Cher Journal,
Je dois déployer des serveurs… mais dans des environnements où je n’ai pas totalement confiance. Pas au point d’imaginer un ninja intrus venir reflasher mes machines la nuit, mais suffisamment pour vouloir une chaîne de boot propre, vérifiable et contrôlée de bout en bout.
NB : Si vous avez du matériel à vendre qui respecte mon cahier des charges, je suis preneur :)
Je regarde en ce moment du côté des serveurs Purism, Nitrokey, etc.
J’ai évidemment pensé au combo classique : coreboot + Heads + clé Nitrokey.
C’est propre, c’est bien intégré, et pour un laptop c’est presque parfait.
Mais sur un serveur distant, il faut valider physiquement chaque boot, et là… ça devient franchement relou.
Je ne peux pas camper dans chaque datacenter juste pour appuyer sur Entrée.
Alors j’ai regardé la solution ✨ moderne ✨ :
③ Trenchboot + TPM2 + Keylime (remote attestation).
On gagne énormément : DRTM, attestation distante, automation, contrôle centralisé.
Mais… pour faire tout ça, on repose sur une base x86 moderne, et donc :
il faut faire confiance à Intel ME (ou AMD PSP).
Et ça, ça pue …
Je sais qu’il y a des moules qui bossent sur des plateformes open hardware, voire totalement libérées du ME/PSP (OpenPOWER, RISC-V…), mais ce n’est pas encore très pratique pour faire tourner tout ce dont j’ai besoin côté services.
Du coup je réfléchis à un compromis réaliste :
une chaîne de boot diskless, mesurable, et entièrement sous mon contrôle.
Un schéma du genre :
Hardware
↓
coreboot
↓
Heads (sécurité : TPM + GPG + clé physique)
↓
iPXE (avec mon propre CA intégré, pour n’accepter QUE mon serveur)
↓
Boot réseau / OS éphémère
L’idée :
garder l’intégrité du boot grâce à Heads,
éliminer tout stockage local sensible,
contrôler complètement la chaîne TLS entre iPXE et mon infra (via mon propre CA),
sans devoir aller physiquement valider chaque démarrage dans le datacenter.
Bref, je cherche à savoir si des moules ont déjà tenté un setup hybride du genre :
Heads pour garantir l’intégrité locale,
iPXE sécurisé avec un CA maison,
boot réseau minimaliste,
le tout sans devoir faire confiance aveuglément au ME.
Si vous avez déjà déployé ce genre d’architecture, ou trouvé un compromis acceptable entre Heads, boot réseau sécurisé et gestion à distance, vos retours d’expérience m’intéressent.
Merci les moules :)
# Threat model
Posté par pasBill pasGates . Évalué à 6 (+5/-0).
Tu peux clarifier quelles sont les menaces qui t'amènent à chercher ces solutions ?
Si tu ne fais pas confiance aux gens qui bossent là-bas, tu penses vraiment que tu pourras te protèger ce des gens avec juste du soft sur du HW standard ?
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.