Aujourd'hui j'ai été cambriolé, durant la journée.
Or, durant la journée, depuis mon travail, j'ai toujours ceci qui tourne:
ssh -tY machine1 ssh -Y machine2 claws-mail
machine1 est accessible publiquement en ssh grâce à du NAT derrière ma box.
machine2 a été volée, mais pas machine1. Du coup, je me dis que je dois pouvoir retrouver l'heure du crime dans les logs de machine1. Tel que je l'imagine, machine2 a été fermée pour être emportée (c'est un portable) ce qui l'a mise en veille: le ssh -Y machine2 se coupe, et donc dans la foulée le ssh -Y machine1 aussi.
Pour l'instant, j'ai trouvé ceci dans /var/log/auth.log:
Oct 1 17:44:58 Lucinda-Durmanof sshd[21604]: Received disconnect from <ip> port 36456:11: disconnected by user
Oct 1 17:44:58 Lucinda-Durmanof sshd[21604]: Disconnected from user alexis <ip> port 36456
Oct 1 17:44:58 Lucinda-Durmanof sshd[21473]: pam_unix(sshd:session): session closed for user <user>
Puis-je en déduire l'heure du crime ? J'ignore s'il la déconnexion est immédiate ou bien s'il y a un timeout.
Auriez-vous d'autres idées de fichiers de logs à consulter ?
# Quand c'est quoi?
Posté par xrogaan . Évalué à -10.
Moi, je suis pas un expert mais mon pouce me raconte des choses. Quand une machine hiberne, tout s'arrête selon le système init. La différence étant qu'une image est créée avant, permettant au système d'opération de restaurer tout comme il faut.
De fait, si tu veux savoir comment ça fonctionne bah il te suffit de chercher sur google et lire la doc.
# Timeout
Posté par phoenix (site web personnel) . Évalué à 5.
Bonjour,
Pour moi la confection de coupe brutalement lors d'une mise en hibernation (ce qui m'arrive quand je fait des sauvegardes) du coup tu as un Time Out qui se met en place au cas où c'est une coupe réseau.
Tu peux regarder si tu trouve la durée du timeout dans sshd_config de machines.
ClientAliveInterval
Par curiosité, sait tu comment ils sont rentré chez toi ? Ont il volé d'autres matériel informatique ? Avez tu fais des sauvegardes ?
[^] # Re: Timeout
Posté par Diagonale de Cantor (site web personnel) . Évalué à 10.
Il est toujours délicat de savoir s'il faut tutoyer ou vouvoyer sur Internet…
[^] # Re: Timeout
Posté par raphj . Évalué à -2. Dernière modification le 02 octobre 2018 à 08:29.
[commentaire supprimé]
[^] # Re: Timeout
Posté par Anonyme . Évalué à 5. Dernière modification le 02 octobre 2018 à 08:09.
sur Paris cela m’était deja arrivé, il est passé par la fenetre de la cuisine qui donné sur une cour au 3 eme etage, avec un petit rebord qui fait le tour de la cour, sur tout les étage …
j'aurais pu le faire, les voisins qui l'ont vu (car il a cambriolé 3 appartements) non pas pensé a appelé la police, ce n'est pas leur probleme (ou un truc du genre je sais plus)
maintenant j'habite en province et je pars au boulot en laissant la porte de chez moi ouverte :D.
[^] # Re: Timeout
Posté par Colin Pitrat (site web personnel) . Évalué à 8.
Relire ses commentaires avant de les poster, ça permet de vérifier qu'ils soient compréhensibles (voir de corriger quelques fautes au passage) …
Entre autres (ce qui nuit vraiment à la compréhension):
- qui donné -> qui donnait, ça pique sacrément les yeux
- j'ai pas compris ce que t'aurais pu faire
- les voisins non pas pensé -> n'ont pas pensé
[^] # Re: Timeout
Posté par cmal (site web personnel) . Évalué à 4.
C'était déjà très compréhensible bien avant ton intervention. Que tu veuilles jouer à la police orthographique c'est une chose (regrettable), mais de là à insinuer que la personne à qui tu t'adresses était incompréhensible…
[^] # Re: Timeout
Posté par bobo38 . Évalué à 5.
ça manque de grammar nazi, tout se perd c'est comme les articles de motards et de recettes, tout ça a été remplacé par Taptempo ;)
[^] # Re: Timeout
Posté par Maderios . Évalué à 4.
Quel optimisme… Habitant depuis toujours en milieu rural, m'informant dans la presse locale, je sais que des maisons sont souvent cambriolées.
https://actu.fr/?s=cambriolage
[^] # Re: Timeout
Posté par Psychofox (Mastodon) . Évalué à 6.
De toute façon que la serrure soit fermée ou non ça n'a qu'une importance marginale dans le fait que l'on soit cambriolé ou non. Fermer la serrure prémunit uniquement d'un type de vol par opportunisme qui est un peu différent du cambriolage ciblé et qui concerne probablement moins les zones rurales.
[^] # Re: Timeout
Posté par diorcety . Évalué à 7.
Et surtout qu'il y ai une effraction pour faire marcher l'assurance…
[^] # Re: Timeout
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 3.
Il faut aussi que le niveau de sécurité de la serrure soit en adéquation avec celui de la porte et de toutes les autres ouvertures accessibles du logement…
Y'a 25 ans, mes parents (locataires) s'étaient fait cambrioler, heureusement par des semi-opportunistes qui ne cherchaient que le liquide et le chéquier. C'est à cette occasion qu'ils ont découvert que la porte d'entrée était en fait une porte de cloison, en bois léger et carton. Qui s'ouvre donc en un coup de poing (ça fait un trou)… c'est probablement en voyant ça que les deux gars ont décidé de tenter leur chance.
La connaissance libre : https://zestedesavoir.com
[^] # Re: Timeout
Posté par David Demelier (site web personnel) . Évalué à 1.
Il y en a aussi hors Paris et parfois c'est plus violent. Dans les journaux j'ai déjà vu des cambriolages à mains armées. Ma marraine s'est aussi faite cambrioler dans une petite ville et les cambrioleurs ont même pris soin de … laisser une délicate attention fécale personnelle dans son jardin.
git is great because linus did it, mercurial is better because he didn't
[^] # Re: Timeout
Posté par benoar . Évalué à 3.
Effectivement, mais pour ce paramètre il faudrait la conf de machine2… Pour le client, il faudrait voir la conf de machine1, en particulier ServerAliveInterval, qui n'est pas active par défaut.
De plus, si ce sont les paramètre du kernel uniquement qui sont concernés, ça dépend de plusieurs paramètres : tcp_keepalive_time qui est de 2h (début du test de transmission d'une connexion inactive), ou tcp_retries2 qui indique qu'une connexion « perdue » mettra environ 1000 s minimum avant d'être cassée de force. Du coup ça dépend de l'activité de cette connexion ; je suppose qu'une session X active dessus fait qu'elle était plutôt occupée, et que le keepalive ne compte donc pas vraiment.
Bon courage pour la suite des affaires en tous cas.
[^] # Re: Timeout
Posté par flagos . Évalué à 7. Dernière modification le 02 octobre 2018 à 12:23.
Je suis pas spécialiste ssh mais pour moi:
Received disconnect from <ip> port 36456:11: disconnected by user
Ce que je comprends de cette ligne, c'est que l'on a pas atteint un Timeout mais plutot qu'une déconnection a été initiée par l'autre partie.
[^] # Re: Timeout
Posté par Alek_Lyon . Évalué à 2.
Je suis certain de ne pas m'être déconnecté manuellement. Je vérifierai quand même demain au boulot (mon terminal doit toujours être ouvert).
Mais je suis d'accord avec toi: ce message de log n'est pas clair.
Depuis, j'ai fait un last -f sur le wtmp du jour et j'ai pu constater:
alexis pts/1 <ip> Mon Oct 1 10:06 - 17:44 (07:38)
[^] # Re: Timeout
Posté par benoar . Évalué à 4.
Ah, je n'avais pas capté que tu trouvais ce log confus : il indique que le client se connectant à machine1, donc ton premier client SSH depuis ton poste au boulot, s'est déconnecté volontairement car la commande qu'il a lancé à l'intérieur (qui n'est pas un shell), c-à-d le ssh sur machine2, a quitté, pour quelque raison que ce soit. Dans ton cas, ce second SSH a dû faire un timeout et tu n'as pas de trace, mais du point de vue de machine1 ta session a été fermée volontairement parce que la commande à l'intérieur s'est terminée, c'est tout.
En ce qui concerne l'aide que ça pourra apporter à la police, si tu as un horodatage précis, ça pourra éventuellement aider à retracer en croisant avec d'autres sources précises comme des caméras de surveillance (expérience perso).
[^] # Re: Timeout
Posté par Alek_Lyon . Évalué à 4.
Ils ont cassé la poignée et une partie du cylindre, ce qui leur a permis d'ouvrir en suite "normalement". Tant mieux car ainsi ma porte est intacte. Ont été volés deux ordinateur portables (un mac book pro récent et un thinkpad T470s), la PS4 avec ses jeux, un parfum, un bijou sans grand valeur autre que sentimentale.
Le mac book n'avait pas de sauvegarde, mais mon thinkpad oui, avec duplicity, quotidiennement. On verra si tout se passe bien à la restauration !
Merci au passage pour tous les messages de compassion. Je m'en sors bien, à part les tiroirs et caisses vidées par terre, tout est intact, il n'y a pas eu de "fun". Et les animaux en cage n'ont pas été embêtés.
[^] # Re: Timeout
Posté par Anonyme . Évalué à 8.
tu as des enfants ??
cf : Et les animaux en cage n'ont pas été embêtés.
[^] # Re: Timeout
Posté par dyno partouzeur du centre . Évalué à 1.
Attaque par snapping, rapide, efficace et relativement discrète.
[^] # Re: Timeout
Posté par Jean-Baptiste Faure . Évalué à 6.
Il ne manque pas de chèque dans les chéquiers ? C'est la première question que m'avaient posée les policiers quand je m'étais fait cambriolé. Un chèque enlevé au milieu d'un chéquier ça ne se voit pas au premier coup d'œil.
# Tu es à quelques mn ?
Posté par Paul POULAIN (site web personnel, Mastodon) . Évalué à 10.
Bonjour,
Sincères pensées de courage, j'ai été cambriolé il y a quelques années, c'est très traumatisant de voir sa maison complètement fouillée. Il a fallu plusieurs mois pour que l'on arrête de s'inquiéter.
Cela dit, pour répondre à ta question : hormis l'intérêt intellectuel de savoir l'heure exacte, y a t'il un intérêt pratique. Dans ton dépôt de plainte, que le cambriolage ait eu lieu à 17H44, 17H42 ou même 17H34 (et il a fallu 10mn pour que machine1 s'en aperçoive) ça ne me semble pas critique. Ce dont tu es à peu près sûr c'est que c'était au plus tard à 17H44, probablement quelques minutes avant, ça suffit largement non ?
[^] # Re: Tu es à quelques mn ?
Posté par arnaudus . Évalué à 7. Dernière modification le 02 octobre 2018 à 10:47.
J'imagine que ça peut éventuellement être important, par exemple si un suspect a été pris par une caméra de surveillance à une certaine distance. Il y a des cas où ça doit pouvoir faire la différence, même si la plupart du temps ça n'a aucune importance.
[^] # Re: Tu es à quelques mn ?
Posté par Alek_Lyon . Évalué à 2. Dernière modification le 02 octobre 2018 à 14:42.
Oui je suis d'accord avec toi, il n'y pas besoin d'une grande précision, mais j'ignore le timeout qui s'applique dans un tel cas, donc la précision de mon log.
Dans la plainte j'ai indiqué 17h45 comme heure probable, sachant que pour les policiers, ce qui compte vraiment c'est l'heure de départ le matin et l'heure d'arrivée le soir.
# Disques chiffrés?
Posté par Andre Rodier (site web personnel) . Évalué à 4.
Je compatis dans ton malheur.
Est-ce que tes machines étaient protégées contre le vol de données également?
En d'autre termes, est-ce que tes disques durs sont chiffrés avec LUKS ou même Cryptfs?
Le vol d'identité est également quelque chose de très lucratif, malheureusement.
Par exemple, le serveur d'emails que j'ai chez moi est chiffré avec LUKS.
je le conseille à tous ceux qui sont auto-hébergés, d'ailleurs, c'est quand cela arrive que c'est trop tard.
[^] # Re: Disques chiffrés?
Posté par voxdemonix . Évalué à 3. Dernière modification le 02 octobre 2018 à 11:02.
N'hésite pas a en faire un tuto section wiki, avec des nimages et de bons retours d'expérience détaillé (*1) :)
*1 quid en cas de mises a jours ? Quid en cas de jbod/raid ? Quid si a un moment ca bug ? Quid si on oublie la clés de chiffrement ? Quid si le système de fichiers a des erreurs ? Quid si le cambioleur se barre avec la machine ? Quid de l'impacte machine sur x64 et ARM ? Quid de l'utilisation sur SSD, uSD ?
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . Évalué à 4.
Merci,
Je dois pouvoir améliorer la documentation déjà existante, mais le projet que j'ai crée simplifie énormément la tâche. En gros, on a un fichier YAML de départ, un script Ansible qui lance une image docker et crée une image ISO Debian personnalisée, avec la phrase de passe déjà configurée.
https://homebox.readthedocs.io/en/latest/preseed/
C'est en Anglais, mais assez facile à comprendre. Je n'ai pas eu le temps de traduire.
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . Évalué à 2.
LUKS peut être vu comme une "couche de chiffrage" au dessus des pilotes de disque. En conclusion, rien n'est visible pour les divers programmes en espace utilisateur (JBOD/RAID)
Tu peux tout de même accéder à ton système avec un live CD moderne, du moment que tu entres ta phrase de passe. Idem si le système de fichier à des erreurs. Elles seront réparées par ext4 / btrfs / etc qui n'auront pas de connaissance de la couche de chiffrement.
Si tu pers ta phrase de passe, il y a une possibilité de backup là aussi chiffré. La clé de chiffrement est générée dynamiquement, et automatiquement stockée sur l'ordinateur qui a lancé le déploiement, avec Ansible.
Si le cambrioleur « se barre avec la machine », il pourra lire le contenu, dans le case suivants:
- Il connaît la phrase de passe,
- Ta phrase de passe est trop simple, et il dispose de moyens suffisants pour la casser…
- Il viens du futur, et les algorithmes de chiffrement se cassent avec des ordinateurs quantiques
- Ou bien:
Dans la majorité des cas, ton matériel se retrouve tout simplement sur eBay ou d'autres sites de vente en ligne…
Côté impact sur les performances, je n'en ai pas vu, et je ne pense pas que le disque d'un serveur de mail personnel soit le goulot d'étranglement du système.
[^] # Re: Disques chiffrés?
Posté par voxdemonix . Évalué à 1.
Mais le serveur est capable de démarrer sans qu'on vienne taper la phrase de passe ?
N'est-ce pas déconseillé d'utiliser ce genre de chiffrement sur les techno Flash (ssd, etc)?
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . Évalué à 2.
Non, pour démarrer le serveur, il faut bien sûr entrer la phrase de passe.
C'est un compromis entre la sécurité que je suis prêt à faire. En même temps, le serveur ne redémarre que très rarement, par exemple après une mise à jour du noyau.
Les mises à jour noyau sont laissées à l'appréciation de l'administrateur. Personnellement, je ne le fais que dans les cas extrêmes, par exemple exploitable à distance, Spectre / Meltdown / etc.
Une mise à jour de sécurité qui concerne une faille exploitable avec un shell, c'est déjà moins grave.
[^] # Re: Disques chiffrés?
Posté par voxdemonix . Évalué à 1. Dernière modification le 03 octobre 2018 à 12:22.
Dommage, j'ai failli espérer ^ ^ (chiffrer les systèmes de mes serveurs, sans tout péter, est un vieux rêve)
C'est le même mécanisme qu'Ubuntu propose lorsqu'on formate une machine ou rien a voir? :)
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . Évalué à 1.
Il y a plusieurs manières de faire ce que tu veux, comme lire la clé de chiffrage à partir d'une clé USB, par exemple.
L'inconvénient est évidemment la sécurité.
Cela dit, j'ai 2/3 idées en tête pour résoudre ce souci.
[^] # Re: Disques chiffrés?
Posté par BAKfr . Évalué à 3.
J'ai un serveur distant qui est complètement chiffré. Au démarrage, il lance un serveur SSH qui ne permet que de rentrer la clé. Du coup, je perd le redémarrage automatique, mais ça n'a pas d'autre impact sur le fonctionnement.
En pratique, j'utilise un initramfs créé à la main qui contient dropbear pour le serveur SSH. Le chiffrement est basé sur LUKS. Je n'ai pas vu de configuration prête à l'emploi, mais on trouve pas mal de tuto sur le net.
Ce sont les mêmes briques de base, donc oui, il y a moyen de créer la même configuration que ce que fait Ubuntu.
[^] # Re: Disques chiffrés?
Posté par voxdemonix . Évalué à 1. Dernière modification le 04 octobre 2018 à 11:46.
Ce mécanisme a l'air pas mal, si tu as quelques liens et infos je suis preneur.
Ça ne lance que openssh-server ou sa lance aussi d'autres softwares? (j'apprécierai le lancement de tor)
[^] # Re: Disques chiffrés?
Posté par BAKfr . Évalué à 3.
Je n'ai pas retrouvé la procédure exacte que j'avais utilisé, mais il me semble m'être servi de ce post de blog. Il y a aussi ce guide plus récent.
Dans mon cas, ça ne lance que beardrop, un serveur SSH très léger et avec une config très simple, plus approprié que openssh-server pour ce genre de situation.
Je n'ai aucune idée de si c'est possible d'y ajouter tor.
[^] # Re: Disques chiffrés?
Posté par voxdemonix . Évalué à 1.
Merci pour les liens, je vais checker cela. (ca me donne de sacré idées pour le logiciel de supervision server que je pense coder :) )
Openssh a le mérite d'être compatible tor après une légère modif :)
[^] # Re: Disques chiffrés?
Posté par Storm . Évalué à 2.
Petite typo : il s'agit sûrement de dropbear.
[^] # Re: Disques chiffrés?
Posté par Andre Rodier (site web personnel) . Évalué à 1.
Merci, je viens de le rajouter. Et en plus, c'est beaucoup plus simple sous Debian:
https://unix.stackexchange.com/questions/411945/luks-ssh-unlock-strange-behaviour-invalid-authorized-keys-file
Les clés publiques sont partagées entre OpenSSH et Dropbear, il n'y a pas de warning lorsque l'on passe d'une connexion de l'un à l'autre.
Encore une fois, Merci!
[^] # Re: Disques chiffrés?
Posté par voxdemonix . Évalué à 1. Dernière modification le 06 octobre 2018 à 15:02.
Installer dropbear est-il obligatoire ? (si l'on a déjà openssh-server)
J'ai ouvert un thread ici si tu veux participer ;)
[^] # Re: Disques chiffrés?
Posté par BAKfr . Évalué à 1.
Je ne sais pas si c'est déconseillé, mais en terme de durée de vie du SSD, ça ne semble pas poser de problème particulier.
Mon PC utilise un SSD acheté fin 2014 autour de 120€ (Crucial CT128M550SSD1). Il est chiffré et toutes mes données hors contenu multimédia. J'utilise cet ordi tout les jours ou presque, autant pour le loisir que le travail (beaucoup de télétravail). Je fais énormément de compilation (donc d'écriture disque) puisque le système tourne sous Gentoo.
Aujourd'hui, l'indicateur de "temps de vie" utilisé, reporté par S.M.A.R.T, m'indique 16%. Donc, si l'indicateur est fiable, j'en ai encore pour 20 ans.
Je crois me souvenir qu'il y avait des problèmes éventuelles avec le trim (souvent activé par défaut), qui était recommandé pour les SSD, mais qui pouvait théoriquement permettre à un attaquant analysant le SSD de récupérer certaines information.
[^] # Re: Disques chiffrés?
Posté par voxdemonix . Évalué à 1. Dernière modification le 04 octobre 2018 à 14:52.
Il me semble avoir lu quelque part que le fonctionnement des techno Flash (on ne sait pas où sont situé les données et on ne peut ré-écrire dessus) créait d'énormes faiblesses pour les algos de chiffrement.
Mais comme ça date, … :)
[^] # Re: Disques chiffrés?
Posté par David Demelier (site web personnel) . Évalué à 3.
Je suis entièrement d'accord et plussoie complètement. Je chiffre tous mes portables. En revanche, j'avoue que même chez moi je laisse parfois mon ordinateur portable en veille en partant et même si GNOME verrouille ma session on perd quand même l'utilité du chiffrement. Donc ne pas oublier d'éteindre complètement avant de partir :)
git is great because linus did it, mercurial is better because he didn't
[^] # Re: Disques chiffrés?
Posté par Jiel (site web personnel) . Évalué à 2.
A moins d'une attaque ciblée cela devrait suffire. La batterie d'un portable a généralement une autonomie de quelques heures. Si tu es chanceux, la batterie sera vide au moment où ton portable arrivera chez le receleur - et donc ton portable éteint.
[^] # Re: Disques chiffrés?
Posté par Psychofox (Mastodon) . Évalué à 8.
Faut garder à l'esprit qu'à l'échelle des risques c'est quand même assez faible. Tu connais beaucoup de monde qui sait dumper la mémoire d'un portable allumé sans avoir moyen de s'y logger de façon interactive.
Bref si j'étais membre d'un gouvernement ou d'une société importante, travaillais pour les services secret où était un activiste potentiellement surveillé par lesdits services secret je ne laisserais pas un pc allumé sans surveillance dans un quelconque lieu.
En tant que particulier ? Bof. Chiffrer son disque c'est déjà un grand pas vers une sécurité très correcte.
# Soutien
Posté par muchos (site web personnel) . Évalué à 8.
Je ne sais pas répondre à ta question, mais je souhaite t’envoyer tout mon soutien. Subir un cambriolage procure souvent un sentiment de vulnérabilité et de frustration. J’espère que ça va s’arranger. Bonne enquête :)
Debug the Web together.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.