debian-fde-dropbear
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
debian-fde-dropbear [2016/05/20 17:48] – [Configuration persistante de SSH] + note coupure connexion scara | debian-fde-dropbear [2018/03/07 14:51] – [Configuration de l'initramfs] introduction de la commande lsblk cequejevois | ||
---|---|---|---|
Ligne 11: | Ligne 11: | ||
* [[https:// | * [[https:// | ||
* [[http:// | * [[http:// | ||
- | * [[https:// | + | * [[https:// |
* [[https:// | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
+ | * [[https:// | ||
===== Installation de dropbear ===== | ===== Installation de dropbear ===== | ||
Ligne 19: | Ligne 21: | ||
apt install dropbear | apt install dropbear | ||
- | L' | + | ==== Avec Jessie (debian 8) ==== |
+ | |||
+ | L' | ||
Il faut donc vider les clés autorisées à se connecter sur l' | Il faut donc vider les clés autorisées à se connecter sur l' | ||
Ligne 31: | Ligne 35: | ||
Ensuite, il faut ajouter les clés ssh autorisées à se connecter pour déchiffrer le disque au fichier ''/ | Ensuite, il faut ajouter les clés ssh autorisées à se connecter pour déchiffrer le disque au fichier ''/ | ||
(cela peut être une copie de '' | (cela peut être une copie de '' | ||
+ | |||
+ | ==== À partir de stretch (debian 9) ==== | ||
+ | |||
+ | L' | ||
+ | |||
+ | Les clés autorisées à se connecter sur l' | ||
+ | |||
+ | dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work! | ||
===== Ajout du pilote de la carte réseau à l' | ===== Ajout du pilote de la carte réseau à l' | ||
- | Pour cela il faut detecter | + | //Note : Cette étape n'est pas obligatoire sur toutes les machines, le pilote de la carte réseau étant déjà chargé dans certains cas. // |
+ | |||
+ | Pour cela, il faut détecter | ||
- | grep DRIVER / | + | |
+ | | ||
qui retourne par exemple | qui retourne par exemple | ||
Ligne 47: | Ligne 62: | ||
Cela peut se faire en une seule ligne | Cela peut se faire en une seule ligne | ||
- | grep DRIVER= / | + | grep DRIVER= / |
- | //Note : Cette étape n'est pas obligatoire sur toutes les machines, le pilote de la carte réseau étant déjà chargé dans certains cas. // | ||
===== Configuration de l' | ===== Configuration de l' | ||
- | Éditer le fichier | + | //Note : La configuration décrite ci-après est réalisée dans le fichier ''/ |
+ | |||
+ | Pour savoir quelle partition a été chiffrée, utiliser la commande '' | ||
+ | |||
+ | ==== Avec Jessie (debian 8) ==== | ||
+ | |||
+ | Éditer le fichier | ||
# enable dropbear explicitly | # enable dropbear explicitly | ||
Ligne 75: | Ligne 95: | ||
# pre-up ifdown eth0 | # pre-up ifdown eth0 | ||
+ | ==== À partir de stretch (debian 9) ==== | ||
+ | Le fonctionnement est identique, à ceci près : | ||
+ | |||
+ | === Activer dropbear dans l' | ||
+ | |||
+ | '' | ||
+ | |||
+ | # enable dropbear explicitly | ||
+ | DROPBEAR=y | ||
+ | |||
+ | === Forcer l' | ||
+ | |||
+ | Il n'est plus utile de forcer // | ||
+ | |||
+ | Extrait du changelog de la version 2015.68-1 de dropbear : | ||
+ | |||
+ | Bring down interfaces and flush IP routes and addresses before exiting | ||
+ | the ramdisk, to avoid dirty network configuration in the regular kernel. | ||
+ | (Closes: #715048, #720987, # | ||
+ | those matching the $DROPBEAR_IFDOWN shell pattern (default: ' | ||
+ | special value ' | ||
+ | tables and addresses. | ||
==== Variante ===== | ==== Variante ===== | ||
'' | '' | ||
Ligne 89: | Ligne 131: | ||
===== Connexion à la machine ===== | ===== Connexion à la machine ===== | ||
+ | |||
+ | ==== Avec Jessie (debian 8) ==== | ||
ssh -t -o UserKnownHostsFile=~/ | ssh -t -o UserKnownHostsFile=~/ | ||
Ligne 101: | Ligne 145: | ||
Notez qu'il est possible de se connecter simplement en ssh à la machine ('' | Notez qu'il est possible de se connecter simplement en ssh à la machine ('' | ||
+ | ==== À partir de stretch (debian 9) ==== | ||
+ | |||
+ | On peut toujours se connecter avec la méthode décrite, ci-dessus, mais désormais le paquet cryptsetup inclut un script de déverrouillage complémentaire (cf. ''/ | ||
+ | |||
+ | Pour cela, on ajoute la clé ssh autorisée à se connecter au boot, avec les commandes suivante : | ||
+ | |||
+ | # echo -n " | ||
+ | |||
+ | # cat / | ||
+ | |||
+ | ou avec votre éditeur de texte préféré. | ||
+ | |||
+ | Dès lors, pour se connecter, il suffit de lancer : | ||
+ | |||
+ | ssh -t -o UserKnownHostsFile=~/ | ||
+ | |||
+ | |||
==== Configuration persistante de SSH ==== | ==== Configuration persistante de SSH ==== | ||
Ligne 121: | Ligne 182: | ||
//À noter qu'une fois la passphrase entrée, la connexion ssh est coupée étant donnée que la machine se lance et se déchiffre.// | //À noter qu'une fois la passphrase entrée, la connexion ssh est coupée étant donnée que la machine se lance et se déchiffre.// | ||
- | ==== Et En IPv6 ? ==== | + | |
+ | ==== Et en IPv6 ? ==== | ||
Le serveur SSH dans l' | Le serveur SSH dans l' | ||
Ligne 128: | Ligne 190: | ||
* En étant sur le même LAN que votre machine, vous pouvez utiliser l' | * En étant sur le même LAN que votre machine, vous pouvez utiliser l' | ||
+ | |||
+ | ===== Complément et alternative ===== | ||
+ | |||
+ | ==== Sécurisation de dropbear-initramfs ==== | ||
+ | |||
+ | À partir de debian 9, il y a une configuration spécifique pour le paquet '' | ||
+ | |||
+ | Sans rien y toucher ça marche, mais il est possible d' | ||
+ | |||
+ | Quelques options extraites de '' | ||
+ | | **-p** | Listen on specified TCP port. | | ||
+ | | **-s** | Disable password logins. | | ||
+ | | **-j** | Disable local port forwarding. | | ||
+ | | **-k** | Disable remote port forwarding. | | ||
+ | | **-I** | Disconnect the session if no traffic is transmitted or received for n seconds. | | ||
+ | |||
+ | La ligne ''# | ||
+ | |||
+ | ==== Cohabitation dropbear et openssh ==== | ||
+ | |||
+ | Avec la mise en place de dropbear, du point de vue du client SSH on se connecte deux fois de suite sur la même ip+port en ssh, mais sur deux serveurs SSH (dropbear, puis openssh-server) identifiés par des clés différentes (côté serveur). | ||
+ | |||
+ | Ces clés sont stockées par le client SSH dans ~/ | ||
+ | |||
+ | Pour éviter que notre client SSH ne crie à chaque connexion croyant que l'on ne se connecte pas à la même machine, il y a //au moins// deux possibilités : | ||
+ | |||
+ | * Utiliser un fichier known_hosts spécifique, | ||
+ | * Définir un port de connexion différent pour dropbear en utilisant l' | ||
===== Le cas particulier d'une Brique Internet ===== | ===== Le cas particulier d'une Brique Internet ===== | ||
Ligne 133: | Ligne 223: | ||
Dropbear est déjà installé et utilisé sur les installations chiffrées de la Brique Internet, donc pas besoin de l' | Dropbear est déjà installé et utilisé sur les installations chiffrées de la Brique Internet, donc pas besoin de l' | ||
- | Ouvrir ''/ | + | Ouvrir ''/ |
vi / | vi / | ||
debian-fde-dropbear.txt · Dernière modification : 2018/12/14 11:02 de kippix