Différences

Ci-dessous, les différences entre deux révisions de la page.

--- issue67:tutoriel_-_ordinateur_anti-vol [2013/02/05 11:13] – [Traduction] auntiee
+++ issue67:tutoriel_-_ordinateur_anti-vol [2013/02/08 13:52] (Version actuelle) – [Partie 1] auntiee
@@ Ligne 118: / Ligne 118: @@
 « Imaginez un ordinateur qui a la taille d'un grain de sable qui peut tester les clés de certaines données chiffrées. Imaginez aussi qu'il puisse tester une clé dans la quantité de temps qu'il faut à la lumière pour le traverser. Ensuite, envisagez une grappe de ces ordinateurs, tellement grande que si vous en recouvriez la terre, ils recouvriraient la planète entière sur une hauteur de 1 mètre. La grappe d'ordinateurs craquerait une clé de 128 bits en moyenne en 1 000 ans. »
-Même si vous ne croyez pas que la NSA a une autre planète consacrée au craquage des clés, vous voudrez peut-être utiliser une clé plus longue. Si une faiblesse dans le module de cryptage que vous avez choisi est trouvée, elle pourrait réduire la partie de la clé qui doit être testé et vous auriez alors une clé en réalité plus courte. Utiliser une clé de 256 bits vous permettra de garder vos données sécurisées beaucoup plus longtemps si cela devait arriver.
+Même si vous ne croyez pas que la NSA a une autre planète consacrée au craquage des clés, vous voudrez peut-être utiliser une clé plus longue. Si une faiblesse dans le module de cryptage que vous avez choisi est trouvée, elle pourrait réduire la partie de la clé qui doit être testée et vous auriez alors une clé en réalité plus courte. Utiliser une clé de 256 bits vous permettra de garder vos données sécurisées beaucoup plus longtemps si cela devait arriver.
 **
@@ Ligne 1363: / Ligne 1363: @@
-Maintenant, nous avons besoin d'autoriser un utilisateur standard à monter et démonter la partition /boot qui est la clé de démarrage. Pour ce faire, il est nécessaire de mettre à jour la description de /boot dans le fichier /etc/fstab et d'ajouter l'option « utilisateurs ». Après modification, la ligne devrait ressembler à ceci :
+Il faut maintenant autoriser un utilisateur standard à monter et démonter la partition /boot qui est la clé de démarrage. Pour ce faire, il est nécessaire de mettre à jour la description de /boot dans le fichier /etc/fstab et d'ajouter l'option « utilisateurs ». Après modification, la ligne devrait ressembler à ceci :
 LABEL=BOOT /boot ext2	noatime,users 0 2
@@ Ligne 1375: / Ligne 1375: @@
 /usr/share/libpam-script/pam_script_ses_open est exécuté lorsque la session est ouverte et montera la partition /boot. Créez ce script avec le contenu suivant :
-#!/bin/bash if "$PAM_USER" = "lightdm"; then
+#!/bin/bash
+if [[ "$PAM_USER" = "lightdm" ]] || ( mount | grep /boot > /dev/null 2>&1 ); then
+    exit 0
+fi
+if ( mount /boot > /dev/null 2>&1 ); then
+    /usr/bin/aplay /usr/share/sounds/purple/receive.wav > /dev/null 2>&1
+fi
+exit 0
-  	exit 0
-fi device=$(mount | grep /boot | cut -c -8) if ( umount /boot > /dev/null 2>&1 ); then
-umount $device* > /dev/null 2>&1
-/usr/bin/aplay /usr/share/sounds/purple/send.wav > /dev/null 2>&1
-fi exit 0
 Ce script démonte la partition /boot et toutes les partitions de la clé USB, puis joue un son qui vous permet de savoir que vous pouvez retirer la clé USB en toute sécurité.
@@ Ligne 1388: / Ligne 1389: @@
 Modifiez les permissions pour le rendre exécutable :
-chmod 755 /usr/share/libpam-script/pam_script_ses_close
+chmod 755 /usr/share/libpam-script/pam_script_ses_open
-Nous devons maintenant ajouter pam_script à la gestion de session. Modifiez le fichier /etc/pam.d/lightdm et ajoutez la ligne ci-dessous pam_script juste après la ligne @include common-account :
+/usr/share/libpam-script/pam_script_ses_close est exécutée lorsque la session est fermée et la partition /boot démontée. Créez ce script avec le contenu suivant :
-@include common-account
+#!/bin/bash
+if [[ "$PAM_USER" = "lightdm" ]]; then
+    	exit 0
+fi
+device=$(mount | grep /boot | cut -c -8)
+if ( umount /boot > /dev/null 2>&1 ); then
+  umount $device* > /dev/null 2>&1
+  /usr/bin/aplay /usr/share/sounds/purple/send.wav > /dev/null 2>&1
+fi
+exit 0
+Nous devons maintenant ajouter pam_script à la gestion de session. Modifiez le fichier /etc/pam.d/lightdm et ajoutez la ligne pam_script (ci-dessous) juste après la ligne @include common-account :
+@include common-account
 session optional pam_script.so
@@ Ligne 1413: / Ligne 1426: @@
 chmod 755 /usr/local/bin/startup_key_manager.sh
-Ce script permet de surveiller et de gérer l'écran de la partition /boot de la clé en conséquence.
+Ce script permet de surveiller l'écran et de gérer la partition /boot de la clé en conséquence.
 Ce script doit être ajouté pour démarrer automatiquement lorsque la session est ouverte. En tant qu'utilisateur normal, créez le script ~/.config/autostart/startupKeyManager.desktop avec le contenu suivant :
-[Desktop Entry] Encoding=UTF-8 Version=0.9.4 Type=Application Name=startupKeyManager Comment=startup key manager Exec=/usr/local/bin/startup_key_manager.sh StartupNotify=false Terminal=false Hidden=false
+[Desktop Entry]
+Encoding=UTF-8
+Version=0.9.4
+Type=Application
+Name=startupKeyManager
+Comment=startup key manager
+Exec=/usr/local/bin/startup_key_manager.sh
+StartupNotify=false
+Terminal=false
+Hidden=false
 Le script sera activé lorsque vous démarrerez une autre session.
-Attention : Lorsque vous mettez à jour le noyau, assurez-vous que la session reste ouverte et que le serveur de l'écran reste désactivé pendant la mise à niveau.
+**Avertissement** : Lorsque vous mettez à jour le noyau, assurez-vous que la session reste ouverte et que le serveur de l'écran reste désactivé pendant la mise à niveau.
 Authentification à deux facteurs
-Attention : Dans cette section, il est proposé de modifier le processus d'authentification pour le mode graphique ainsi que la connexion de la console. Une erreur pourrait bloquer l'authentification de votre ordinateur. Si vous le faites, démarrez votre ordinateur en mode sans échec et supprimez la modification que vous avez déjà faite.
+**Avertissement** : Dans cette section, il est proposé de modifier le processus d'authentification pour le mode graphique ainsi que la connexion de la console. Une erreur pourrait bloquer l'authentification de votre ordinateur. Si vous en faites une, démarrez votre ordinateur en mode sans échec et supprimez la modification que vous avez faite.
-Nous avons maintenant un système qui est sécurisé et facile à utiliser, mais nous pouvons améliorer la sécurité un peu en ajoutant une authentification à deux facteurs, nécessitant la clé USB à brancher et le mot de passe corrects avant d'ouvrir la session. Avec cette authentification à deux facteurs, vous serez sûr que, dans le cas où quelqu'un connaît votre mot de passe, il ne sera pas en mesure de débloquer votre session lorsque vous êtes au coin café avec la clé USB dans votre poche.
+Nous avons maintenant un système qui est sécurisé et facile à utiliser, mais nous pouvons améliorer la sécurité un peu en ajoutant une authentification à deux facteurs, nécessitant que la clé USB soit branchée et le mot de passe correct avant l'ouverture de la session. Avec cette authentification à deux facteurs, vous serez sûr que, dans le cas où quelqu'un connaît votre mot de passe, il ne sera pas en mesure de débloquer votre session lorsque vous êtes au coin café avec la clé USB dans votre poche.
 Pour activer l'authentification à deux facteurs, nous allons utiliser le module pam déjà installé : pam-script.
-La logique serait d'utiliser pam_usb, mais cette approche n'est pas pratique: Elle nécessite une action sur chaque clé USB que vous avez et rend la clé de réplication plus complexe. Donc, nous allons authentifier la clé USB sur la base du présent dossier de clés en utilisant pam_script.
+La logique serait d'utiliser pam_usb, mais cette approche n'est pas pratique; Elle nécessite une action sur chaque clé USB que vous avez et rend la réplication de la clé plus complexe. Nous allons donc authentifier la clé USB sur la base du fichier de clé qu'il contient en utilisant pam_script.
-Créez le script /usr/share/libpam-script/pam_script_ses_auth dédiés pour authentifier la clé USB avec le contenu suivant :
+Créez le script /usr/share/libpam-script/pam_script_ses_auth pour authentifier la clé USB avec le contenu suivant :
-#!/bin/bash mount /boot result=1; if ( sha1sum -c –status /usr/share/libpam-script/keycheck ); then
+#!/bin/bash
+mount /boot
+result=1; if ( sha1sum -c –status /usr/share/libpam-script/keycheck ); then
   result=0
-fi unmount /boot exit $result
+fi
+unmount /boot
+exit $result
 Rendez-le exécutable :
@@ Ligne 1444: / Ligne 1469: @@
 chmod 755 /usr/share/libpam-script/pam_script_auth
-Le SHA-1 est utilisé pour valider la clé et le fichier keycheck est créé avec les commandes suivantes :
+Le sha1sum est utilisé pour valider la clé et le fichier keycheck est créé avec les commandes suivantes :
 sha1sum /boot/keyfile > /usr/share/libpam-script/keycheck
@@ Ligne 1452: / Ligne 1477: @@
 Nous devons maintenant ajouter pam_script dans le processus d'authentification du système juste après l'authentification par mot de passe. Modifiez le fichier /etc/pam.d/common-auth et ajoutez pam_script juste après pam_deny comme suit :
-auth requisite pam_deny.so
+auth  requisite
+pam_deny.so
-auth required pam_script.so
+auth  required
+pam_script.so
 Dépannage
-Dans certaines circonstances, il peut être nécessaire d'accéder aux données de la partition chiffrée sans avoir à redémarrer l'ordinateur. Voici quelques méthodes pour le faire.
+Dans certaines circonstances, il peut être nécessaire d'accéder aux données de la partition chiffrée sans avoir à démarrer l'ordinateur. Voici quelques méthodes pour le faire.
 Démarrer en mode sans échec
-Démarrez à partir de la clé USB et sélectionnez le mode sans échec. Sélectionnez la racine, lancez sous root à l'invite du shell. Monter / avec un accès en écriture/lecture et monter /boot en utilisant les commandes suivantes :
+Démarrez à partir de la clé USB et sélectionnez le mode sans échec. Sélectionnez root et l'invite de commande s'affichera. Monter / avec un accès en écriture/lecture et monter /boot en utilisant les commandes suivantes :
 mount -oremount,rw /
@@ Ligne 1468: / Ligne 1495: @@
 mount /dev/sdb2 /boot
-Remarque : Lorsque vous utilisez votre clé de démarrage pour démarrer votre PC, vous êtes identifié comme le propriétaire de la machine si vous avez utilisé un fichier de clé, vous allez bénéficier d'un accès root sans mot de passe. Sans la clé, un tel démarrage est impossible et vous devrez suivre les instructions de la section suivante pour accéder à vos données.
+Remarque : Lorsque vous utilisez votre clé de démarrage pour démarrer votre PC, vous êtes identifié comme le propriétaire de la machine si vous avez utilisé un fichier de clé et vous allez bénéficier d'un accès root sans mot de passe. Sans la clé, un tel démarrage est impossible et vous devrez suivre les instructions de la section suivante pour accéder à vos données.
 Accès manuel à la partition
-Pour accéder à la partition chiffrée, démarrez sur un système d'exploitation en temps réel et suivez la procédure ci-dessous pour monter et démonter le disque.
+Pour accéder à la partition chiffrée, démarrez sur un système d'exploitation en fonctionnement et suivez la procédure ci-dessous pour monter et démonter le disque.
 Monter une partition chiffrée
@@ Ligne 1490: / Ligne 1517: @@
 mount / dev / volgroup / LV_slash / mnt / crypt
-partition unmount
+Démonter la partition
-unmount / mnt / crypt
+unmount /mnt/crypt
-vgchange-an
+vgchange -an
 cryptsetup luksClose crypt
@@ Ligne 1500: / Ligne 1527: @@
 Pour accéder à la partition cryptée à partir de (initramfs) :
-Monter une partition chiffrée
+Monter la partition chiffrée
 cryptsetup luksOpen/dev/sdb5 crypt
@@ Ligne 1506: / Ligne 1533: @@
 mkdir/mnt/crypt
-mount/dev/volgroup/LV_slash/mnt/crypt
+mount/dev/volgroup/LV_slash
+/mnt/crypt
-unmount partition
+Démonter la partition
 unmount /mnt/crypt
@@ Ligne 1514: / Ligne 1542: @@
 cryptsetup luksClose crypt
-Réinstaller le système sécurisé et conserver les données dans le répertoire
+Réinstaller le système sécurisé et conserver les données dans le répertoire home
-En cas de problème majeur, vous pourriez avoir à réinstaller votre système à partir de zéro. Démarrez sur Ubuntu Alternate Image :
+En cas de problème majeur, vous pourriez avoir besoin de réinstaller votre système à partir de zéro. Démarrez sur Ubuntu Alternate Image :
 • Entrez le nom de l'ordinateur.
 • Entrez le nom complet de l'utilisateur principal.
 • Entrez le nom d'utilisateur du compte.
 • Choisissez un mot de passe et saisissez-le deux fois.
-• Ne pas choisir de crypter le répertoire personnel (Nous allons réutiliser les données chiffrées de la partition déjà existante dans le système).
+• Ne pas choisir de crypter le répertoire personnel (nous allons utiliser la partition chiffrée déjà existante).
-• Réglage de l'horloge et du fuseau horaire.
+• Réglage du fuseau horaire.
-• Partition du disque dur : Manuel.
+• Partitionnement du disque dur : Manuel.
-• Sélectionnez : Configurer le volume chiffré existant.
+• Sélectionnez : Configurer le volume chiffré.
-• Gardez la disposition actuelle des partitions et configurez les volumes chiffrés à : Oui.
+• Gardez la disposition actuelle des partitions et configurez les volumes chiffrés : Oui.
 • Activez le volume chiffré existant.
-• Entrez le mot de passe.
+• Entrez la phrase de passe.
-• Vous verrez les volumes LVM dans la description de partition du disque.
+• Vous verrez les volumes LVM dans la description du partionnement du disque.
-• Définissez le point de montage comme décrit dans le chapitre précédent (formater la partition / et /boot, mais ne pas formater la partition /home).
+• Définissez le point de montage comme décrit dans le chapitre précédent (formater les partitions / et /boot, mais ne pas formater la partition /home).
 • Installez le système d'exploitation.
 • Redémarrez.
-Après cette installation /boot et / ont été recréés à partir de zéro. Il est alors nécessaire de réappliquer la configuration décrite dans la section précédente. Si vous utilisez un fichier de clé pour déverrouiller la partition sécurisée, ce fichier doit être réinstallé dans la partition /boot de la sauvegarde que vous avez faite. Si vous avez enregistré précédemment les paquets installés dans un fichier Install-packages comme décrit dans la section Sécurité, il est possible de les réinstaller avec les commandes suivantes :
+Après cette installation /boot et / ont été recréés à partir de zéro. Il est alors nécessaire de ré-appliquer la configuration décrite dans la section précédente. Si vous utilisez un fichier de clé pour déverrouiller la partition sécurisée, ce fichier doit être réinstallé dans la partition /boot à partir de la sauvegarde que vous avez faite. Si vous avez enregistré précédemment les paquets installés dans un fichier installed-packages comme décrit dans la section Sécurité, il est possible de les réinstaller avec les commandes suivantes :
 apt-get update
@@ Ligne 1542: / Ligne 1570: @@
 apt-get -u dselect-upgrade
 Pour aller plus loin et améliorer la sécurité et l'intégrité des données
-Des mesures supplémentaires pourraient améliorer la sécurité de votre ordinateur. Vous pouvez, par exemple, supprimer Windows. Dans ce cas, votre ordinateur ne démarre pas du tout sans la clé de démarrage et sera inutilisable et sans aucune preuve qu'il détient une partition chiffrée. Ensuite, vous pouvez ajouter un mot de passe BIOS pour éviter de démarrer à partir de l'USB, et ajouter un mot de passe burg et grub pour éviter toute modification de commande de démarrage.
+Des mesures supplémentaires pourraient améliorer la sécurité de votre ordinateur. Vous pouvez, par exemple, supprimer Windows. Dans ce cas, votre ordinateur ne démarrera pas du tout sans la clé de démarrage et sera inutilisable et la partition chiffrée n'apparaîtra même pas. Ensuite, vous pouvez ajouter un mot de passe BIOS pour éviter de démarrer à partir de l'USB et ajouter un mot de passe burg et grub pour éviter toute modification de commande de démarrage.
 Vous pouvez également utiliser TrueCrypt avec/sans volume intérieur pour sécuriser les données confidentielles.
-Pour aller encore plus loin, vous pouvez appliquer la recommandation de la NSA : http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf references
+Pour aller encore plus loin, vous pouvez appliquer la recommandation de la NSA : http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
+Références
-Cet article a été rédigé à partir des informations trouvées sur Internet :
+Cet article a été rédigé à partir d'informations trouvées sur Internet :
 https://help.ubuntu.com/community/EncryptedFilesystemHowto
@@ Ligne 1578: / Ligne 1609: @@
 https://code.google.com/p/cryptsetup/