addr peuvent aussi se prémunir de certains exploits en règlant cette variable à une valeur supérieure à 0 :
# echo 4096 > /proc/sys/vm/mmap_min_addr
Celle-ci empêche toute écriture dans la mémoire 0… Mais cette mesure de sécurité est toute neuve et contournable pour les kernels inférieurs à 2.6.30.2. Il est donc plus qu’impératif d’appliquer le patch kernel au plus vite.

La faille couvrant le plus grand nombre de kernels Linux

Couvrant tous les kernels publiés depuis 2001, que ce soit en version 2.4 ou 2.6, cette faille décroche la palme de la faille portant sur le plus grand nombre de releases stables du kernel Linux. Elle est potentiellement très dangereuse puisqu’un utilisateur lambda peut acquérir les droits de root!

Nous ne pouvons que vous conseiller d’appliquer le patch au plus vite. Les différentes distributions devraient d’ailleurs publier le kernel mis à jour dans les prochaines heures…. Enfin, espérons

En savoir plus

• L’article sur le blog de Jean Tinnes
• Le full disclosure par Tavis Ormandy
• Le patch correctif commité dans la branche stable par Linux Torvalds

Si vous avez aimé ce post...

1. Lancer votre dual-booting Windows dans une VirtualBox
2. Linux – Laptop – Ultimate Powersaving !
3. Chromium, le Google Chrome sous Linux sans émulation

Que diriez-vous d’un compromis parfait qui garantit de ne pas sacrifier une once de sécurité, tout en s’authentifiant simplement avec la touche enter et une clé USB ?

Oui, avec Linux, c’est possible !

su *enter* *mot de passe* … Ou Pas.

En réalité, il existe très peu de prétextes valables pour ne pas tapper son mot de passe. Les seuls cas qui se sont présentés à moi sont :

• Se rendre à une conférence informatique (type FOSDEM) où on sait très bien que beaucoup de curieux scrutent par réflexe votre écran, et que leur regard est —toujours par réflexe— dévié vers votre clavier lorsqu’ils lisent «password:» dans votre console.
• Se trouver dans une situation de stress face à un supérieur où, à l’heure de présenter un travail, s’y reprendre à 4 fois pour se logger ne fait pas très sérieux…
• Faire des études orientées vers l’informatique où on cottoie quotidiennement des individus pour qui «un mot de passe de 17 caractères» équivaut à «17 jours avant la blague la plusmoins drôle de votre vie» à raison d’une touche à mémoriser par jour…

Si je n’ait pas cité la «flemme», c’est tout simplement parceque celle-ci est l’ennemie de la sécurité, et ce depuis la nuit des temps.

1001 idées pour anéantir toute forme de sécurité

Des alternatives au traditionnel mot de passe, ça fait des années qu’on en cherche,voici un petit tour d’horizon des diverses possibilités.

• Pas de mot de passe (!) : Probablement l’extrême dans la facilité, mais aussi dans la stupidité. Ça équivaut à laisser sa voiture ouverte, clé sur le contact, moteur en marche, en tête de file à un feu rouge. Si je prend tout de même la peine de la citer, c’est que grâce à Windows, c’est la méthode d’authentification  la plus répandue à travers le monde.

Voilà, rions un grand coup, et poursuivons avec les mauvaises idées qui ont le mérite d’être sérieuses

• Sudo : Si cet outil peut parfois avoir son utilité, il n’est ici d’aucune aide. Si le mdp utilisateur est de la même longueur que celui du root, il n’y a aucun avantage, sinon, cela reviens simplement à raccourcir le mdp root. Ceci n’est rien d’autre qu’une réduction du niveau de sécurité du système.
• Empreinte Digitale : Si la biométrie m’a longtemps semblé être l’ultime solution à notre problème, il ressort aujourd’hui que la plupart de ces procédés sont facilement compromis. J’ai donc renoncé à laiser mon mot de passe root sur tout ce que je touche (littéralement.), surtout depuis qu’un certain taiwanais a perdu un doigt et une voiture la même journée…
• Reconnaissance Faciale : Le meilleur moyen de faire du moindre appareil photo votre pire ennemi…

Et c’est quand on pense avoir cherché partout qu’on s’apperçoit que la solution est bien plus simple…

Trouver clé à sa serrure

Après des décénies, des siècles d’existence et d’évolution, avec quoi ouvrez-vous votre porte d’entrée ? Une clé, évidemment. Alors pourquoi ne pas en faire de même pour votre ordinateur ?

Cela tombe bien, il existe un homonyme informatique qui est également un petit object, transportable dans une poche toujours avec soi, muni d’un identifiant unique et très difficilement falsifiable, qui en plus permet de stoquer des données : la clé USB.

Le principe est simple: le système enregistre le numéro d’identification de la clé USB et au moment de s’identifier, si il la trouve branchée sur votre systême, il lit quelques données cryptées qu’il y aura placé comme confirmation. Si tout est en ordre, il considère que vous avez prouvé votre identité, dans le cas contraire, il vous demande votre mot de passe.

su, enter, et c'est tout !

Ça fait maintenant plusieurs mois que ce procédé continue de faire ses preuves sur mon système, et que malgré toutes leurs tentatives aucun plaisantin n’est parvenu à obtenir/contourner mon mot de passe. (je ne compte pas la fois où je me suis imprudemment endormi à coté de mon laptop en laissant ma clé USB branchée…)

Et en cas de vol ? Don’t Panic, vous pouvez toujours accéder à votre système de façon traditionnelle, et modifier le seul fichier nécessaire à interdire l’authentification avec cette clé USB, enrayant toute initiative malveillante.

Une clé USB à brancher, appuyer sur enter. Aucune brèche dans la sécurité. Tous les objectifs sont atteints.

Installation : 2 min,  Configuration : 3 min, la Sécurité : ça n’a pas de prix.

Contrairement à la plupart de ce qui touche de près ou de loin à la sécurité, c’est très simple à mettre en place.

Tout d’abord, installez dans votre distribution préférée les packages relatifs à «Pam usb»

Sous Gentoo :
# echo "sys-auth/pam_usb" >> /etc/portage/package.keywords
# emerge sys-auth/pam_usb
Sous Ubuntu :
$ sudo apt-get libpam-usb pamusb-tools

Ajouter une Clé USB

Pour cela il vous suffit de lancer la commande suivante où “NomDeMaClé” représente le nom que vous voulez assigner à cette clé pour vous y retrouver.

# pamusb-conf --add-device=NomDeMaClé

Il vous affichera un résumé des données qu’il a récupéré de la clé USB détectée et vous demandera de confirmer qu’il s’agit bien de la clé à ajouter :
Please select the device you wish to add.
* Using " USB Flash Memory (0930_USB_Flash_Memory_07652723938-0:0)" (only option)

Save to /etc/pamusb.conf ?
[Y/n]y
Done.
Vous pouvez répéter cette opération avec autant de clés que vous voulez. Pour plus de sécurité, je vous conseille de n’en ajouter qu’une seule.

Ajouter un utilisateur

Il vous est très facilement possible de spécifier quels utilisateurs pourront s’identifier avec cette clé :
# pamusb-conf --add-user koolfy
pamusb vous proposera de confirmer à nouveau :
Which device would you like to use for authentication ?
* Using "NomDeMaClé" (only option)
User : koolfy
Device : NomDeMaClé
Save to /etc/pamusb.conf ?
[Y/n] y
Done.
Je vous conseille de vous contenter de votre user et de votre root.

Adapter l’authentification

Il faut maintenant que le module d’authentification du système ajoute l’authentification par USB comme «optionelle et suffisante», ce qui se fait en éditant le fichier /etc/pam.d/system-auth ( /etc/pam.d/common-auth sous Ubutu) et en lui rajoutant comme première ligne :
auth sufficient pam_usb.so

Et voilà ! C’est dans la poche.

Si vous voulez forcer l’authentification par USB, remplacez «sufficient» par «required» dans la ligne précédente.

Changer la serrure

En cas de perte ou de vol de votre clé, changer de serrure est aussi simple que d’effacer la section ainsi que ses références dans la section de /etc/pamusb.conf

Quelques conseils de survie

• Toujours savoir ou se trouve votre servi… euh, votre clé USB
• Ne jamais la confier à personne qui ne soit digne de confiance
• Ne jamais s’endormir à coté de votre laptop en laissant la clé USB branchée
• Si vous comptez vous saouler, toujours confier votre clé à une fille de confiance qui ignore tout de l’importance de la clé.

Si vous respectez ces quelques règles simples, vous devriez pouvoir dormir sur vos deux oreilles

Liens et références

• Site du projet PamUSB ( http://pamusb.org )
• Tutoriel Gentoo ( http://en.gentoo-wiki.com )
• Tutoriel Ubuntu ( http://doc.ubuntu-fr.org )

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. SSH sans mot de passe
3. Comment faire un Initram minimal avec mode rescue

Schéma de la solution à déployer

Avec rsnapshot il est possible de faire des backups locaux (une copie régulière d’un disque sur un autre) ou des backups distants (via une connexion SSH), soit les deux en même temps !

Principe de Rsnapshot

Basé sur SSH et rsync, rsnapshot est en fait une boite à outil. Pour ceux qui ne connaissent pas rsync, c’est un outil de synchronisation de fichiers libre et puissant qui ne copie que les différences entre deux backups, et non l’entièreté du système, pour économiser de la bande passante.

Rsnapshot est un logiciel qui tourne sur le serveur de backup. La machine qui se voit ainsi sauvegardée est totalement passive, il faut juste qu’elle ait un serveur SSH activé.

Quelques scripts rsync/ssh pourraient évidemment faire la même chose que rsnapshot, mais rsnapshot est fiable et sa configuration triviale, alors pourquoi s’en passer?

Installation

Première étape : Installez rsnapshot sur le serveur où seront stockés les backups. Je ne décris pas cette installation qui est triviale et propre à chaque distribution.

Deuxième étape : Permettez à ce serveur de se connecter automatiquement en SSH sur la machine à sauvegarder. Je vous renvoie vers l’article SSH sans mot de passe qui explique comment générer une paire de clés publique/privée afin de chiffrer la connexion SSH avec le protocole RSA.

Troisième étape (facultative) : Modifiez votre fichier /etc/hosts, qui permet d’utiliser des short-names dans la configuration de rsnapshot (c’est plus propre et plus joli).

Quatrième étape : Configurez rsnapshot dans /etc/rsnapshot.conf. Vous pouvez vous inspirer de cet exemple.

Lancer le backup

Vous êtes maintenant prêt pour votre premier backup! Lancez la commande suivante:
/usr/bin/rsnapshot -cv /etc/rsnapshot.conf daily

Si tout se passe bien, vous n’avez plus qu’à ajouter cette commande à votre crontab afin d’automatiser la procédure.

Problèmes connus

• La toute première connection ssh du serveur de backup vers la machine à backuper doit être établi manuellement.
• Le fichier rsnapshot.conf doit être réécrit en séparant les valeurs avec des tabulations. Si vous ne remplacez pas les espaces par des tabulations, rsnapshot ne fonctionnera pas.

Liens de référence

• Site du projet
• Exemple de configuration

Si vous avez aimé ce post...

1. Backup d’un compte Gmail
2. Comment faire un Initram minimal avec mode rescue
3. SSH sans mot de passe

Je n’ai pas trouvé de tutoriel clair et concis en français sur Google alors le voici.

Le principe

Cette astuce ne consiste pas à encoder votre mot de passe en clair quelque part sur votre poste client. Il est basé sur un échange de clés de cryptage RSA entre le serveur et le client.

Le cryptage RSA repose sur une paire de clés : une publique et une privée. Vous l’aurez compris, la clé privée reste sur votre ordinateur client et vous pouvez partager votre clé publique avec tous les serveurs sur lesquels vous souhaites vous authentifier.

Lors de chaque connexion, le serveur chiffre une chaine de caractères aléatoire avec la clé publique. Seule la clé privée est suffisante pour déchiffrer cette chaine de caractères et la transmettre au serveur (sans risque puisque les transmissions SSH sont elles-mêmes cryptées). C’est le principe de toutes les procédures d’authentification (GnuPG, BeID, cartes bancaires, …)

Générer les clés de cryptage

Il faut donc, sur le cient, générer les clés RSA qui lui permettront de signer. Il existe d’autres types de clés mais le RSA est simple et sécurisé.
$ ssh-keygen -t rsa

Une passphrase permet d’avoir un seul mot de passe pour toutes vos connexions SSH, même si le vrai mot de passe de connexion est différent sur chaque serveur. Si vous ne voulez pas utiliser de passphrase pour une connexion entièrement automatisée, tapez simplement enter.

Copier la clé publique sur le serveur

Il faut maintenant copier la clé publique générée sur le serveur SSH, pour qu’il puisse bien vérifier que c’est vous qui signez la demande de connexion. On le fait par un petit scp (copie de fichier sur SSH):
$ scp ~/.ssh/id_rsa.pub utilisateur@serveur:~/.ssh/authorized_keys

Et voilà! C’est tout! Vous pouvez maintenant vous connecter sur votre serveur SSH sans mot de passe:
ssh utilisateur@serveur

Exécuter une commande sur le SSH

Une dernière petite astuce, si vous souhaitez directement exécuter une commande sur le serveur SSH, utilisez le paramètre
-t. Par exemple, pour ouvrir votre screen IRC:
$ ssh utilisateur@serveur -t screen -x irc

Si vous avez aimé ce post...

1. Mise en place d’un système de backup avec Rsnapshot
2. Devenez miroir de Wikileaks sans risque (corrigé)
3. S’authentifier avec une clé USB