debian-fde-dropbear
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
debian-fde-dropbear [2017/12/23 15:01] – [Configuration de l'initramfs] aurelien | debian-fde-dropbear [2018/12/14 11:02] (Version actuelle) – [Complément et alternative] kippix | ||
---|---|---|---|
Ligne 34: | Ligne 34: | ||
Ensuite, il faut ajouter les clés ssh autorisées à se connecter pour déchiffrer le disque au fichier ''/ | Ensuite, il faut ajouter les clés ssh autorisées à se connecter pour déchiffrer le disque au fichier ''/ | ||
- | (cela peut être une copie de '' | + | (cela peut être une copie de '' |
==== À partir de stretch (debian 9) ==== | ==== À partir de stretch (debian 9) ==== | ||
- | L' | + | L' |
Les clés autorisées à se connecter sur l' | Les clés autorisées à se connecter sur l' | ||
Ligne 49: | Ligne 49: | ||
//Note : Cette étape n'est pas obligatoire sur toutes les machines, le pilote de la carte réseau étant déjà chargé dans certains cas. // | //Note : Cette étape n'est pas obligatoire sur toutes les machines, le pilote de la carte réseau étant déjà chargé dans certains cas. // | ||
- | Pour cela il faut detecter | + | Pour cela, il faut détecter |
# " | # " | ||
Ligne 68: | Ligne 68: | ||
//Note : La configuration décrite ci-après est réalisée dans le fichier ''/ | //Note : La configuration décrite ci-après est réalisée dans le fichier ''/ | ||
+ | |||
+ | Pour savoir quelle partition a été chiffrée, utiliser la commande '' | ||
==== Avec Jessie (debian 8) ==== | ==== Avec Jessie (debian 8) ==== | ||
+ | Certaines des informations demandées ci-après (comme l' | ||
- | Éditer le fichier | + | Éditer le fichier |
# enable dropbear explicitly | # enable dropbear explicitly | ||
DROPBEAR=y | DROPBEAR=y | ||
+ | |||
+ | //(ligne ci-dessus à ajouter si non déjà présente dans le fichier)// | ||
# network configuration. | # network configuration. | ||
Ligne 81: | Ligne 86: | ||
DEVICE=eth0 | DEVICE=eth0 | ||
IP=111.222.333.444:: | IP=111.222.333.444:: | ||
+ | Notez que les valeurs ''< | ||
Reconstruire l' | Reconstruire l' | ||
Ligne 95: | Ligne 101: | ||
==== À partir de stretch (debian 9) ==== | ==== À partir de stretch (debian 9) ==== | ||
- | Le fonctionnement est identique, à ceci près, qu'il n'est pas utile d' | + | Le fonctionnement est identique, à ceci près : |
+ | |||
+ | === Activer dropbear dans l'initramfs === | ||
+ | |||
+ | '' | ||
# enable dropbear explicitly | # enable dropbear explicitly | ||
DROPBEAR=y | DROPBEAR=y | ||
+ | === Forcer l' | ||
+ | |||
+ | Il n'est plus utile de forcer // | ||
+ | |||
+ | Extrait du changelog de la version 2015.68-1 de dropbear : | ||
+ | |||
+ | Bring down interfaces and flush IP routes and addresses before exiting | ||
+ | the ramdisk, to avoid dirty network configuration in the regular kernel. | ||
+ | (Closes: #715048, #720987, # | ||
+ | those matching the $DROPBEAR_IFDOWN shell pattern (default: ' | ||
+ | special value ' | ||
+ | tables and addresses. | ||
==== Variante ===== | ==== Variante ===== | ||
'' | '' | ||
Ligne 114: | Ligne 136: | ||
===== Connexion à la machine ===== | ===== Connexion à la machine ===== | ||
+ | * seul l' | ||
+ | * il est possible de remplacer le message '' | ||
==== Avec Jessie (debian 8) ==== | ==== Avec Jessie (debian 8) ==== | ||
Ligne 121: | Ligne 145: | ||
Explications : | Explications : | ||
- | * L' | + | * L' |
* La phrase de passe est écrite dans le [[https:// | * La phrase de passe est écrite dans le [[https:// | ||
* Un fichier // | * Un fichier // | ||
Ligne 129: | Ligne 153: | ||
==== À partir de stretch (debian 9) ==== | ==== À partir de stretch (debian 9) ==== | ||
- | On peut toujours se connecter avec la méthode décrite, ci-dessus, mais désormais le paquet cryptsetup | + | On peut toujours se connecter avec la méthode décrite, ci-dessus, mais désormais le paquet cryptsetup |
Pour cela, on ajoute la clé ssh autorisée à se connecter au boot, avec les commandes suivante : | Pour cela, on ajoute la clé ssh autorisée à se connecter au boot, avec les commandes suivante : | ||
Ligne 139: | Ligne 163: | ||
ou avec votre éditeur de texte préféré. | ou avec votre éditeur de texte préféré. | ||
- | Dès lors pour se connecter il suffit de lancer : | + | Dès lors, pour se connecter, il suffit de lancer : |
ssh -t -o UserKnownHostsFile=~/ | ssh -t -o UserKnownHostsFile=~/ | ||
Ligne 164: | Ligne 188: | ||
//À noter qu'une fois la passphrase entrée, la connexion ssh est coupée étant donnée que la machine se lance et se déchiffre.// | //À noter qu'une fois la passphrase entrée, la connexion ssh est coupée étant donnée que la machine se lance et se déchiffre.// | ||
- | ==== Et En IPv6 ? ==== | + | |
+ | ==== Et en IPv6 ? ==== | ||
Le serveur SSH dans l' | Le serveur SSH dans l' | ||
Ligne 174: | Ligne 199: | ||
===== Complément et alternative ===== | ===== Complément et alternative ===== | ||
+ | ==== Activer l' | ||
+ | |||
+ | Dans certains cas, si vous utiliser du SoL (Serial over Lan) par exemple, et que vous avez besoin de debugger la séquence de boot, il peut-être utile de rediriger l' | ||
+ | |||
+ | Voici comment faire: | ||
+ | |||
+ | < | ||
+ | vi / | ||
+ | </ | ||
+ | |||
+ | GRUB_CMDLINE_LINUX=" | ||
+ | |||
+ | Ne pas oublier: | ||
+ | |||
+ | update-grub | ||
+ | |||
+ | ==== Nommage des interfaces réseau ==== | ||
+ | |||
+ | En prévention de l' | ||
+ | Buster, implémente les [[https:// | ||
+ | |||
+ | Et donc, nous vous conseillions de désactiver, | ||
+ | |||
+ | Cela ce fait par un argument à passer au kernel au moment du boot. | ||
+ | |||
+ | < | ||
+ | vi / | ||
+ | </ | ||
+ | |||
+ | GRUB_CMDLINE_LINUX_DEFAULT=" | ||
+ | |||
+ | De fait, le nommage en eth0 sera conservé. | ||
+ | |||
+ | Ne pas oublier: | ||
+ | |||
+ | update-grub | ||
==== Sécurisation de dropbear-initramfs ==== | ==== Sécurisation de dropbear-initramfs ==== | ||
Ligne 204: | Ligne 265: | ||
Dropbear est déjà installé et utilisé sur les installations chiffrées de la Brique Internet, donc pas besoin de l' | Dropbear est déjà installé et utilisé sur les installations chiffrées de la Brique Internet, donc pas besoin de l' | ||
- | Ouvrir ''/ | + | Ouvrir ''/ |
vi / | vi / | ||
Ligne 234: | Ligne 295: | ||
Il est important de se rappeler les limites d'une telle méthode. Si un attaquant obtient un accès root au système, il peut obtenir la clé de chiffrement ('' | Il est important de se rappeler les limites d'une telle méthode. Si un attaquant obtient un accès root au système, il peut obtenir la clé de chiffrement ('' | ||
- | Dans tous les cas, ça rend l' | + | Dans tous les cas, cela rend l' |
À noter aussi, [[http:// | À noter aussi, [[http:// | ||
+ | |||
+ | ===== Ajouter, modifier et supprimer des phrases de passes | ||
+ | |||
+ | Il est possible d' | ||
+ | |||
+ | ==== Détecter la partition chiffrée avec lsblk ==== | ||
+ | < | ||
+ | # lsblk | ||
+ | NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT | ||
+ | fd0 | ||
+ | sda | ||
+ | ├─sda1 | ||
+ | ├─sda2 | ||
+ | └─sda5 | ||
+ | └─sda5_crypt | ||
+ | ├─foo--vg-root | ||
+ | ├─foo--vg-var | ||
+ | ├─foo--vg-swap_1 | ||
+ | ├─foo--vg-tmp | ||
+ | └─foo--vg-home | ||
+ | sr0 11:0 1 290M 0 rom | ||
+ | sr1 11:1 1 1024M 0 rom | ||
+ | </ | ||
+ | |||
+ | La partition chiffrée est donc '' | ||
+ | |||
+ | On peut vérifier que la partition est bien une partition Luks avec la commande suivante : | ||
+ | < | ||
+ | # cryptsetup -v isLuks /dev/sda5 | ||
+ | Command successful. | ||
+ | |||
+ | # cryptsetup -v isLuks /dev/sda1 | ||
+ | Device /dev/sda1 is not a valid LUKS device. | ||
+ | Command failed with code 22: Invalid argument | ||
+ | |||
+ | # cryptsetup -v isLuks / | ||
+ | Device / | ||
+ | Command failed with code 22: Invalid argument | ||
+ | </ | ||
+ | |||
+ | Toutes les commandes '' | ||
+ | |||
+ | ==== Pour ajouter une phrase de passe : ==== | ||
+ | |||
+ | < | ||
+ | # cryptsetup -v luksAddKey /dev/sda5 | ||
+ | Enter any existing passphrase: ********* | ||
+ | Key slot 1 unlocked. | ||
+ | Enter new passphrase for key slot: ********* | ||
+ | Verify passphrase: ********* | ||
+ | Key slot 1 unlocked. | ||
+ | Command successful. | ||
+ | </ | ||
+ | |||
+ | ==== Pour supprimer une phrase de passe : ==== | ||
+ | |||
+ | < | ||
+ | # cryptsetup -v luksRemoveKey /dev/sda5 | ||
+ | Enter passphrase to be deleted: ****** | ||
+ | Key slot 0 unlocked. | ||
+ | Key slot 0 selected for deletion. | ||
+ | Command successful. | ||
+ | </ | ||
+ | |||
+ | Dans le cas où la passphrase n' | ||
+ | < | ||
+ | # cryptsetup -v luksRemoveKey /dev/sda5 | ||
+ | Enter passphrase to be deleted: | ||
+ | No key available with this passphrase. | ||
+ | Command failed with code 1: Operation not permitted | ||
+ | </ | ||
+ | |||
+ | ==== Pour modifier une phrase de passe : ==== | ||
+ | |||
+ | - Ajouter une nouvelle phrase de passe. | ||
+ | - :!: rebooter pour tester la nouvelle phrase de passe (ignorez cette étape à vos risques et périls) | ||
+ | - Supprimer l' |
debian-fde-dropbear.1514041283.txt.gz · Dernière modification : 2017/12/23 15:01 de aurelien