Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
tutoriel:securiser_ubuntu_avec_peripherique_externe [Le 11/05/2013, 19:20] – [Verrouiller / Déverrouiller l'écran avec une clé USB] 89.159.166.214 | tutoriel:securiser_ubuntu_avec_peripherique_externe [Le 31/01/2016, 11:07] (Version actuelle) – [Etape 4 : Paramétrer le système] opiwa | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{tag> sécurité tutoriel}} | ||
+ | ====== Gérer la sécurité d'une installation ubuntu avec une clé usb ====== | ||
+ | Ici nous verrons comment paramétrer le verrouillage/ | ||
+ | |||
+ | |||
+ | ===== Déchiffrer automatiquement une partition chiffrée au démarrage ===== | ||
+ | |||
+ | Si vous possédez une installation d' | ||
+ | |||
+ | Si cette dernière n'est pas branchée, le mot de passe vous sera demandé. | ||
+ | |||
+ | |||
+ | <note warning> | ||
+ | De plus, Il est conseillé d' | ||
+ | ==== Prérequis ==== | ||
+ | |||
+ | - Une partition de type LUKS avec ubuntu d' | ||
+ | - Une partition de boot séparée | ||
+ | - Une clé usb ou un support amovible (testé avec carte SD et clé usb) | ||
+ | |||
+ | Vous pouvez avoir une installation de windows à coté. Ceci ne posera pas de soucis. | ||
+ | |||
+ | |||
+ | ==== Etape 1 : Préparer la clé ==== | ||
+ | <note warning> | ||
+ | Sauvegardez toute données présente sur la clé que vous allez utiliser! | ||
+ | |||
+ | De plus, soyez attentifs aux commandes, et ne validez celles-ci que lorsque vous-vous êtes relu! | ||
+ | Un risque de perte de données existe si vous faites des erreurs de code! | ||
+ | </ | ||
+ | Créez une partition vierge de type ext4[3/2] d'au moins 1Mo sur le support. Utilisez **[[apt> | ||
+ | |||
+ | Vous pouvez aussi n' | ||
+ | < | ||
+ | Systèmes de fichiers testés: Ext4/3/2, Fat32, Ntfs | ||
+ | </ | ||
+ | <note important> | ||
+ | /dev/sdb1 représentera ici la partition de notre clé. | ||
+ | /dev/sda2 représentera ici la partition du disque crypté. | ||
+ | Vous pouvez identifier la votre dans gparted. Elle est situé en tout début de ligne à gauche de votre partition: | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Attention, /dev/sdb représente la clé en entier, n' | ||
+ | </ | ||
+ | |||
+ | Montez la clé | ||
+ | < | ||
+ | mkdir /mnt/usb | ||
+ | mount /dev/sdb1 /mnt/usb | ||
+ | </ | ||
+ | |||
+ | Créez un fichier " | ||
+ | < | ||
+ | dd if=/ | ||
+ | </ | ||
+ | |||
+ | Puis démontezla clé. | ||
+ | < | ||
+ | sync | ||
+ | umount /mnt/usb | ||
+ | </ | ||
+ | |||
+ | ==== Etape 2 : Préparer la séquence de démarrage ==== | ||
+ | |||
+ | <note important> | ||
+ | Attention, si vous souhaitez utiliser ntfs, une mise à jour du fichier bootscript est disponible! (Etape 4) [2013/ | ||
+ | |||
+ | De plus, assurez-vous que le module ntfs-3g est bien présent dans **/ | ||
+ | |||
+ | </ | ||
+ | |||
+ | Editez le fichier / | ||
+ | < | ||
+ | sudo gedit / | ||
+ | </ | ||
+ | |||
+ | Et ajoutez les lignes suivantes au fichier. | ||
+ | * Si vous utilisez une carte SD: | ||
+ | < | ||
+ | mmc_core | ||
+ | sdhci | ||
+ | mmc_block | ||
+ | aes_i586 | ||
+ | sha256 | ||
+ | dm_mod | ||
+ | dm_crypt | ||
+ | ntfs-3g | ||
+ | </ | ||
+ | * Si vous utilisez une clé USB: | ||
+ | < | ||
+ | usbcore | ||
+ | ohci_hcd | ||
+ | ehci_hcd | ||
+ | usb_storage | ||
+ | sd_mod | ||
+ | aes_i586 | ||
+ | sha256 | ||
+ | dm_mod | ||
+ | dm_crypt | ||
+ | ntfs-3g | ||
+ | </ | ||
+ | |||
+ | Ajoutez la nouvelle configuration au système. | ||
+ | < | ||
+ | ==== Etape 3 : Paramétrer le démarrage ==== | ||
+ | |||
+ | Montez la clé | ||
+ | < | ||
+ | mount /dev/sdb1 / | ||
+ | Ajoutez le fichier d' | ||
+ | < | ||
+ | Démontez la clé et redémarrez | ||
+ | < | ||
+ | sync | ||
+ | reboot</ | ||
+ | ==== Etape 4 : Paramétrer le système ==== | ||
+ | |||
+ | Redémarrez normalement. | ||
+ | |||
+ | Notez l'UUID (identifiant de partition) de la partition contenant la clé (/ | ||
+ | |||
+ | (Nous prendrons ici **4645b6cb-80db-457b-8d46-fbb9fd33dxxb**. N' | ||
+ | < | ||
+ | |||
+ | Éditez le fichier / | ||
+ | < | ||
+ | |||
+ | Vous devriez avoir quelque chose du genre: | ||
+ | < | ||
+ | **9df4f-878ytju-ilk45q-gfbb9f-d33dxxb** est l'UUID de la partition cryptée | ||
+ | |||
+ | Dupliquez la ligne et changez le **none** par **UUID=4645b6cb-80db-457b-8d46-fbb9fd33dxxb: | ||
+ | |||
+ | Soit après **luks** dans notre exemple. Attention à la virgule qui est importante, et à ne pas avoir de duplicata dans la ligne. | ||
+ | |||
+ | |||
+ | Notre fichier final ressemblera donc à quelque chose du genre: | ||
+ | < | ||
+ | sda2_crypt | ||
+ | |||
+ | Téléchargez [[http:// | ||
+ | < | ||
+ | (N' | ||
+ | |||
+ | Donnez-lui les droits d’exécution: | ||
+ | < | ||
+ | |||
+ | Réactualisez la séquence de démarrage: | ||
+ | < | ||
+ | Redémarrez et profitez! 8-) | ||
+ | |||
+ | |||
+ | <note astuce> | ||
+ | Si vous souhaitez débguer et afficher les messages de ce que fait le script, modifier la ligne **debug=0** en **debug=1** du fichier **/ | ||
+ | |||
+ | Puis réactualisez la séquence de démarrage: | ||
+ | < | ||
+ | </ | ||
+ | ==== En cas de soucis ==== | ||
+ | |||
+ | Si une erreur apparaît au démarrage indiquant quelque chose du genre " | ||
+ | |||
+ | Et que vous tombez sur la console | ||
+ | < | ||
+ | |||
+ | Alors le fichier **/ | ||
+ | La procédure est comme ceci: | ||
+ | * Démarrez sur un live cd ou live usb | ||
+ | * Identifiez les emplacements de la partition de boot et la partition root avec gparted ici respectivement **/ | ||
+ | * Identifiez l'UUID de la partitino cryptée par un: | ||
+ | < | ||
+ | * créez le répertoire /tmproot: | ||
+ | < | ||
+ | * montez les deux partitions: | ||
+ | < | ||
+ | mount / | ||
+ | mount /dev/sda1 / | ||
+ | * Chrootez-vous dans le système: | ||
+ | < | ||
+ | * [[: | ||
+ | * Nous aurons donc, pour l' | ||
+ | < | ||
+ | |||
+ | <note warning> | ||
+ | |||
+ | Sinon quoi, la partition sera bien décryptée au démarrage, mais absolument pas montée dans **/**, ce qui ne permettra bien évidement pas le démarrage! | ||
+ | Logiquement, | ||
+ | |||
+ | * Enregistrez et réactualisez la configuration: | ||
+ | < | ||
+ | * Redemarrez | ||
+ | ===== Verrouiller / Déverrouiller l' | ||
+ | ==== Identifier l'ID de sa clé ==== | ||
+ | |||
+ | Notez l' | ||
+ | < | ||
+ | Vous devrez obtenir une résultat similaire: | ||
+ | < | ||
+ | Bus 002 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub | ||
+ | Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub | ||
+ | Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub | ||
+ | Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub | ||
+ | Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub | ||
+ | Bus 001 Device 003: ID 114b:085b PNY | ||
+ | Bus 002 Device 004: ID 035f:0945 Microsoft Corp. Nano Transceiver v1.0 for Bluetooth</ | ||
+ | |||
+ | Nous choisirons ici la clé " | ||
+ | Retenez donc la section ID qui précède le nom du materiel. Ici: | ||
+ | |||
+ | **ID 114b:085b PNY** | ||
+ | |||
+ | ==== Paramétrer et installer le script ==== | ||
+ | |||
+ | Installez **[[apt> | ||
+ | < | ||
+ | |||
+ | Créez un script dans le répertoire **~/** (votre home) appelé **.autoLock** | ||
+ | Éditez avec gedit: | ||
+ | < | ||
+ | gedit ~/ | ||
+ | Et on copie/colle le code suivant: | ||
+ | < | ||
+ | # A simple shell to lock / unlock your Desktop | ||
+ | # Ubuntu | ||
+ | # ---------------------------------------------------------------------------- | ||
+ | # Original Script by Echowrap http:// | ||
+ | # Modified by Vidyadhar D S < | ||
+ | # vidyadhards@gmail.com techienote.com@gmail.com | ||
+ | # Translated and corrected by malabarth malabarth@gmail.com | ||
+ | # ---------------------------------------------------------------------------- | ||
+ | #Replace with the ID of your USB device | ||
+ | id="ID 114b:085b PNY" | ||
+ | |||
+ | #runs every 2 seconds | ||
+ | for ((i=0; i<=30; i++)) | ||
+ | do | ||
+ | if [ -z " | ||
+ | then | ||
+ | |||
+ | echo "Clé d' | ||
+ | if [ -n " | ||
+ | then | ||
+ | | ||
+ | if [ -e / | ||
+ | then | ||
+ | rm / | ||
+ | |||
+ | fi | ||
+ | |||
+ | elif [ -e / | ||
+ | then | ||
+ | |||
+ | DISPLAY=: | ||
+ | DISPLAY=: | ||
+ | rm / | ||
+ | |||
+ | fi | ||
+ | else | ||
+ | |||
+ | echo "Clé d' | ||
+ | if [ ! -e / | ||
+ | then | ||
+ | | ||
+ | DISPLAY=: | ||
+ | DISPLAY=: | ||
+ | touch / | ||
+ | | ||
+ | fi | ||
+ | |||
+ | fi | ||
+ | sleep 2 | ||
+ | done</ | ||
+ | |||
+ | **ATTENTION** On n' | ||
+ | |||
+ | Puis donnez-lui les droits d' | ||
+ | < | ||
+ | ==== Ajouter aux tâches cron ==== | ||
+ | |||
+ | < | ||
+ | On ajoute la ligne suivante: | ||
+ | < | ||
+ | * Enregistrez (ctrl + o) | ||
+ | * Quittez (ctrl + x) | ||
+ | |||
+ | Redémarrez cron: | ||
+ | < | ||
+ | |||
+ | Voila, enlevez votre clé, l' | ||
+ | Remettez-là, | ||
+ | |||
+ | Si pas de clé, le mot de passe sera demandé comme un déverrouillage normal. | ||
+ | |||
+ | |||
+ | ==== En cas de soucis ==== | ||
+ | Si problème il y a, loguez vous en console tty1 (ctrl + alt + 1), et déplacez le fichier exécutable: | ||
+ | < | ||
+ | Puis redémarrez! N' | ||
+ | < | ||
+ | |||
+ | ===== Sources & Contributeurs ===== | ||
+ | [[http:// | ||
+ | |||
+ | [[http:// | ||
+ | |||
+ | ---- | ||
+ | |||
+ | // |