aministration_vm_sans_root: Clarfication de pourquoi tout le monde n'a pas accès à tout
Merci à Neox pour les infos. Signed-off-by: Denis 'GNUtoo' Carikli <GNUtoo@cyberdimension.org>
This commit is contained in:
parent
429e118705
commit
3550cb15ee
|
@ -18,6 +18,11 @@ buts des projets qui utilisent l'infrastructure. Il y'a pas mal de
|
|||
manières différentes de faire et chacunes ont leurs avantages et
|
||||
désavantages.
|
||||
|
||||
Dans Libre en communs c'est fait pour diminuer les risques et l'impact
|
||||
de compromission de clées SSH. En effet plusieurs infrastructures
|
||||
critique de projets libres comme Fedora[1] ou Linux[2] ont été
|
||||
compromises par la copie de clef SSH. Debian[3].
|
||||
|
||||
Un des désavantages avec cette approche est qu'on ne peut pas
|
||||
facilement installer une distribution non supportée par
|
||||
l'infrastructure, ou installer une distribution existante d'une façon
|
||||
|
@ -57,7 +62,7 @@ dedans.
|
|||
Les personnes qui ont un accès libvirt ne doivent pas créer des VM
|
||||
avec une carte graphique pour des VM qui vont tourner en production
|
||||
car ça donne accès à la VM à n'importe quelle personne qui à un shell
|
||||
sur la machine physique[1].
|
||||
sur la machine physique[4].
|
||||
|
||||
Vu que l'accès shell ne va plus impliquer l'accès à libvirt dans le
|
||||
futur, et que ne pas avoir de carte graphique virtuelle protège aussi
|
||||
|
@ -130,7 +135,7 @@ machines, donc il faut ajuster ça.
|
|||
Autres distributions
|
||||
====================
|
||||
Trisquel à des paquets pour debootstrap et guix. L'article
|
||||
CrossDistroBootstrap[2] permet de savoir quelles distributions peuvent
|
||||
CrossDistroBootstrap[5] permet de savoir quelles distributions peuvent
|
||||
être installées avec ça. Pour que ça marche il faut aussi attacher un
|
||||
second disque virtuel à la machine virtuelle car dans
|
||||
generic_trisquel.a-lec.org la partition principale prend tout l'espace
|
||||
|
@ -138,6 +143,23 @@ du disque.
|
|||
|
||||
Références
|
||||
==========
|
||||
[1]https://github.com/virt-manager/virt-manager/issues/343
|
||||
[2]https://libreplanet.org/wiki/Group:Software/FSDG_distributions/CrossDistroBootstrap
|
||||
[1]https://lwn.net/Articles/326170/ "[...] the intruder took a copy of
|
||||
a SSH private key which was not secured with a passphrase from a
|
||||
system outside the Fedora infrastructure. The intruder then used
|
||||
that key, which belonged to a Fedora administrator, to access
|
||||
Fedora systems."
|
||||
[2]https://lwn.net/Articles/609463/ "The [kernel.org] compromise
|
||||
almost certainly started with the acquisition of SSH keys from one
|
||||
or more developer laptops"
|
||||
[3]https://lwn.net/Articles/62517/ "[The attacker] developed a crack
|
||||
that exploited that now famous kernel flaw and found his way into a
|
||||
Debian developer's machine. [...] this PC presented a means to
|
||||
accessing the Debian servers. [The attacker] installed the
|
||||
requisite tools that took over the machine and sniffed out the
|
||||
passwords. The attacker then obtained the password that enabled him
|
||||
to compromise a Debian project server. In quick succession, he
|
||||
penetrated a number of machines which spanned North-America and
|
||||
Europe."
|
||||
[4]https://github.com/virt-manager/virt-manager/issues/343
|
||||
[5]https://libreplanet.org/wiki/Group:Software/FSDG_distributions/CrossDistroBootstrap
|
||||
|
||||
|
|
Loading…
Reference in New Issue