cominfra/documentation
cominfra
/
documentation
8
0
Fork 0
Code Issues 5 Pull Requests Activity

aministration_vm_sans_root: Clarfication de pourquoi tout le monde n'a pas accès à tout 

Merci à Neox pour les infos.

Signed-off-by: Denis 'GNUtoo' Carikli <GNUtoo@cyberdimension.org>
This commit is contained in:
Denis 'GNUtoo' Carikli 2023-10-08 18:08:59 +02:00
parent 429e118705
commit 3550cb15ee
Signed by: GNUtoo
GPG Key ID: 5F5DFCC14177E263
1 changed files with 26 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

30
procédures/administration_vm_sans_root.md
View File

@ -18,6 +18,11 @@ buts des projets qui utilisent l'infrastructure. Il y'a pas mal de
manières différentes de faire et chacunes ont leurs avantages et manières différentes de faire et chacunes ont leurs avantages et
désavantages. désavantages.
Dans Libre en communs c'est fait pour diminuer les risques et l'impact
de compromission de clées SSH. En effet plusieurs infrastructures
critique de projets libres comme Fedora[1] ou Linux[2] ont été
compromises par la copie de clef SSH. Debian[3].
Un des désavantages avec cette approche est qu'on ne peut pas Un des désavantages avec cette approche est qu'on ne peut pas
facilement installer une distribution non supportée par facilement installer une distribution non supportée par
l'infrastructure, ou installer une distribution existante d'une façon l'infrastructure, ou installer une distribution existante d'une façon
@ -57,7 +62,7 @@ dedans.
Les personnes qui ont un accès libvirt ne doivent pas créer des VM Les personnes qui ont un accès libvirt ne doivent pas créer des VM
avec une carte graphique pour des VM qui vont tourner en production avec une carte graphique pour des VM qui vont tourner en production
car ça donne accès à la VM à n'importe quelle personne qui à un shell car ça donne accès à la VM à n'importe quelle personne qui à un shell
sur la machine physique[1]. sur la machine physique[4].
Vu que l'accès shell ne va plus impliquer l'accès à libvirt dans le Vu que l'accès shell ne va plus impliquer l'accès à libvirt dans le
futur, et que ne pas avoir de carte graphique virtuelle protège aussi futur, et que ne pas avoir de carte graphique virtuelle protège aussi
@ -130,7 +135,7 @@ machines, donc il faut ajuster ça.
Autres distributions Autres distributions
==================== ====================
Trisquel à des paquets pour debootstrap et guix. L'article Trisquel à des paquets pour debootstrap et guix. L'article
CrossDistroBootstrap[2] permet de savoir quelles distributions peuvent CrossDistroBootstrap[5] permet de savoir quelles distributions peuvent
être installées avec ça. Pour que ça marche il faut aussi attacher un être installées avec ça. Pour que ça marche il faut aussi attacher un
second disque virtuel à la machine virtuelle car dans second disque virtuel à la machine virtuelle car dans
generic_trisquel.a-lec.org la partition principale prend tout l'espace generic_trisquel.a-lec.org la partition principale prend tout l'espace
@ -138,6 +143,23 @@ du disque.
Références Références
========== ==========
[1]https://github.com/virt-manager/virt-manager/issues/343 [1]https://lwn.net/Articles/326170/ "[...] the intruder took a copy of
[2]https://libreplanet.org/wiki/Group:Software/FSDG_distributions/CrossDistroBootstrap a SSH private key which was not secured with a passphrase from a
system outside the Fedora infrastructure. The intruder then used
that key, which belonged to a Fedora administrator, to access
Fedora systems."
[2]https://lwn.net/Articles/609463/ "The [kernel.org] compromise
almost certainly started with the acquisition of SSH keys from one
or more developer laptops"
[3]https://lwn.net/Articles/62517/ "[The attacker] developed a crack
that exploited that now famous kernel flaw and found his way into a
Debian developer's machine. [...] this PC presented a means to
accessing the Debian servers. [The attacker] installed the
requisite tools that took over the machine and sniffed out the
passwords. The attacker then obtained the password that enabled him
to compromise a Debian project server. In quick succession, he
penetrated a number of machines which spanned North-America and
Europe."
[4]https://github.com/virt-manager/virt-manager/issues/343
[5]https://libreplanet.org/wiki/Group:Software/FSDG_distributions/CrossDistroBootstrap