diff --git a/procédures/administration_vm_sans_root.md b/procédures/administration_vm_sans_root.md index 2243f61..749ef0b 100644 --- a/procédures/administration_vm_sans_root.md +++ b/procédures/administration_vm_sans_root.md @@ -18,6 +18,11 @@ buts des projets qui utilisent l'infrastructure. Il y'a pas mal de manières différentes de faire et chacunes ont leurs avantages et désavantages. +Dans Libre en communs c'est fait pour diminuer les risques et l'impact +de compromission de clées SSH. En effet plusieurs infrastructures +critique de projets libres comme Fedora[1] ou Linux[2] ont été +compromises par la copie de clef SSH. Debian[3]. + Un des désavantages avec cette approche est qu'on ne peut pas facilement installer une distribution non supportée par l'infrastructure, ou installer une distribution existante d'une façon @@ -57,7 +62,7 @@ dedans. Les personnes qui ont un accès libvirt ne doivent pas créer des VM avec une carte graphique pour des VM qui vont tourner en production car ça donne accès à la VM à n'importe quelle personne qui à un shell -sur la machine physique[1]. +sur la machine physique[4]. Vu que l'accès shell ne va plus impliquer l'accès à libvirt dans le futur, et que ne pas avoir de carte graphique virtuelle protège aussi @@ -130,7 +135,7 @@ machines, donc il faut ajuster ça. Autres distributions ==================== Trisquel à des paquets pour debootstrap et guix. L'article -CrossDistroBootstrap[2] permet de savoir quelles distributions peuvent +CrossDistroBootstrap[5] permet de savoir quelles distributions peuvent être installées avec ça. Pour que ça marche il faut aussi attacher un second disque virtuel à la machine virtuelle car dans generic_trisquel.a-lec.org la partition principale prend tout l'espace @@ -138,6 +143,23 @@ du disque. Références ========== -[1]https://github.com/virt-manager/virt-manager/issues/343 -[2]https://libreplanet.org/wiki/Group:Software/FSDG_distributions/CrossDistroBootstrap +[1]https://lwn.net/Articles/326170/ "[...] the intruder took a copy of + a SSH private key which was not secured with a passphrase from a + system outside the Fedora infrastructure. The intruder then used + that key, which belonged to a Fedora administrator, to access + Fedora systems." +[2]https://lwn.net/Articles/609463/ "The [kernel.org] compromise + almost certainly started with the acquisition of SSH keys from one + or more developer laptops" +[3]https://lwn.net/Articles/62517/ "[The attacker] developed a crack + that exploited that now famous kernel flaw and found his way into a + Debian developer's machine. [...] this PC presented a means to + accessing the Debian servers. [The attacker] installed the + requisite tools that took over the machine and sniffed out the + passwords. The attacker then obtained the password that enabled him + to compromise a Debian project server. In quick succession, he + penetrated a number of machines which spanned North-America and + Europe." +[4]https://github.com/virt-manager/virt-manager/issues/343 +[5]https://libreplanet.org/wiki/Group:Software/FSDG_distributions/CrossDistroBootstrap