Différences

Ci-dessous, les différences entre deux révisions de la page.

--- debian-fde-dropbear [2017/12/23 15:01] – [Avec Jessie (debian 8)] aurelien
+++ debian-fde-dropbear [2017/12/31 16:05] – [À partir de stretch (debian 9)] aurelien
@@ Ligne 38: / Ligne 38: @@
 ==== À partir de stretch (debian 9) ====
-L'installation de ''dropbear'' entraine l'installation d'un paquet complémentaire ''dropbear-initramfs''.
+L'installation de ''dropbear'' entraîne l'installation d'un paquet complémentaire ''dropbear-initramfs''.
 Les clés autorisées à se connecter sur l'initramfs ne sont plus générées automatiquement, elles seront à ajouter dans ''/etc/dropbear-initramfs/authorized_keys''. C'est pourquoi à la fin de l'installation ou si l'on reconstruit l'initramfs avant d'avoir ajouter les clés, on a un message nous indiquant :
@@ Ligne 49: / Ligne 49: @@
 //Note : Cette étape n'est pas obligatoire sur toutes les machines, le pilote de la carte réseau étant déjà chargé dans certains cas. //
-Pour cela il faut detecter le pilote avec la commande
+Pour cela, il faut détecter le pilote avec la commande
     # "e*" permet de fonctionner avec l'ancien (eth*) et le nouveau (enps*) nommage des interfaces.
@@ Ligne 95: / Ligne 95: @@
 ==== À partir de stretch (debian 9) ====
-Le fonctionnement est identique, à ceci près, qu'il n'est pas utile d'ajouter la ligne :
+Le fonctionnement est identique, à ceci près :
+=== Activer dropbear dans l'initramfs ===
+''dropbear'' est activé par défaut, il n'est donc pas nécessaire d'ajouter la ligne suivante au fichier ''/etc/initramfs-tools/initramfs.conf'' :
     # enable dropbear explicitly
     DROPBEAR=y
+=== Forcer l'extinction de l'interface réseau ===
+Il n'est plus utile de forcer //manuellement// l'extinction de l'interface réseau, car c'est désormais le comportement par défaut (voir l'option ''IFDOWN'' dans ''/etc/dropbear-initramfs/config'').
+Extrait du changelog de la version 2015.68-1 de dropbear :
+    Bring down interfaces and flush IP routes and addresses before exiting
+    the ramdisk, to avoid dirty network configuration in the regular kernel.
+    (Closes: #715048, #720987, #720988.)  The interfaces considered are
+    those matching the $DROPBEAR_IFDOWN shell pattern (default: '*'); the
+    special value 'none' keeps all interfaces up and preserves routing
+    tables and addresses.
 ==== Variante =====
 ''DROPBEAR=y'' et ''DEVICE=eth0'' étant les valeurs par défaut, il est possible de définir la configuration réseau via le Grub. Pour cela il faut éditer le fichier ''/etc/default/grub'' et ajouter la ligne suivante
@@ Ligne 129: / Ligne 145: @@
 ==== À partir de stretch (debian 9) ====
-On peut toujours se connecter avec la méthode décrite, ci-dessus, mais désormais le paquet cryptsetup inclus un scipt de déverrouillage complémentaire (cf. ''/usr/share/cryptsetup/initramfs/bin/cryptroot-unlock'' et ''/usr/share/initramfs-tools/hooks/cryptroot-unlock''), que l'on peut définir comme [[https://man.openbsd.org/sshd.8#command=%22command%22|unique commande proposée à la connexion]].
+On peut toujours se connecter avec la méthode décrite, ci-dessus, mais désormais le paquet cryptsetup inclut un script de déverrouillage complémentaire (cf. ''/usr/share/cryptsetup/initramfs/bin/cryptroot-unlock'' et ''/usr/share/initramfs-tools/hooks/cryptroot-unlock''), que l'on peut définir comme [[https://man.openbsd.org/sshd.8#command=%22command%22|unique commande proposée à la connexion]].
 Pour cela, on ajoute la clé ssh autorisée à se connecter au boot, avec les commandes suivante :
@@ Ligne 139: / Ligne 155: @@
 ou avec votre éditeur de texte préféré.
-Dès lors pour se connecter il suffit de lancer :
+Dès lors, pour se connecter, il suffit de lancer :
     ssh -t -o UserKnownHostsFile=~/.ssh/machine_known_hosts root@machine
@@ Ligne 164: / Ligne 180: @@
 //À noter qu'une fois la passphrase entrée, la connexion ssh est coupée étant donnée que la machine se lance et se déchiffre.//
-==== Et En IPv6 ? ====
+==== Et en IPv6 ? ====
 Le serveur SSH dans l'initrd écoute également par défaut en IPv6. Cela signifie :
@@ Ligne 204: / Ligne 221: @@
 Dropbear est déjà installé et utilisé sur les installations chiffrées de la Brique Internet, donc pas besoin de l'installer. Et vis-a-vis des explications précédentes, la brique fonctionne avec u-boot et non grub comme gestionnaire de démarrage.
-Ouvrir ''/etc/initramfs-tools/root/.ssh/authorized_keys'' et y copier le contenu de ''~/.ssh/authorized_keys'' (en espérants que vous aviez précédemment [[https://yunohost.org/#/security_fr|sécurisé la connexion ssh par clé]]) :
+Ouvrir ''/etc/initramfs-tools/root/.ssh/authorized_keys'' et y copier le contenu de ''~/.ssh/authorized_keys'' (en espérant que vous aviez précédemment [[https://yunohost.org/#/security_fr|sécurisé la connexion ssh par clé]]) :
    vi /etc/initramfs-tools/root/.ssh/authorized_keys