Association FAImaison

Outils pour utilisateurs

Outils du site

Piste : machine-adherent
debian-fde-dropbear

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
debian-fde-dropbear [2018/05/03 07:41] – [Limites] Ajout d'une section sur les phrases de passes luks daimroddebian-fde-dropbear [2018/12/14 11:02] (Version actuelle) – [Complément et alternative] kippix
Ligne 199: Ligne 199:
 ===== Complément et alternative ===== ===== Complément et alternative =====
  
 +==== Activer l'output de Grub sur la console ====
 +
 +Dans certains cas, si vous utiliser du SoL (Serial over Lan) par exemple, et que vous avez besoin de debugger la séquence de boot, il peut-être utile de rediriger l'output de grub vers la console.
 +
 +Voici comment faire:
 +
 +<file>
 +vi /etc/default/grub
 +</file>
 +
 +    GRUB_CMDLINE_LINUX="ip=111.222.333.444::111.222.333.254:255.255.255.0::eth0:off console=ttyS1,9600"
 +
 +Ne pas oublier: 
 +
 +    update-grub
 +
 +==== Nommage des interfaces réseau ====
 +
 +En prévention de l'arrivée de la version GNU/Linux Debian (Buster), actuellement en stable sur stretch, vous pourriez avoir des surprises quant à la déclaration du nom de votre interface réseau. 
 +Buster, implémente les [[https://www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNames/|PredictableNetworkInterfaceNames]]. De fait, si vous avez suivi ce tutoriel, vous aurez renseigné "eth0" dans la configuration de grub. 
 +
 +Et donc, nous vous conseillions de désactiver, provisoirement ou non, le renommage des interfaces. 
 +
 +Cela ce fait par un argument à passer au kernel au moment du boot.
 +
 +<file>
 +vi /etc/default/grub
 +</file>
 +
 +    GRUB_CMDLINE_LINUX_DEFAULT="net.ifnames=0"
 +
 +De fait, le nommage en eth0 sera conservé.
 +
 +Ne pas oublier: 
 +
 +    update-grub
 ==== Sécurisation de dropbear-initramfs ==== ==== Sécurisation de dropbear-initramfs ====
  
Ligne 259: Ligne 295:
 Il est important de se rappeler les limites d'une telle méthode. Si un attaquant obtient un accès root au système, il peut obtenir la clé de chiffrement (''dmsetup table --showkeys'') et n'a plus besoin de découvrir la phrase de passe. Il est également possible de récupérer la clé de chiffrement en mémoire via [[https://citp.princeton.edu/research/memory/|dump de la mémoire après redémarrage]]. Il est important de se rappeler les limites d'une telle méthode. Si un attaquant obtient un accès root au système, il peut obtenir la clé de chiffrement (''dmsetup table --showkeys'') et n'a plus besoin de découvrir la phrase de passe. Il est également possible de récupérer la clé de chiffrement en mémoire via [[https://citp.princeton.edu/research/memory/|dump de la mémoire après redémarrage]].
  
-Dans tous les cas, ça rend l'opération plus compliqué que simplement partir avec la machine, donc c'est bien mais ça a ses limites.+Dans tous les cas, cela rend l'opération plus compliquée que simplement partir avec la machine, donc c'est bien mais ça a ses limites.
  
 À noter aussi, [[http://www.recompile.se/mandos|Mandos]] peut servir à automatiser l'opération. À noter aussi, [[http://www.recompile.se/mandos|Mandos]] peut servir à automatiser l'opération.
Ligne 326: Ligne 362:
 </code> </code>
  
-Dans le cas où la passphrase n'existe pas ou serait incorrect:+Dans le cas où la passphrase n'existerait pas ou serait incorrecte:
 <code> <code>
 # cryptsetup -v luksRemoveKey /dev/sda5 # cryptsetup -v luksRemoveKey /dev/sda5
debian-fde-dropbear.1525333266.txt.gz · Dernière modification : 2018/05/03 07:41 de daimrod