J'ai un disque dur entièrement crypté (le / complet), et le /boot est
sur une clé USB bootable. Dans le paquet initramfs-tools, il y a un
script nommé 'cryptroot' qui permet de dévérouiller le / automatiquement
au démarrage.
Pn lui spécifie la "clé" de dévérouillage grace à un paramètre du noyau:
cryptopts=keyscript=/bin/xxxx
Où xxx est un script dans l'initramfs. Jusque là tout va bien. Ma clé de
décryptage se trouve sur une clé USB, donc j'ai ajouté un script
dans /etc/initramfs/scripts/local-top/ qui va monter les clés USB une
par une, puis trouver la clé de décryptage puis la copié dans
l'initramfs.
Ensuite, mon script /bin/xxx renvoi cette clé à cryptroot qui est
utilisée pour dévérouiller mon disque.
Mon problème est le suivant:
Le script cryptroot est appellé AVANT mon script qui monte les clés USB.
Du coup, quand il est appellé, bah forcément la clé de décryptage n'est
pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre
dans le dossier local-top d'après ce que j'ai compris. Alors j'ai
peut-être la possiblité de placer mon script dans un autre dossier, mais
je ne suis pas certain.
Merci de m'éclairer si vous voyez des solutions !
--
Thibaut
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1274432582.6765.4.camel@dev-station
Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit :
Bonjour à tous, J'ai un disque dur entièrement crypté (le / complet), et le /boot est sur une clé USB bootable. Dans le paquet initramfs-tools, il y a un script nommé 'cryptroot' qui permet de dévérouiller le / automatiqu ement au démarrage.
[...]
Le script cryptroot est appellé AVANT mon script qui monte les clés U SB. Du coup, quand il est appellé, bah forcément la clé de décryptage n'est pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre dans le dossier local-top d'après ce que j'ai compris. Alors j'ai peut-être la possiblité de placer mon script dans un autre dossier, m ais je ne suis pas certain. Merci de m'éclairer si vous voyez des solutions !
Il me semble qu'il existe déjà un script qui va chercher la clé de déchiffrement sur un support externe en le montant tout seul. Il suffit d'indiquer dans crypttab le nom de ce script et le chemin du périphérique surlequel trouver la clé.
Par contre, je n'ai pas regardé depuis un moment et je ne me souviens plus du nom de ce script, de la syntaxe exacte et des commandes. À l'époque, il me semble que j'avais vu qu'il n'était pas encore parfaitement mûr.
Fanfan
--
--ikeVEW9yuYc//A+q Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit :
Bonjour à tous,
J'ai un disque dur entièrement crypté (le / complet), et le /boot est
sur une clé USB bootable. Dans le paquet initramfs-tools, il y a un
script nommé 'cryptroot' qui permet de dévérouiller le / automatiqu ement
au démarrage.
[...]
Le script cryptroot est appellé AVANT mon script qui monte les clés U SB.
Du coup, quand il est appellé, bah forcément la clé de décryptage n'est
pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre
dans le dossier local-top d'après ce que j'ai compris. Alors j'ai
peut-être la possiblité de placer mon script dans un autre dossier, m ais
je ne suis pas certain.
Merci de m'éclairer si vous voyez des solutions !
Il me semble qu'il existe déjà un script qui va chercher la clé de
déchiffrement sur un support externe en le montant tout seul. Il suffit
d'indiquer dans crypttab le nom de ce script et le chemin du
périphérique surlequel trouver la clé.
Par contre, je n'ai pas regardé depuis un moment et je ne me souviens
plus du nom de ce script, de la syntaxe exacte et des commandes. À
l'époque, il me semble que j'avais vu qu'il n'était pas encore
parfaitement mûr.
Fanfan
--
--ikeVEW9yuYc//A+q
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100521113414.GA22724@WS244.gennet.genicorp.fr
Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit :
Bonjour à tous, J'ai un disque dur entièrement crypté (le / complet), et le /boot est sur une clé USB bootable. Dans le paquet initramfs-tools, il y a un script nommé 'cryptroot' qui permet de dévérouiller le / automatiqu ement au démarrage.
[...]
Le script cryptroot est appellé AVANT mon script qui monte les clés U SB. Du coup, quand il est appellé, bah forcément la clé de décryptage n'est pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre dans le dossier local-top d'après ce que j'ai compris. Alors j'ai peut-être la possiblité de placer mon script dans un autre dossier, m ais je ne suis pas certain. Merci de m'éclairer si vous voyez des solutions !
Il me semble qu'il existe déjà un script qui va chercher la clé de déchiffrement sur un support externe en le montant tout seul. Il suffit d'indiquer dans crypttab le nom de ce script et le chemin du périphérique surlequel trouver la clé.
Par contre, je n'ai pas regardé depuis un moment et je ne me souviens plus du nom de ce script, de la syntaxe exacte et des commandes. À l'époque, il me semble que j'avais vu qu'il n'était pas encore parfaitement mûr.
Fanfan
--
--ikeVEW9yuYc//A+q Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Kevin Hinault
Le 21 mai 2010 13:34, François Cerbelle a écrit :
Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit :
> Le script cryptroot est appellé AVANT mon script qui monte les clés USB. > Du coup, quand il est appellé, bah forcément la clé de décrypta ge n'est > pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre > dans le dossier local-top d'après ce que j'ai compris. Alors j'ai > peut-être la possiblité de placer mon script dans un autre dossier, mais > je ne suis pas certain. > Merci de m'éclairer si vous voyez des solutions !
Il me semble qu'il existe déjà un script qui va chercher la clé de déchiffrement sur un support externe en le montant tout seul. Il suffit d'indiquer dans crypttab le nom de ce script et le chemin du périphérique surlequel trouver la clé.
Par contre, je n'ai pas regardé depuis un moment et je ne me souviens plus du nom de ce script, de la syntaxe exacte et des commandes. À l'époque, il me semble que j'avais vu qu'il n'était pas encore parfaitement mûr.
Tiens ça existe ça ??
Pardon je fais remonter un vieux fil mais ça m'interesse parce que j'ai justement tenté de faire ce montage d'une clé usb sur laquelle serait la clé de chiffrement et je n'ai pas réussi. Si toi ou Thibault avez des pistes, ce serait possible de les connaitre ?
Pour l'instant, j'arrive a monter des disques secondaires en bidouillant la séquence de boot mais donc seulement une fois le système principal lancé et déverrouillé, je n'ai pas trouvé comme nt dire a initrd d'aller chercher la clé de chiffrement sur un support amovible. J'allais me pencher sur une bidouille : mettre la clé directement dans les premiers octects du device (donc casser le système de fichier) et dire au cryptab de lire directement le /dev/sdx mais je ne sais pas si c'est le truc le plus propre.
-- Kévin
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/AANLkTik6VmOmRSb6+GE_UOVt1s=
Le 21 mai 2010 13:34, François Cerbelle <francois@cerbelle.net> a écrit :
Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit :
> Le script cryptroot est appellé AVANT mon script qui monte les clés USB.
> Du coup, quand il est appellé, bah forcément la clé de décrypta ge n'est
> pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre
> dans le dossier local-top d'après ce que j'ai compris. Alors j'ai
> peut-être la possiblité de placer mon script dans un autre dossier, mais
> je ne suis pas certain.
> Merci de m'éclairer si vous voyez des solutions !
Il me semble qu'il existe déjà un script qui va chercher la clé de
déchiffrement sur un support externe en le montant tout seul. Il suffit
d'indiquer dans crypttab le nom de ce script et le chemin du
périphérique surlequel trouver la clé.
Par contre, je n'ai pas regardé depuis un moment et je ne me souviens
plus du nom de ce script, de la syntaxe exacte et des commandes. À
l'époque, il me semble que j'avais vu qu'il n'était pas encore
parfaitement mûr.
Tiens ça existe ça ??
Pardon je fais remonter un vieux fil mais ça m'interesse parce que
j'ai justement tenté de faire ce montage d'une clé usb sur laquelle
serait la clé de chiffrement et je n'ai pas réussi. Si toi ou Thibault
avez des pistes, ce serait possible de les connaitre ?
Pour l'instant, j'arrive a monter des disques secondaires en
bidouillant la séquence de boot mais donc seulement une fois le
système principal lancé et déverrouillé, je n'ai pas trouvé comme nt
dire a initrd d'aller chercher la clé de chiffrement sur un support
amovible. J'allais me pencher sur une bidouille : mettre la clé
directement dans les premiers octects du device (donc casser le
système de fichier) et dire au cryptab de lire directement le /dev/sdx
mais je ne sais pas si c'est le truc le plus propre.
--
Kévin
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/AANLkTik6VmOmRSb6+GE_UOVt1s=fhNOdy9QRu8uLBMi4@mail.gmail.com
Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit :
> Le script cryptroot est appellé AVANT mon script qui monte les clés USB. > Du coup, quand il est appellé, bah forcément la clé de décrypta ge n'est > pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre > dans le dossier local-top d'après ce que j'ai compris. Alors j'ai > peut-être la possiblité de placer mon script dans un autre dossier, mais > je ne suis pas certain. > Merci de m'éclairer si vous voyez des solutions !
Il me semble qu'il existe déjà un script qui va chercher la clé de déchiffrement sur un support externe en le montant tout seul. Il suffit d'indiquer dans crypttab le nom de ce script et le chemin du périphérique surlequel trouver la clé.
Par contre, je n'ai pas regardé depuis un moment et je ne me souviens plus du nom de ce script, de la syntaxe exacte et des commandes. À l'époque, il me semble que j'avais vu qu'il n'était pas encore parfaitement mûr.
Tiens ça existe ça ??
Pardon je fais remonter un vieux fil mais ça m'interesse parce que j'ai justement tenté de faire ce montage d'une clé usb sur laquelle serait la clé de chiffrement et je n'ai pas réussi. Si toi ou Thibault avez des pistes, ce serait possible de les connaitre ?
Pour l'instant, j'arrive a monter des disques secondaires en bidouillant la séquence de boot mais donc seulement une fois le système principal lancé et déverrouillé, je n'ai pas trouvé comme nt dire a initrd d'aller chercher la clé de chiffrement sur un support amovible. J'allais me pencher sur une bidouille : mettre la clé directement dans les premiers octects du device (donc casser le système de fichier) et dire au cryptab de lire directement le /dev/sdx mais je ne sais pas si c'est le truc le plus propre.
-- Kévin
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/AANLkTik6VmOmRSb6+GE_UOVt1s=
