Association FAImaison

Outils pour utilisateurs

Outils du site

Piste :
debian-fde-dropbear

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
debian-fde-dropbear [2017/12/30 17:10] – orthographe aureliendebian-fde-dropbear [2018/05/03 07:26] – [Connexion à la machine] daimrod
Ligne 34: Ligne 34:
  
 Ensuite, il faut ajouter les clés ssh autorisées à se connecter pour déchiffrer le disque au fichier ''/etc/initramfs-tools/root/.ssh/authorized_keys'' Ensuite, il faut ajouter les clés ssh autorisées à se connecter pour déchiffrer le disque au fichier ''/etc/initramfs-tools/root/.ssh/authorized_keys''
-(cela peut être une copie de ''~/.ssh/authorized_keys'', par exemple).+(cela peut être une copie de ''~/.ssh/authorized_keys'', par exemple à condition que vous ayez copié votre clé publique dans ce fichier).
  
 ==== À partir de stretch (debian 9) ==== ==== À partir de stretch (debian 9) ====
Ligne 68: Ligne 68:
  
 //Note : La configuration décrite ci-après est réalisée dans le fichier ''/etc/initramfs-tools/initramfs.conf'', mais pour éviter des surprises vis à vis des mises à jour Debian, il serait préférable d'utiliser un autre fichier comme par exemple ''/etc/initramfs-tools/conf.d/dropbear-fde-unlock''.// //Note : La configuration décrite ci-après est réalisée dans le fichier ''/etc/initramfs-tools/initramfs.conf'', mais pour éviter des surprises vis à vis des mises à jour Debian, il serait préférable d'utiliser un autre fichier comme par exemple ''/etc/initramfs-tools/conf.d/dropbear-fde-unlock''.//
 +
 +Pour savoir quelle partition a été chiffrée, utiliser la commande ''lsblk''.
  
 ==== Avec Jessie (debian 8) ==== ==== Avec Jessie (debian 8) ====
 +Certaines des informations demandées ci-après (comme l'adresse IP) et qui sont spécifiques à votre machine se trouvent dans le fichier ''/etc/network/interfaces'', s'y référer donc.
  
 Éditer le fichier ''/etc/initramfs-tools/initramfs.conf'' et ajouter les lignes suivantes : Éditer le fichier ''/etc/initramfs-tools/initramfs.conf'' et ajouter les lignes suivantes :
Ligne 75: Ligne 78:
     # enable dropbear explicitly     # enable dropbear explicitly
     DROPBEAR=y     DROPBEAR=y
 +
 +//(ligne ci-dessus à ajouter si non déjà présente dans le fichier)//
  
     # network configuration.     # network configuration.
Ligne 81: Ligne 86:
     DEVICE=eth0     DEVICE=eth0
     IP=111.222.333.444::111.222.333.254:255.255.255.0::eth0:off     IP=111.222.333.444::111.222.333.254:255.255.255.0::eth0:off
 +Notez que les valeurs ''<local_IP>'' et suivantes doivent être remplacées par les vôtres et que la présence de ''::'' avant ''<network_interface>'' permet d'omettre la valeur de ''<hostname>'' par facilité.
  
 Reconstruire l'initramfs (à faire après chaque modification) Reconstruire l'initramfs (à faire après chaque modification)
Ligne 95: Ligne 101:
 ==== À partir de stretch (debian 9) ==== ==== À partir de stretch (debian 9) ====
  
-Le fonctionnement est identique, à ceci près, qu'il n'est pas utile d'ajouter la ligne :+Le fonctionnement est identique, à ceci près 
 + 
 +=== Activer dropbear dans l'initramfs === 
 + 
 +''dropbear'' est activé par défaut, il n'est donc pas nécessaire d'ajouter la ligne suivante au fichier ''/etc/initramfs-tools/initramfs.conf'' :
  
     # enable dropbear explicitly     # enable dropbear explicitly
     DROPBEAR=y     DROPBEAR=y
  
 +=== Forcer l'extinction de l'interface réseau ===
 +
 +Il n'est plus utile de forcer //manuellement// l'extinction de l'interface réseau, car c'est désormais le comportement par défaut (voir l'option ''IFDOWN'' dans ''/etc/dropbear-initramfs/config'').
 +
 +Extrait du changelog de la version 2015.68-1 de dropbear :
 +
 +    Bring down interfaces and flush IP routes and addresses before exiting
 +    the ramdisk, to avoid dirty network configuration in the regular kernel.
 +    (Closes: #715048, #720987, #720988.)  The interfaces considered are
 +    those matching the $DROPBEAR_IFDOWN shell pattern (default: '*'); the
 +    special value 'none' keeps all interfaces up and preserves routing
 +    tables and addresses.
 ==== Variante ===== ==== Variante =====
 ''DROPBEAR=y'' et ''DEVICE=eth0'' étant les valeurs par défaut, il est possible de définir la configuration réseau via le Grub. Pour cela il faut éditer le fichier ''/etc/default/grub'' et ajouter la ligne suivante ''DROPBEAR=y'' et ''DEVICE=eth0'' étant les valeurs par défaut, il est possible de définir la configuration réseau via le Grub. Pour cela il faut éditer le fichier ''/etc/default/grub'' et ajouter la ligne suivante
Ligne 114: Ligne 136:
 ===== Connexion à la machine ===== ===== Connexion à la machine =====
  
 +  * seul l'utilisateur ''root'' peut se connecter à dropbear
 +  * il est possible de remplacer le message ''FDE passphrase'' par le message que l'on souhaite
 ==== Avec Jessie (debian 8) ==== ==== Avec Jessie (debian 8) ====
  
Ligne 121: Ligne 145:
 Explications : Explications :
  
-  * L'utilitaire ''/lib/cryptsetup/askpass'' permet de demander une phrase de passe+  * L'utilitaire ''/lib/cryptsetup/askpass'' permet de demander une phrase de passe que l'on peut personnaliser (en remplaçant '''FDE Passphrase : ' ''  par le message souhaité)
   * La phrase de passe est écrite dans le [[https://fr.wikipedia.org/wiki/Tube_nomm%C3%A9|fifo]] ''/lib/cryptsetup/passfifo'' (sur le serveur) au sein duquel le programme de déverrouillage du disque la lit ;   * La phrase de passe est écrite dans le [[https://fr.wikipedia.org/wiki/Tube_nomm%C3%A9|fifo]] ''/lib/cryptsetup/passfifo'' (sur le serveur) au sein duquel le programme de déverrouillage du disque la lit ;
   * Un fichier //KnownHost// spécifique est utilisé car la clé ssh du serveur diffère entre l'initramfs et le root filesystem.   * Un fichier //KnownHost// spécifique est utilisé car la clé ssh du serveur diffère entre l'initramfs et le root filesystem.
debian-fde-dropbear.txt · Dernière modification : 2018/12/14 11:02 de kippix