Modifications

Historique de la page
Ajouter chiffrement du disque rédigé par Louise's avatar Louise
Afficher les modifications d'espaces
En ligne Côte à côte
doc_usager/Apporter-ma-machine.md
Voir la page @ 2f464a38
...@@ -37,8 +37,61 @@ Le mieux est d'installer sa machine **avant** de l'apporter à la salle serveur. ...@@ -37,8 +37,61 @@ Le mieux est d'installer sa machine **avant** de l'apporter à la salle serveur.
## S'assurer de la sécurité de sa machine ## S'assurer de la sécurité de sa machine
- choisir un mot de passe robuste, ne surtout pas laisser le mot de passe par défaut - choisir un mot de passe robuste, ne surtout pas laisser le mot de passe par défaut
- chiffrer le/les disques avec LUKS2, pour ça se référer à la section suivante.
- utiliser des versions récentes des logiciels - utiliser des versions récentes des logiciels
## Chiffrement du disque root avec déchiffrement à distance
Chiffrer un disque dur permet de rendre difficile voir impossible l'exploitation des données stocké dessus quand la machine est éteinte/pas déchiffré. Cela permet de protéger les données lors d'une saisie des disques, etc mais pas d'un piratage ou d'un accès direct à la machine en état de fonctionnement.
Pour chiffrer le disque à l'installation du système, il suffit de cocher/selectioner l'option "chiffrer la partition root" et choisir un mot de passe unique et fort à retenir/stocker dans un gestionnaire de mot de passe.
Après l'installation on veux pouvoir déchiffrer le disque à distance pour éviter de se déplacer dans la salle serveur après une coupure d'elec et/ou un reboot par exemple.
Pour cela on doit installer un programme de serveur SSH minimaliste (Dropbear SSH) dans le système qui sert à initialiser linux (l'initramfs).
Sur les distributions Debian / Ubuntu il suffit d'y installer avec apt:
```sh
sudo apt update
sudo apt upgrade
sudo apt install dropbear-initramfs
```
C'est très probable qu'un message d'erreur (`dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!`) apparaisse pendant l'installation, vous pouvez l'ignorer sans problèmes.
Maintenant on peux passer à la configuration de Dropbear SSH:
> Attention, depuis Debian 12 (bookworm) la chemin des configurations de dropbear ont changé:
> - Nouveau dossier: `/etc/dropbear/initramfs/`
> - Nouveau fichier de config: `/etc/dropbear/initramfs/dropbear.conf`
> - Nouveau fichier pour les clé publique SSH: `/etc/dropbear/initramfs/authorized_keys`
>
> Et pour les versions avant Debian 12:
> - Dossier de configuration: `/etc/dropbear-initramfs/`
> - Fichier de config: `/etc/dropbear-initramfs/config`
> - Fichier pour les clé publique SSH: `/etc/dropbear-initramfs/authorized_keys`
Pour cela il faut éditer le fichier de config et ajouter/modifier la variable `DROPBEAR_OPTIONS` avec ce contenus:
```sh
DROPBEAR_OPTIONS="-I 180 -j -k -p 2222 -s -c cryptroot-unlock"
```
Où chaques options correspondes à:
* `-I 180`: Met fin à la session ssh si rien est transmis dans les 180 prochaines secondes.
* `-j`: Désactive le [port forwarding](https://wiki.archlinux.org/title/OpenSSH#Forwarding_other_ports) depuis le serveur.
* `-k`: Désactive le [port forwarding](https://wiki.archlinux.org/title/OpenSSH#Forwarding_other_ports) depuis le client.
* `-p 2222`: port d'écoute de Dropbear, il est conseillé de le changer par un port aléatoire/moins connue que 22 ou 2222 histoire de réduire le risques d'attaques.
* `-s`: Désactive l'authentification par mot de passe, nous allons mettre en place un système de clé SSH.
* `-c cryptroot-unlock`: Bloque l'accès au shell et force l'execution de la commande `cryptroot-unlock` pour déchiffrer le disque.
En suit il faut ajouter une clé publique SSH dans le fichier `authorized_keys` de dropbear.
> Attention: la version de Dropbear distribué par debian ne supporte pas les clé généré avec la courbe ed25519, il est recommandé d'utiliser/générer une clé RSA, pour y générer il faut utiliser la commande `ssh-keygen -t rsa`.
En suit il faut configurer le réseau en suivant [cette explication](https://forge.gresille.org/salle-serveur/doc-publique/-/wikis/doc_usager/Configuration-r%C3%A9seau#dropbear-ssh-initramfs).
> Attention cette configuration réseau est indépendante de la configuration réseau du système installé sur la machine ! L'initramfs fonctionne comme un petit OS à part entière.
Une fois la configuration finit, si ce n'est pas déjà fait, mettre à jour l'image de l'initramfs avec la commande suivant:
```sh
update-initramfs -u
```
Et voilà, reste plus qu'à redémarrer la machine et de vous y connecter en ssh pour la déchiffrer :)
## Configuration réseau ## Configuration réseau
Si possible avant de venir, mais sinon peut être fait pendant la permanence. Si possible avant de venir, mais sinon peut être fait pendant la permanence.
... ...
......