Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
tutoriel:securiser_ubuntu_avec_peripherique_externe [Le 19/05/2013, 13:06] malabarth [Sources] |
tutoriel:securiser_ubuntu_avec_peripherique_externe [Le 11/09/2022, 12:23] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | {{tag> sécurité tutoriel}} | ||
| + | |||
| ====== Gérer la sécurité d'une installation ubuntu avec une clé usb ====== | ====== Gérer la sécurité d'une installation ubuntu avec une clé usb ====== | ||
| Ici nous verrons comment paramétrer le verrouillage/déverrouillage d'une installation d'Ubuntu avec une clé USB. | Ici nous verrons comment paramétrer le verrouillage/déverrouillage d'une installation d'Ubuntu avec une clé USB. | ||
| - | {{tag> sécuriser Ubuntu avec périphérique externe chiffrage déchiffrage encryptage décryptage clé usb automatique}} | ||
| - | ===== Décrypter automatiquement une partition cryptée au démarrage ===== | + | ===== Déchiffrer automatiquement une partition chiffrée au démarrage ===== |
| Si vous possédez une installation d'Ubuntu sur partition LUKS (Linux Unified Key Setup) et que vous en avez marre de taper le mot de passe à chaque démarrage, vous pouvez paramétrer une clé usb afin de vous authentifier automatiquement si cette dernière est branchée! | Si vous possédez une installation d'Ubuntu sur partition LUKS (Linux Unified Key Setup) et que vous en avez marre de taper le mot de passe à chaque démarrage, vous pouvez paramétrer une clé usb afin de vous authentifier automatiquement si cette dernière est branchée! | ||
| Ligne 30: | Ligne 31: | ||
| </note> | </note> | ||
| Créez une partition vierge de type ext4[3/2] d'au moins 1Mo sur le support. Utilisez **[[apt>gparted]]** par exemple. | Créez une partition vierge de type ext4[3/2] d'au moins 1Mo sur le support. Utilisez **[[apt>gparted]]** par exemple. | ||
| + | |||
| + | Vous pouvez aussi n'utiliser qu'une grande partition. | ||
| <note> | <note> | ||
| - | Fat32 devrait fonctionner aussi, mais non testé. Vous pouvez aussi utiliser une seule partition sur toute la clé. | + | Systèmes de fichiers testés: Ext4/3/2, Fat32, Ntfs |
| - | J'utilise personnellement une petite partition de 1Mo sur ma clé en ext4, puis le reste de la clé en fat32 pour compatibilité Windows. | + | |
| </note> | </note> | ||
| <note important> | <note important> | ||
| Ligne 60: | Ligne 62: | ||
| umount /mnt/usb | umount /mnt/usb | ||
| </code> | </code> | ||
| - | |||
| ==== Etape 2 : Préparer la séquence de démarrage ==== | ==== Etape 2 : Préparer la séquence de démarrage ==== | ||
| + | |||
| + | <note important> | ||
| + | Attention, si vous souhaitez utiliser ntfs, une mise à jour du fichier bootscript est disponible! (Etape 4) [2013/09/26] | ||
| + | |||
| + | De plus, assurez-vous que le module ntfs-3g est bien présent dans **/etc/initramfs-tools/modules**, et que vous avez [[:tutoriel:comment_installer_un_paquet|Installé le paquet]] **[[apt>ntfs-3g|ntfs-3g]]** | ||
| + | |||
| + | </note> | ||
| Editez le fichier /etc/initramfs-tools/modules avec les droits root | Editez le fichier /etc/initramfs-tools/modules avec les droits root | ||
| Ligne 79: | Ligne 87: | ||
| dm_mod | dm_mod | ||
| dm_crypt | dm_crypt | ||
| + | ntfs-3g | ||
| </code> | </code> | ||
| * Si vous utilisez une clé USB: | * Si vous utilisez une clé USB: | ||
| Ligne 91: | Ligne 100: | ||
| dm_mod | dm_mod | ||
| dm_crypt | dm_crypt | ||
| + | ntfs-3g | ||
| </code> | </code> | ||
| Ajoutez la nouvelle configuration au système. | Ajoutez la nouvelle configuration au système. | ||
| - | <code>update-initramfs -v -u</code> | + | <code>sudo update-initramfs -v -u</code> |
| - | + | ||
| ==== Etape 3 : Paramétrer le démarrage ==== | ==== Etape 3 : Paramétrer le démarrage ==== | ||
| Ligne 133: | Ligne 141: | ||
| sda2_crypt UUID=9df4f-878ytju-ilk45q-gfbb9f-d33dxxb none luks</code> | sda2_crypt UUID=9df4f-878ytju-ilk45q-gfbb9f-d33dxxb none luks</code> | ||
| - | Téléchargez [[https://dl.dropboxusercontent.com/u/11154643/bootkeyscript| ce script]] et placez le dans **/usr/local/sbin/bootkeyscript** à l'aide des droits root. | + | Téléchargez [[http://iutinfo2000.free.fr/Linux/bootkeyscript| ce script]] et placez le dans **/usr/local/sbin/bootkeyscript** à l'aide des droits root. |
| <code>sudo cp ~/Téléchargements/bootkeyscript /usr/local/sbin/bootkeyscript</code> | <code>sudo cp ~/Téléchargements/bootkeyscript /usr/local/sbin/bootkeyscript</code> | ||
| (N'oubliez pas de changez l'emplacement du fichier téléchargé si **~/Téléchargements/bootkeyscript** n'est pas sa localisation) | (N'oubliez pas de changez l'emplacement du fichier téléchargé si **~/Téléchargements/bootkeyscript** n'est pas sa localisation) | ||
| Ligne 142: | Ligne 150: | ||
| Réactualisez la séquence de démarrage: | Réactualisez la séquence de démarrage: | ||
| <code>update-initramfs -v -u</code> | <code>update-initramfs -v -u</code> | ||
| - | Redémarrez et profitez! ;) | + | Redémarrez et profitez! 8-) |
| + | |||
| + | |||
| + | <note astuce> | ||
| + | Si vous souhaitez débguer et afficher les messages de ce que fait le script, modifier la ligne **debug=0** en **debug=1** du fichier **/usr/local/sbin/bootkeyscript** | ||
| + | |||
| + | Puis réactualisez la séquence de démarrage: | ||
| + | <code>update-initramfs -v -u</code> | ||
| + | </note> | ||
| ==== En cas de soucis ==== | ==== En cas de soucis ==== | ||
| Ligne 171: | Ligne 187: | ||
| Sinon quoi, la partition sera bien décryptée au démarrage, mais absolument pas montée dans **/**, ce qui ne permettra bien évidement pas le démarrage! | Sinon quoi, la partition sera bien décryptée au démarrage, mais absolument pas montée dans **/**, ce qui ne permettra bien évidement pas le démarrage! | ||
| - | Logiquement, vous n'avez pas à y toucher à n'importe quel moment du tutoriel. Seul le "none" et la partie "luks" sont à modifier dans l'étape 4!</note> | + | Logiquement, vous n'avez pas à y toucher à n'importe quel moment du tutoriel. Seul le "none" et la partie "luks" sont à modifier dans l'étape 4!</note> |
| * Enregistrez et réactualisez la configuration: | * Enregistrez et réactualisez la configuration: | ||
| Ligne 278: | Ligne 294: | ||
| Si pas de clé, le mot de passe sera demandé comme un déverrouillage normal. | Si pas de clé, le mot de passe sera demandé comme un déverrouillage normal. | ||
| - | ==== Utiliser une clé de décryptage ==== | ||
| - | Si vous souhaitez verrouiller/déverrouiller avec la même clé (le même fichier .authkey) que lors du déchiffrement de votre partition cryptée, c'est possible. | ||
| - | Pour cela, copiez le fichier **.authkey** à la racine de votre home! | ||
| - | |||
| - | Identifiez le label de la partition de votre clé: | ||
| - | <code>sudo blkid</code> | ||
| - | Vous obtiendrez une liste des périphériques branchés. | ||
| - | Identifiez votre partition, et le label. Si elle ne possède pas de label, notez l'UUID. | ||
| - | <code># La première ligne est un exemple de partition avec label, la deuxième sans label: | ||
| - | /dev/sdb1: LABEL="PNY" UUID="820E-970B" TYPE="vfat" | ||
| - | /dev/sdb1: UUID="820E-970B" TYPE="vfat"</code> | ||
| - | Ici le label est **PNY**, si le label n'etait pas indiqué, il aurait fallu relever **820E-970B**: | ||
| - | |||
| - | [[:tutoriel:comment_modifier_un_fichier|Éditez le fichier]] .autoLock | ||
| - | <code>gedit ~/.autoLock</code> | ||
| - | Et remplacez la ligne contenant votre ID: | ||
| - | <code>id="ID 114b:085b PNY"</code> | ||
| - | Par cette ligne: | ||
| - | <code>LABEL="PNY"</code> | ||
| - | Bien entendu, remplacez **PNY** par votre LABEL (ou votre UUID si label inexistant), n'oubliez pas les guillemets. | ||
| - | |||
| - | Trouvez la ligne | ||
| - | <code>if [ -z "`lsusb | grep "$id"`" ]</code> | ||
| - | Et remplacez-la par: | ||
| - | <code>if !(diff ~/.authkey /media/$(whoami)/$LABEL/.authkey);</code> | ||
| - | |||
| - | Le système va maintenant chercher dans la partition indiquée (qui est automatiquement montée dans le repertoire /media/votrenomdutilisateur/LABELouUUID/) le fichier .authkey, et le comparer avec celui présent sur la clé! | ||
| - | |||
| - | |||
| - | Vous pouvez maintenant redémarrer! | ||
| ==== En cas de soucis ==== | ==== En cas de soucis ==== | ||
| Si problème il y a, loguez vous en console tty1 (ctrl + alt + 1), et déplacez le fichier exécutable: | Si problème il y a, loguez vous en console tty1 (ctrl + alt + 1), et déplacez le fichier exécutable: | ||
| Ligne 314: | Ligne 300: | ||
| Puis redémarrez! N'oubliez pas de supprimer la tâche de cron tab si vous ne souhaitez plus cette fonctionnalité! | Puis redémarrez! N'oubliez pas de supprimer la tâche de cron tab si vous ne souhaitez plus cette fonctionnalité! | ||
| <code>crontab -u votrenomdutilisateur -e</code> | <code>crontab -u votrenomdutilisateur -e</code> | ||
| - | ====== Sources & Contributeurs ====== | + | |
| + | ===== Sources & Contributeurs ===== | ||
| [[http://web.archive.org/web/20100110234521/http://petaramesh.org/post/2007/11/29/Une-cle-de-contact-pour-votre-portable-chiffre]] | [[http://web.archive.org/web/20100110234521/http://petaramesh.org/post/2007/11/29/Une-cle-de-contact-pour-votre-portable-chiffre]] | ||