Full Circle Magazine FR

Outils pour utilisateurs

Outils du site

Piste : mon_opinion micro-ci_micro-la mon_opinion q._et_r q._et_r monopinion micro-ci_micro-la mots_de_passe_multiples mon_opinion mon_bureau
issue67:tutoriel_-_ordinateur_anti-vol

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
issue67:tutoriel_-_ordinateur_anti-vol [2013/02/05 10:41] auntieeissue67:tutoriel_-_ordinateur_anti-vol [2013/02/08 13:52] (Version actuelle) – [Partie 1] auntiee
Ligne 118: Ligne 118:
 « Imaginez un ordinateur qui a la taille d'un grain de sable qui peut tester les clés de certaines données chiffrées. Imaginez aussi qu'il puisse tester une clé dans la quantité de temps qu'il faut à la lumière pour le traverser. Ensuite, envisagez une grappe de ces ordinateurs, tellement grande que si vous en recouvriez la terre, ils recouvriraient la planète entière sur une hauteur de 1 mètre. La grappe d'ordinateurs craquerait une clé de 128 bits en moyenne en 1 000 ans. » « Imaginez un ordinateur qui a la taille d'un grain de sable qui peut tester les clés de certaines données chiffrées. Imaginez aussi qu'il puisse tester une clé dans la quantité de temps qu'il faut à la lumière pour le traverser. Ensuite, envisagez une grappe de ces ordinateurs, tellement grande que si vous en recouvriez la terre, ils recouvriraient la planète entière sur une hauteur de 1 mètre. La grappe d'ordinateurs craquerait une clé de 128 bits en moyenne en 1 000 ans. »
  
-Même si vous ne croyez pas que la NSA a une autre planète consacrée au craquage des clés, vous voudrez peut-être utiliser une clé plus longue. Si une faiblesse dans le module de cryptage que vous avez choisi est trouvée, elle pourrait réduire la partie de la clé qui doit être testé et vous auriez alors une clé en réalité plus courte. Utiliser une clé de 256 bits vous permettra de garder vos données sécurisées beaucoup plus longtemps si cela devait arriver.+Même si vous ne croyez pas que la NSA a une autre planète consacrée au craquage des clés, vous voudrez peut-être utiliser une clé plus longue. Si une faiblesse dans le module de cryptage que vous avez choisi est trouvée, elle pourrait réduire la partie de la clé qui doit être testée et vous auriez alors une clé en réalité plus courte. Utiliser une clé de 256 bits vous permettra de garder vos données sécurisées beaucoup plus longtemps si cela devait arriver.
  
 ** **
Ligne 813: Ligne 813:
  
 ===== Traduction ===== ===== Traduction =====
-Créer une clé de démarrage à partir d'un système qui fonctionne. 
  
-Si vous avez un système en cours d'exécution, il est facile de recréer une clé USB avec la procédure suivante :+Créer une clé de démarrage à partir d'un système en fonctionnement.
  
 +Si vous avez un système en cours d'exécution, il est facile de recréer une clé USB comme suit :
  
 Montez la nouvelle clé dans /media/usb. Montez la nouvelle clé dans /media/usb.
-Remarque : La clé doit être préparée avec gparted comme décrit ci-dessus et avoir la partition formatée en ext2. +Remarque : La clé doit être préparée avec gparted comme décrit ci-dessus et la partition doit être formatée en ext2.
  
 mount /dev/sdc2 /media/usb mount /dev/sdc2 /media/usb
- 
  
 Copiez le contenu de la clé originale vers la nouvelle clé de démarrage : Copiez le contenu de la clé originale vers la nouvelle clé de démarrage :
- 
  
 cp -a /boot/*/media/usb cp -a /boot/*/media/usb
Ligne 832: Ligne 829:
  
 Étiquetez la nouvelle clé pour qu'elle soit amorçable : Étiquetez la nouvelle clé pour qu'elle soit amorçable :
- 
  
 e2label /dev/sdc2 BOOT e2label /dev/sdc2 BOOT
Ligne 844: Ligne 840:
  
 Remarque : Chaque fois que le noyau sera mis à jour, la deuxième clé devra également être mise à jour en utilisant cette procédure. Remarque : Chaque fois que le noyau sera mis à jour, la deuxième clé devra également être mise à jour en utilisant cette procédure.
- 
  
 Sauvegardez la clé de démarrage et stockez-la dans un endroit sûr. Sauvegardez la clé de démarrage et stockez-la dans un endroit sûr.
- 
  
 La clé USB que vous venez de créer est maintenant le seul moyen que vous avez pour démarrer votre ordinateur. Il est obligatoire de l'avoir sauvegardée et d'être en mesure de la recréer. La clé USB que vous venez de créer est maintenant le seul moyen que vous avez pour démarrer votre ordinateur. Il est obligatoire de l'avoir sauvegardée et d'être en mesure de la recréer.
- 
  
 Nettoyez l'espace inutilisé de la partition /boot : Nettoyez l'espace inutilisé de la partition /boot :
  
- +dd if=/dev/zero  
-dd if=/dev/zero of =/boot/todelete +of =/boot/todelete 
  
 rm /boot/todelete rm /boot/todelete
Ligne 862: Ligne 854:
  
 Démontez la partition /boot : Démontez la partition /boot :
- 
  
 umount /dev/sdb2 umount /dev/sdb2
Ligne 868: Ligne 859:
  
 Sauvegardez le MBR de la clé USB : Sauvegardez le MBR de la clé USB :
- 
  
 dd if=/dev/sdb of=startup.mbr bs=512 count=1 dd if=/dev/sdb of=startup.mbr bs=512 count=1
Ligne 875: Ligne 865:
 Sauvegardez la partition de démarrage : Sauvegardez la partition de démarrage :
  
- +dd if=/dev/sdb2  
-dd if=/dev/sdb2 of=startup.sdb2+of=startup.sdb2
  
  
 Compressez la sauvegarde : Compressez la sauvegarde :
- 
  
 tar cvjf startup.bkp.tar.bz2 startup.mbr startup.sdb2 tar cvjf startup.bkp.tar.bz2 startup.mbr startup.sdb2
Ligne 888: Ligne 877:
  
  
-Avertissement : Cela pour effectuer une mise à jour de l'image de la clé de démarrage après chaque mise à jour du noyau.+Avertissement : Faites cela pour effectuer une mise à jour de l'image de la clé de démarrage après chaque mise à jour du noyau.
  
  
Ligne 906: Ligne 895:
  
  
-dd if=startup.sdb2 of=/dev/sdc2+dd if=startup.sdb2  
 +of=/dev/sdc2
  
  
Ligne 926: Ligne 916:
 Stocker les données dans un emplacement distant pour assurer leur disponibilité. Stocker les données dans un emplacement distant pour assurer leur disponibilité.
  
 +Notre objectif est de stocker les données dans un endroit qui assurera leur disponibilité même si le matériel est défectueux. La solution la plus simple est d'utiliser les services dans le nuage fournis par l'une des sociétés suivantes :
  
-Notre objectif est de stocker les données dans un endroit qui assurera leur disponibilité même si le matériel est défectueux. La solution la plus simple est d'utiliser les services de nuages fournis par l'une des sociétés suivantes : +Services de stockage en ligne :
- +
- +
-Services de stockages en ligne : +
  
 5 Go jusqu'à 20 Go gratuits - https://one.ubuntu.com/ 5 Go jusqu'à 20 Go gratuits - https://one.ubuntu.com/
Ligne 968: Ligne 955:
  
  
-Cette solution n'est pas destinée à remplacer des solutions de sauvegarde/restauration réelles mais offre l'avantage de ne pas être chère et facile à mettre en place. +Cette solution n'est pas destinée à remplacer des solutions de sauvegarde/restauration réelles mais offre l'avantage d'être peu chère et facile à mettre en place.
  
 Assurer la confidentialité des données stockées dans le nuage. Assurer la confidentialité des données stockées dans le nuage.
  
- +Le nuage est une zone de stockage privée fournie par une société externe. Cette description peut ne pas sembler correctecar c'est un mélange de privé et d'externe. Donc, si l'on considère que cette zone externe n'est pas un endroit totalement privé, nous devrons ajouter une autre couche de cryptage pour sécuriser nos données dans le nuage. Pour cela, nous allons utiliser encfs et nous allons configurer pam pour déverrouiller automatiquement le répertoire pendant le processus de connexion.
-Le nuage est une zone de stockage privée fournie par une société externe. Cette description peut ne pas sembler correcte car c'est un mélange de privé et d'externe. Donc, si l'on considère que cette zone externe n'est pas un endroit totalement privé, nous devrons ajouter une autre couche de cryptage pour sécuriser nos données dans le nuage. Pour cela, nous allons utiliser encfs et nous allons configurer pam pour déverrouiller automatiquement le répertoire pendant le processus de connexion. +
  
 Installez encfs et fuse-utils à l'aide des commandes suivantes en tant que root : Installez encfs et fuse-utils à l'aide des commandes suivantes en tant que root :
- 
  
 apt-get install encfs fuse-utils apt-get install encfs fuse-utils
Ligne 995: Ligne 978:
  
 Exécutez les commandes suivantes en tant qu'utilisateur standard : Exécutez les commandes suivantes en tant qu'utilisateur standard :
- 
  
 sudo apt-get install libpam-mount libpam-encfs sudo apt-get install libpam-mount libpam-encfs
- 
  
 LC_ALL=C encfs /home/$USER/Ubuntu\ One/.encrypted /home/$USER/encrypted/ LC_ALL=C encfs /home/$USER/Ubuntu\ One/.encrypted /home/$USER/encrypted/
  
- +Laissez encfs créer les répertoires. Sélectionnez le mode paranoïa pré-configuré (p) ou appuyez simplement sur Entrée pour avoir une protection normale.
-Laissez encfs créer les répertoires. Sélectionnez le mode paranoïa pré-configuré (p)ou appuyez simplement sur Entrée pour avoir une protection normale. +
  
 Entrez le mot de passe deux fois (il devrait être le même que pour le compte si vous souhaitez utiliser pam_mount). Entrez le mot de passe deux fois (il devrait être le même que pour le compte si vous souhaitez utiliser pam_mount).
Ligne 1012: Ligne 991:
  
  
-Modifiez le fichier/etc/security/pam_mount.conf.xml cherchez la ligne <!-- Volume définitions -->. Ajoutez les lignes suivantes juste après en remplaçant « user » par votre nom d'utilisateur +Modifiez le fichier/etc/security/pam_mount.conf.xml cherchez la ligne <!-- Volume définitions -->. Ajoutez les lignes suivantes juste aprèsen remplaçant « user » par votre nom d'utilisateur
  
 <volume user="«user»" fstype="fuse" path="encfs#/home/«user»/Ubuntu One/.encrypted" mountpoint="/home/«user»/encrypted" /> <volume user="«user»" fstype="fuse" path="encfs#/home/«user»/Ubuntu One/.encrypted" mountpoint="/home/«user»/encrypted" />
Ligne 1020: Ligne 998:
 Gestion des phrases de passe Gestion des phrases de passe
  
- +Le système de chiffrement LUKS peut gérer jusqu'à huit phrases de passe (dans cet article, nous en avons déjà utilisé deux). Vous pouvez ajouter un mot de passe avec la commande suivante :
-Le système de chiffrement LUKS peut gérer jusqu'à huit phrases de passe (dans cet article, nous en avons déjà utilisé deux). Ajouter un mot de passe peut être réalisé avec la commande suivante :+
  
  
Ligne 1028: Ligne 1005:
  
 Pour supprimer une phrase de passe : Pour supprimer une phrase de passe :
- 
  
 cryptsetup luksKillSlot /dev/sda5 <le numéro d'emplacement à supprimer> cryptsetup luksKillSlot /dev/sda5 <le numéro d'emplacement à supprimer>
Ligne 1040: Ligne 1016:
  
  
-Ajouter des OS « live » dans la clé USB +Ajouter des OS « live » sur la clé USB 
  
 Dans la section suivante, nous supposons que la partition FAT32 de la clé de démarrage est montée dans /media/usb. Si ce n'est pas encore le cas, exécutez la commande suivante pour le faire : Dans la section suivante, nous supposons que la partition FAT32 de la clé de démarrage est montée dans /media/usb. Si ce n'est pas encore le cas, exécutez la commande suivante pour le faire :
- 
  
 mkdir /media/usb mkdir /media/usb
- 
  
 mount /dev/sdb1 /media/usb mount /dev/sdb1 /media/usb
Ligne 1053: Ligne 1026:
  
 Ajouter Ubuntu pour ordinateur de bureau sur la clé USB. Créez le répertoire /media/usb/iso : Ajouter Ubuntu pour ordinateur de bureau sur la clé USB. Créez le répertoire /media/usb/iso :
- 
  
 mkdir /media/usb/iso mkdir /media/usb/iso
Ligne 1065: Ligne 1037:
  
 Mettez à jour grub avec la commande suivante : Mettez à jour grub avec la commande suivante :
- 
  
 update-grub update-grub
- 
  
 Ajoutez Ubuntu Alternate CD sur la clé USB. Télécharger Ubuntu et copiez-le dans /media/usb/iso. Créez le fichier /etc/grub.d/43_custom avec le contenu ci-dessous : Ajoutez Ubuntu Alternate CD sur la clé USB. Télécharger Ubuntu et copiez-le dans /media/usb/iso. Créez le fichier /etc/grub.d/43_custom avec le contenu ci-dessous :
Ligne 1074: Ligne 1044:
  
 Mettez à jour grub avec la commande suivante : Mettez à jour grub avec la commande suivante :
- 
  
 update-grub update-grub
- 
  
 Ajoutez System Rescue CD sur la clé USB. Téléchargez-le et copiez-le dans/media/usb/iso. Créez le fichier/etc/grub.d/44_custom avec le contenu affiché en haut à droite. Ajoutez System Rescue CD sur la clé USB. Téléchargez-le et copiez-le dans/media/usb/iso. Créez le fichier/etc/grub.d/44_custom avec le contenu affiché en haut à droite.
Ligne 1083: Ligne 1051:
  
 Mettez à jour grub avec la commande suivante : Mettez à jour grub avec la commande suivante :
- 
  
 update-grub update-grub
Ligne 1092: Ligne 1059:
  
 Vous utilisez Linux, c'est une bonne première étape pour la sécurité en ligne. Si vous avez l'intention d'utiliser votre ordinateur directement connecté à Internet, vous devriez au moins démarrer le pare-feu en exécutant la commande suivante : Vous utilisez Linux, c'est une bonne première étape pour la sécurité en ligne. Si vous avez l'intention d'utiliser votre ordinateur directement connecté à Internet, vous devriez au moins démarrer le pare-feu en exécutant la commande suivante :
- 
  
 ufw enable ufw enable
Ligne 1100: Ligne 1066:
  
  
-Attention : Dans cette section, il est proposé de modifier le processus d'authentification. Une erreur pourrait bloquer l'authentification de votre ordinateur. Si vous le faites, démarrez votre ordinateur en mode sans échec et supprimez la modification que vous avez faite précédemment. Soyez conscient que la possibilité de supprimer la clé est uniquement disponible dans l'interface graphique. Nous considérons que si vous lancez une console, vous pouvez aussi monter la partition /boot manuellement+**Attention** : Dans cette section, le processus d'authentification sera modifié. Une erreur pourrait bloquer l'authentification de votre ordinateur. Si vous en faites une, démarrez votre ordinateur en mode sans échec et supprimez la modification que vous avez faite précédemment. Soyez conscient que la possibilité de supprimer la clé est uniquement disponible dans l'interface graphique. Nous considérons que si vous lancez une console, vous pouvez aussi monter la partition /boot manuellement.
- +
- +
-Pour ne pas compromettre la sécurité de votre PC, vous devez avoir la clé USB avec vous tout le temps, même si le PC est toujours en fonctionnement et verrouillé.+
  
 +Pour ne pas compromettre la sécurité de votre PC, la clé USB doit toujours être dans votre possession, même si le PC est toujours en fonctionnement et verrouillé.
  
 Pour faciliter ce processus, nous allons configurer l'ordinateur pour monter et démonter automatiquement la clé à différentes occasions : Pour faciliter ce processus, nous allons configurer l'ordinateur pour monter et démonter automatiquement la clé à différentes occasions :
- 
  
 Démonter la clé :  Démonter la clé : 
Ligne 1113: Ligne 1076:
 • Lorsque l'ordinateur est verrouillé, pour vous permettre de débrancher la clé lorsque vous avez besoin de quitter votre PC.  • Lorsque l'ordinateur est verrouillé, pour vous permettre de débrancher la clé lorsque vous avez besoin de quitter votre PC. 
 • Lorsque vous fermez votre session. • Lorsque vous fermez votre session.
- 
  
 Monter la clé USB :  Monter la clé USB : 
 • Lorsque vous ouvrez une session.  • Lorsque vous ouvrez une session. 
 • Lorsque la session est déverrouillée. • Lorsque la session est déverrouillée.
 +
 +
 Démonter la clé après le démarrage. Démonter la clé après le démarrage.
- 
  
 Ajoutez la ligne suivante comme première ligne active du fichier /etc/rc.local : Ajoutez la ligne suivante comme première ligne active du fichier /etc/rc.local :
- 
  
 umount /boot umount /boot
- 
  
 Cela démontera la clé USB après le démarrage. Cela démontera la clé USB après le démarrage.
Ligne 1402: Ligne 1363:
  
  
-Maintenant, nous avons besoin d'autoriser un utilisateur standard à monter et démonter la partition /boot qui est la clé de démarrage. Pour ce faire, il est nécessaire de mettre à jour la description de /boot dans le fichier /etc/fstab et d'ajouter l'option « utilisateurs ». Après modification, la ligne devrait ressembler à ceci :+Il faut maintenant autoriser un utilisateur standard à monter et démonter la partition /boot qui est la clé de démarrage. Pour ce faire, il est nécessaire de mettre à jour la description de /boot dans le fichier /etc/fstab et d'ajouter l'option « utilisateurs ». Après modification, la ligne devrait ressembler à ceci :
  
 LABEL=BOOT /boot ext2 noatime,users 0 2 LABEL=BOOT /boot ext2 noatime,users 0 2
Ligne 1414: Ligne 1375:
 /usr/share/libpam-script/pam_script_ses_open est exécuté lorsque la session est ouverte et montera la partition /boot. Créez ce script avec le contenu suivant : /usr/share/libpam-script/pam_script_ses_open est exécuté lorsque la session est ouverte et montera la partition /boot. Créez ce script avec le contenu suivant :
  
-#!/bin/bash if "$PAM_USER" = "lightdm"; then+#!/bin/bash 
 +if [[ "$PAM_USER" = "lightdm" ]] || ( mount | grep /boot > /dev/null 2>&1 ); then 
 +    exit 0 
 +fi 
 +if ( mount /boot > /dev/null 2>&1 ); then 
 +    /usr/bin/aplay /usr/share/sounds/purple/receive.wav > /dev/null 2>&
 +fi 
 +exit 0
  
-  exit 0 
-fi device=$(mount | grep /boot | cut -c -8) if ( umount /boot > /dev/null 2>&1 ); then 
- 
-umount $device* > /dev/null 2>&1 
-/usr/bin/aplay /usr/share/sounds/purple/send.wav > /dev/null 2>&1 
-fi exit 0 
  
 Ce script démonte la partition /boot et toutes les partitions de la clé USB, puis joue un son qui vous permet de savoir que vous pouvez retirer la clé USB en toute sécurité. Ce script démonte la partition /boot et toutes les partitions de la clé USB, puis joue un son qui vous permet de savoir que vous pouvez retirer la clé USB en toute sécurité.
Ligne 1427: Ligne 1389:
 Modifiez les permissions pour le rendre exécutable : Modifiez les permissions pour le rendre exécutable :
  
-chmod 755 /usr/share/libpam-script/pam_script_ses_close+chmod 755 /usr/share/libpam-script/pam_script_ses_open
  
-Nous devons maintenant ajouter pam_script à la gestion de session. Modifiez le fichier /etc/pam.d/lightdm et ajoutez la ligne ci-dessous pam_script juste après la ligne @include common-account : +/usr/share/libpam-script/pam_script_ses_close est exécutée lorsque la session est fermée et la partition /boot démontée. Créez ce script avec le contenu suivant :
-@include common-account+
  
 +#!/bin/bash
 +if [[ "$PAM_USER" = "lightdm" ]]; then
 +    exit 0
 +fi
 +device=$(mount | grep /boot | cut -c -8)
 +if ( umount /boot > /dev/null 2>&1 ); then
 +  umount $device* > /dev/null 2>&1
 +  /usr/bin/aplay /usr/share/sounds/purple/send.wav > /dev/null 2>&1
 +fi
 +exit 0
 +
 +Nous devons maintenant ajouter pam_script à la gestion de session. Modifiez le fichier /etc/pam.d/lightdm et ajoutez la ligne pam_script (ci-dessous) juste après la ligne @include common-account :
 +@include common-account
 session optional pam_script.so session optional pam_script.so
  
Ligne 1452: Ligne 1426:
 chmod 755 /usr/local/bin/startup_key_manager.sh chmod 755 /usr/local/bin/startup_key_manager.sh
  
-Ce script permet de surveiller et de gérer l'écran de la partition /boot de la clé en conséquence.+Ce script permet de surveiller l'écran et de gérer la partition /boot de la clé en conséquence.
  
 Ce script doit être ajouté pour démarrer automatiquement lorsque la session est ouverte. En tant qu'utilisateur normal, créez le script ~/.config/autostart/startupKeyManager.desktop avec le contenu suivant : Ce script doit être ajouté pour démarrer automatiquement lorsque la session est ouverte. En tant qu'utilisateur normal, créez le script ~/.config/autostart/startupKeyManager.desktop avec le contenu suivant :
  
-[Desktop Entry] Encoding=UTF-8 Version=0.9.4 Type=Application Name=startupKeyManager Comment=startup key manager Exec=/usr/local/bin/startup_key_manager.sh StartupNotify=false Terminal=false Hidden=false+[Desktop Entry]  
 +Encoding=UTF-8  
 +Version=0.9.4  
 +Type=Application  
 +Name=startupKeyManager  
 +Comment=startup key manager  
 +Exec=/usr/local/bin/startup_key_manager.sh  
 +StartupNotify=false  
 +Terminal=false  
 +Hidden=false
  
 Le script sera activé lorsque vous démarrerez une autre session. Le script sera activé lorsque vous démarrerez une autre session.
  
-Attention : Lorsque vous mettez à jour le noyau, assurez-vous que la session reste ouverte et que le serveur de l'écran reste désactivé pendant la mise à niveau.+**Avertissement** : Lorsque vous mettez à jour le noyau, assurez-vous que la session reste ouverte et que le serveur de l'écran reste désactivé pendant la mise à niveau.
  
 Authentification à deux facteurs Authentification à deux facteurs
  
-Attention : Dans cette section, il est proposé de modifier le processus d'authentification pour le mode graphique ainsi que la connexion de la console. Une erreur pourrait bloquer l'authentification de votre ordinateur. Si vous le faites, démarrez votre ordinateur en mode sans échec et supprimez la modification que vous avez déjà faite.+**Avertissement** : Dans cette section, il est proposé de modifier le processus d'authentification pour le mode graphique ainsi que la connexion de la console. Une erreur pourrait bloquer l'authentification de votre ordinateur. Si vous en faites une, démarrez votre ordinateur en mode sans échec et supprimez la modification que vous avez faite.
  
-Nous avons maintenant un système qui est sécurisé et facile à utiliser, mais nous pouvons améliorer la sécurité un peu en ajoutant une authentification à deux facteurs, nécessitant la clé USB à brancher et le mot de passe corrects avant d'ouvrir la session. Avec cette authentification à deux facteurs, vous serez sûr que, dans le cas où quelqu'un connaît votre mot de passe, il ne sera pas en mesure de débloquer votre session lorsque vous êtes au coin café avec la clé USB dans votre poche.+Nous avons maintenant un système qui est sécurisé et facile à utiliser, mais nous pouvons améliorer la sécurité un peu en ajoutant une authentification à deux facteurs, nécessitant que la clé USB soit branchée et le mot de passe correct avant l'ouverture de la session. Avec cette authentification à deux facteurs, vous serez sûr que, dans le cas où quelqu'un connaît votre mot de passe, il ne sera pas en mesure de débloquer votre session lorsque vous êtes au coin café avec la clé USB dans votre poche.
  
 Pour activer l'authentification à deux facteurs, nous allons utiliser le module pam déjà installé : pam-script. Pour activer l'authentification à deux facteurs, nous allons utiliser le module pam déjà installé : pam-script.
  
-La logique serait d'utiliser pam_usb, mais cette approche n'est pas pratiqueElle nécessite une action sur chaque clé USB que vous avez et rend la clé de réplication plus complexe. Donc, nous allons authentifier la clé USB sur la base du présent dossier de clés en utilisant pam_script.+La logique serait d'utiliser pam_usb, mais cette approche n'est pas pratiqueElle nécessite une action sur chaque clé USB que vous avez et rend la réplication de la clé plus complexe. Nous allons donc authentifier la clé USB sur la base du fichier de clé qu'il contient en utilisant pam_script.
  
-Créez le script /usr/share/libpam-script/pam_script_ses_auth dédiés pour authentifier la clé USB avec le contenu suivant : +Créez le script /usr/share/libpam-script/pam_script_ses_auth pour authentifier la clé USB avec le contenu suivant :
- +
-#!/bin/bash mount /boot result=1; if ( sha1sum -c –status /usr/share/libpam-script/keycheck ); then+
  
 +#!/bin/bash 
 +mount /boot 
 +result=1; if ( sha1sum -c –status /usr/share/libpam-script/keycheck ); then
   result=0   result=0
-fi unmount /boot exit $result+fi  
 +unmount /boot  
 +exit $result
  
 Rendez-le exécutable : Rendez-le exécutable :
Ligne 1483: Ligne 1469:
 chmod 755 /usr/share/libpam-script/pam_script_auth chmod 755 /usr/share/libpam-script/pam_script_auth
  
-Le SHA-1 est utilisé pour valider la clé et le fichier keycheck est créé avec les commandes suivantes :+Le sha1sum est utilisé pour valider la clé et le fichier keycheck est créé avec les commandes suivantes :
  
 sha1sum /boot/keyfile > /usr/share/libpam-script/keycheck sha1sum /boot/keyfile > /usr/share/libpam-script/keycheck
Ligne 1491: Ligne 1477:
 Nous devons maintenant ajouter pam_script dans le processus d'authentification du système juste après l'authentification par mot de passe. Modifiez le fichier /etc/pam.d/common-auth et ajoutez pam_script juste après pam_deny comme suit : Nous devons maintenant ajouter pam_script dans le processus d'authentification du système juste après l'authentification par mot de passe. Modifiez le fichier /etc/pam.d/common-auth et ajoutez pam_script juste après pam_deny comme suit :
  
-auth requisite pam_deny.so +auth  requisite  
- +pam_deny.so 
-auth required pam_script.so+    
 +auth  required 
 +pam_script.so
  
 Dépannage Dépannage
  
-Dans certaines circonstances, il peut être nécessaire d'accéder aux données de la partition chiffrée sans avoir à redémarrer l'ordinateur. Voici quelques méthodes pour le faire.+Dans certaines circonstances, il peut être nécessaire d'accéder aux données de la partition chiffrée sans avoir à démarrer l'ordinateur. Voici quelques méthodes pour le faire.
  
 Démarrer en mode sans échec Démarrer en mode sans échec
  
-Démarrez à partir de la clé USB et sélectionnez le mode sans échec. Sélectionnez la racine, lancez sous root à l'invite du shell. Monter / avec un accès en écriture/lecture et monter /boot en utilisant les commandes suivantes :+Démarrez à partir de la clé USB et sélectionnez le mode sans échec. Sélectionnez root et l'invite de commande s'affichera. Monter / avec un accès en écriture/lecture et monter /boot en utilisant les commandes suivantes :
  
 mount -oremount,rw / mount -oremount,rw /
Ligne 1507: Ligne 1495:
 mount /dev/sdb2 /boot mount /dev/sdb2 /boot
  
-Remarque : Lorsque vous utilisez votre clé de démarrage pour démarrer votre PC, vous êtes identifié comme le propriétaire de la machine si vous avez utilisé un fichier de clévous allez bénéficier d'un accès root sans mot de passe. Sans la clé, un tel démarrage est impossible et vous devrez suivre les instructions de la section suivante pour accéder à vos données.+Remarque : Lorsque vous utilisez votre clé de démarrage pour démarrer votre PC, vous êtes identifié comme le propriétaire de la machine si vous avez utilisé un fichier de clé et vous allez bénéficier d'un accès root sans mot de passe. Sans la clé, un tel démarrage est impossible et vous devrez suivre les instructions de la section suivante pour accéder à vos données.
  
 Accès manuel à la partition Accès manuel à la partition
  
-Pour accéder à la partition chiffrée, démarrez sur un système d'exploitation en temps réel et suivez la procédure ci-dessous pour monter et démonter le disque.+Pour accéder à la partition chiffrée, démarrez sur un système d'exploitation en fonctionnement et suivez la procédure ci-dessous pour monter et démonter le disque.
  
 Monter une partition chiffrée Monter une partition chiffrée
Ligne 1529: Ligne 1517:
 mount / dev / volgroup / LV_slash / mnt / crypt mount / dev / volgroup / LV_slash / mnt / crypt
  
-partition unmount+Démonter la partition
  
-unmount / mnt / crypt+unmount /mnt/crypt
  
-vgchange-an+vgchange -an
  
 cryptsetup luksClose crypt cryptsetup luksClose crypt
Ligne 1539: Ligne 1527:
 Pour accéder à la partition cryptée à partir de (initramfs) : Pour accéder à la partition cryptée à partir de (initramfs) :
  
-Monter une partition chiffrée+Monter la partition chiffrée
  
 cryptsetup luksOpen/dev/sdb5 crypt cryptsetup luksOpen/dev/sdb5 crypt
Ligne 1545: Ligne 1533:
 mkdir/mnt/crypt mkdir/mnt/crypt
  
-mount/dev/volgroup/LV_slash/mnt/crypt+mount/dev/volgroup/LV_slash 
 +/mnt/crypt
  
-unmount partition +Démonter la partition 
  
 unmount /mnt/crypt unmount /mnt/crypt
Ligne 1553: Ligne 1542:
 cryptsetup luksClose crypt cryptsetup luksClose crypt
  
-Réinstaller le système sécurisé et conserver les données dans le répertoire+Réinstaller le système sécurisé et conserver les données dans le répertoire home
  
-En cas de problème majeur, vous pourriez avoir à réinstaller votre système à partir de zéro. Démarrez sur ​​Ubuntu Alternate Image :+En cas de problème majeur, vous pourriez avoir besoin de réinstaller votre système à partir de zéro. Démarrez sur ​​Ubuntu Alternate Image :
 • Entrez le nom de l'ordinateur.  • Entrez le nom de l'ordinateur. 
 • Entrez le nom complet de l'utilisateur principal.  • Entrez le nom complet de l'utilisateur principal. 
 • Entrez le nom d'utilisateur du compte.  • Entrez le nom d'utilisateur du compte. 
 • Choisissez un mot de passe et saisissez-le deux fois.  • Choisissez un mot de passe et saisissez-le deux fois. 
-• Ne pas choisir de crypter le répertoire personnel (Nous allons réutiliser les données chiffrées de la partition déjà existante dans le système).  +• Ne pas choisir de crypter le répertoire personnel (nous allons utiliser la partition chiffrée déjà existante).  
-• Réglage de l'horloge et du fuseau horaire.  +• Réglage du fuseau horaire.  
-• Partition du disque dur : Manuel.  +• Partitionnement du disque dur : Manuel.  
-• Sélectionnez : Configurer le volume chiffré existant+• Sélectionnez : Configurer le volume chiffré. 
-• Gardez la disposition actuelle des partitions et configurez les volumes chiffrés à : Oui.+• Gardez la disposition actuelle des partitions et configurez les volumes chiffrés : Oui.
 • Activez le volume chiffré existant.  • Activez le volume chiffré existant. 
-• Entrez le mot de passe.  +• Entrez la phrase de passe.  
-• Vous verrez les volumes LVM dans la description de partition du disque.  +• Vous verrez les volumes LVM dans la description du partionnement du disque.  
-• Définissez le point de montage comme décrit dans le chapitre précédent (formater la partition / et /boot, mais ne pas formater la partition /home). +• Définissez le point de montage comme décrit dans le chapitre précédent (formater les partitions / et /boot, mais ne pas formater la partition /home). 
 • Installez le système d'exploitation.  • Installez le système d'exploitation. 
 • Redémarrez. • Redémarrez.
  
-Après cette installation /boot et / ont été recréés à partir de zéro. Il est alors nécessaire de réappliquer la configuration décrite dans la section précédente. Si vous utilisez un fichier de clé pour déverrouiller la partition sécurisée, ce fichier doit être réinstallé dans la partition /boot de la sauvegarde que vous avez faite. Si vous avez enregistré précédemment les paquets installés dans un fichier Install-packages comme décrit dans la section Sécurité, il est possible de les réinstaller avec les commandes suivantes :+Après cette installation /boot et / ont été recréés à partir de zéro. Il est alors nécessaire de ré-appliquer la configuration décrite dans la section précédente. Si vous utilisez un fichier de clé pour déverrouiller la partition sécurisée, ce fichier doit être réinstallé dans la partition /boot à partir de la sauvegarde que vous avez faite. Si vous avez enregistré précédemment les paquets installés dans un fichier installed-packages comme décrit dans la section Sécurité, il est possible de les réinstaller avec les commandes suivantes :
  
 apt-get update apt-get update
Ligne 1581: Ligne 1570:
  
 apt-get -u dselect-upgrade apt-get -u dselect-upgrade
 +
  
 Pour aller plus loin et améliorer la sécurité et l'intégrité des données Pour aller plus loin et améliorer la sécurité et l'intégrité des données
  
-Des mesures supplémentaires pourraient améliorer la sécurité de votre ordinateur. Vous pouvez, par exemple, supprimer Windows. Dans ce cas, votre ordinateur ne démarre pas du tout sans la clé de démarrage et sera inutilisable et sans aucune preuve qu'il détient une partition chiffrée. Ensuite, vous pouvez ajouter un mot de passe BIOS pour éviter de démarrer à partir de l'USBet ajouter un mot de passe burg et grub pour éviter toute modification de commande de démarrage.+Des mesures supplémentaires pourraient améliorer la sécurité de votre ordinateur. Vous pouvez, par exemple, supprimer Windows. Dans ce cas, votre ordinateur ne démarrera pas du tout sans la clé de démarrage et sera inutilisable et la partition chiffrée n'apparaîtra même pas. Ensuite, vous pouvez ajouter un mot de passe BIOS pour éviter de démarrer à partir de l'USB et ajouter un mot de passe burg et grub pour éviter toute modification de commande de démarrage.
  
 Vous pouvez également utiliser TrueCrypt avec/sans volume intérieur pour sécuriser les données confidentielles. Vous pouvez également utiliser TrueCrypt avec/sans volume intérieur pour sécuriser les données confidentielles.
  
-Pour aller encore plus loin, vous pouvez appliquer la recommandation de la NSA : http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf references+Pour aller encore plus loin, vous pouvez appliquer la recommandation de la NSA : http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf  
 + 
 +Références
  
-Cet article a été rédigé à partir des informations trouvées sur Internet :+Cet article a été rédigé à partir d'informations trouvées sur Internet :
  
 https://help.ubuntu.com/community/EncryptedFilesystemHowto https://help.ubuntu.com/community/EncryptedFilesystemHowto
Ligne 1617: Ligne 1609:
  
 https://code.google.com/p/cryptsetup/ https://code.google.com/p/cryptsetup/
- 
- 
issue67/tutoriel_-_ordinateur_anti-vol.1360057272.txt.gz · Dernière modification : 2013/02/05 10:41 de auntiee