Projet Networking TNE

Durcissement des Serveurs (BIOS-UEFI)

5 min de lecture

Phase 5 : Sécurité Physique et Durcissement BIOS/UEFI

1. Objectif de ce Document

Ce document fournit une checklist des mesures de sécurité à appliquer au niveau du BIOS/UEFI de nos serveurs Lenovo SR630. Le durcissement à ce niveau fondamental est une étape essentielle de la sécurisation globale de l’infrastructure.

L’objectif est d’empêcher les modifications non autorisées de la configuration matérielle, de contrôler le processus de démarrage et de protéger nos serveurs contre les attaques physiques ou de bas niveau.

2. Le “Pourquoi” : Verrouiller la Porte d’Entrée de la Maison

Imaginez que notre serveur est une maison.

  • Le système d’exploitation (Proxmox) est le système d’alarme à l’intérieur de la maison.
  • Le BIOS/UEFI, c’est la porte d’entrée, les fenêtres et les serrures de la maison.

Si la porte d’entrée est de mauvaise qualité et n’est pas verrouillée, un cambrioleur n’a même pas besoin de se soucier de l’alarme. Il peut entrer, désactiver l’alarme de l’intérieur, et faire ce qu’il veut.

De la même manière, si le BIOS/UEFI d’un serveur n’est pas sécurisé, une personne ayant un accès physique (même bref, avec une simple clé USB) pourrait :

  • Démarrer le serveur sur un système d’exploitation non autorisé (un “live CD” de hacking).
  • Accéder aux disques durs et potentiellement voler ou altérer les données des VMs.
  • Désactiver des fonctionnalités de sécurité matérielle.
  • Installer un “rootkit” de bas niveau, invisible pour le système d’exploitation.

Le durcissement du BIOS/UEFI consiste à poser une porte blindée et à la verrouiller à double tour.

3. Prérequis

  • Un accès physique ou distant (via la console iDRAC/iLO/BMC) à chaque serveur physique du cluster Proxmox.
  • Un redémarrage de chaque serveur sera nécessaire pour appliquer ces paramètres. Cette opération doit donc être planifiée pendant une fenêtre de maintenance.

4. Checklist de Durcissement

Cette procédure doit être appliquée sur chacun des 6 serveurs Lenovo SR630.

✅ 1. Définir un Mot de Passe Administrateur UEFI

C’est la mesure la plus importante. Elle empêche quiconque d’entrer dans le menu de configuration du BIOS/UEFI sans autorisation.

  • Action : Redémarrez le serveur et entrez dans le menu de configuration (souvent en appuyant sur F1 ou F2). Naviguez jusqu’à la section Security. Trouvez l’option Set Administrator Password et définissez un mot de passe fort et unique.

✅ 2. Configurer le “Secure Boot”

Le Secure Boot est une norme de sécurité qui s’assure que le serveur ne démarre que des systèmes d’exploitation “signés” et de confiance. Il empêche le démarrage de systèmes non autorisés ou de rootkits.

  • Action : Dans le menu UEFI, naviguez jusqu’à la section Startup ou Boot. Trouvez l’option Secure Boot et mettez-la sur Enabled. Proxmox VE est compatible avec le Secure Boot.

✅ 3. Contrôler l’Ordre de Démarrage (Boot Order)

Une fois le système d’exploitation installé, il n’y a aucune raison d’autoriser le serveur à démarrer sur un autre périphérique.

  • Action : Dans la section Startup ou Boot, modifiez l’ordre de démarrage (Boot Order). Placez le disque dur interne (ou le volume RAID) sur lequel Proxmox est installé en première et unique position. Désactivez toutes les autres options de démarrage (PXE, USB, CD/DVD). Cela empêche un démarrage accidentel ou malveillant depuis un périphérique externe.

✅ 4. Désactiver les Ports et Périphériques Inutilisés

Chaque périphérique activé est une surface d’attaque potentielle.

  • Action : Parcourez les menus du BIOS/UEFI, souvent sous Devices ou Integrated Peripherals. Désactivez tous les ports qui ne sont pas utilisés. Par exemple :
    • Ports USB non utilisés : Si seuls les ports en façade sont utiles, désactivez ceux à l’arrière.
    • Ports Série (COM) : Presque jamais utilisés de nos jours, ils peuvent être désactivés.
    • Interfaces réseau non câblées.

✅ 5. Mettre à Jour le Firmware

Les firmwares (le logiciel du BIOS/UEFI lui-même) peuvent contenir des failles de sécurité. Il est crucial de les maintenir à jour.

  • Action : Consultez le site de support de Lenovo. Téléchargez la dernière mise à jour du firmware pour le modèle SR630. Appliquez cette mise à jour en suivant la procédure du constructeur (souvent via l’interface de gestion distante ou une clé USB bootable).

5. Points de Validation

  • Test du mot de passe : Redémarrez un serveur et essayez d’entrer dans le menu de configuration UEFI. Le système doit impérativement vous demander le mot de passe administrateur que vous avez défini.
  • Test de l’ordre de démarrage : Branchez une clé USB bootable sur un serveur et redémarrez-le. Le serveur doit ignorer la clé USB et démarrer directement sur Proxmox.
  • Vérification dans Proxmox : Une fois le serveur démarré, assurez-vous que toutes les fonctionnalités (réseau, stockage) sont opérationnelles. La désactivation d’un périphérique utile par erreur serait détectée à ce stade.

En appliquant ces mesures sur tous nos serveurs, nous avons considérablement réduit la surface d’attaque physique et de bas niveau de notre infrastructure. La prochaine et dernière étape de cette phase est de mettre en place notre plan de secours : la stratégie de sauvegarde et de restauration.

Vue Graphique

Liens retour