Re: insserv: FATAL: service mountkernfs is missed

2020-01-04 Par sujet ajh-valmer 
On Saturday 04 January 2020 10:01:43 Pascal Hambourg wrote:
> Le 03/01/2020 à 22:05, ajh-valmer a écrit :
> > etc/init.d/mountkernfs.sh et "/etc/init.d/networking" :
> > Qu'appelles tu "en-têtes LSB" ?

> La partie entre "BEGIN INIT INFO" et "END INIT INFO".

Les voici :

/etc/init.d/networking :
### BEGIN INIT INFO
# Provides: networking ifupdown
# Required-Start: mountkernfs $local_fs urandom
# Required-Stop: $local_fs
# Default-Start: S
# Default-Stop: 0 6
# Short-Description: Raise network interfaces.
# Description: Prepare /run/network directory, ifstate file and raise network 
interfaces, or take them down.
### END INIT INFO

/etc/init.d/mountkernfs.sh :
### BEGIN INIT INFO
# Provides: mountkernfs
# Required-Start:
# Required-Stop:
# Should-Start: glibc
# Default-Start: S
# Default-Stop:
# Short-Description: Mount kernel virtual file systems.
# Description: Mount initial set of virtual filesystems the kernel
# provides and that are required by everything.
### END INIT INFO

Je constate que dans le dernier :
# Required-Start:
# Required-Stop:
# Default-Stop:
n'ont pas d'infos derrière.

Y a t-il un problème qui peut expliquer l'impossibilité
de lancer mountkernfs.sh ?
"service mountkernfs is missed"
A. Valmer

Re: Protéger le grub linux par mot de passe - Console en qwerty - Comment passer en azerty

2020-01-04 Par sujet Pascal Hambourg 

Le 04/01/2020 à 02:50, G2PC a écrit :



Ce n'est pas suffisant. Le chiffrement seul protège contre la
divulgation des données en cas de perte ou de vol, mais pas contre une
intervention illicite non détectée sur la partie du système qui doit
inévitablement rester non chiffrée. Ne pas oublier qu'une installation
standard de Debian avec chiffrement laisse l'intégralité de /boot en
clair, ce qui inclut le chargeur d'amorçage, l'image du noyau et
l'initramfs. GRUB et le noyau peuvent être protégés par le secure boot
UEFI, mais pas l'initramfs ni la configuration de GRUB.


Pour ma part, j'ai comme un doute pour le secure boot UEFI.


Un doute à propos de quoi exactement concernant le secure boot ?


J'ai installé Debian, Windows, et, Mint, en dual Boot.
Pour cela, j'ai bien du désactiver le secure boot UEFI depuis le BIOS.


Pourtant en principe ces trois OS sont compatibles avec le secure boot 
(Debian depuis la version 10).



Dès lors le chargeur d'amorçage, l'image du noyau et l'initramfs ne sont
pas protégés ?


Non puisque le firmware ne va pas vérifier l'intégrité du chargeur 
d'amorçage qui ne va pas vérifier l'intégrité de l'image du noyau et 
ainsi de suite.



Quels sont les conséquences ? Le chiffrement du disque pourrait alors
être rendu inopérant ?


Un attaquant qui a un accès physique à la machine pourrait modifier 
l'initramfs pour intercepter et enregistrer la phrase de passe de 
chiffrement, attendre qu'un utilisateur légitime tape la phrase de 
passe, puis la récupérer et déchiffrer le disque.


Mais une telle modification est détectable en introduisant dans la 
partie chiffrée du système (inaccessible à l'attaquant tant qu'il n'a 
pas récupéré la passphrase) une vérification de l'intégrité des fichiers 
de démarrage. Pour contrer cette protection, l'attaquant peut introduire 
dans le noyau (image principale ou module inclus dans l'initramfs) un 
rootkit qui masque les fichiers modifiés et présente les fichiers 
originels à la place.


Le secure boot n'empêcherait pas la modification des fichiers de 
démarrage mais empêcherait de démarrer avec un noyau compromis masquant 
les modifications. Certes l'initramfs compromis pourrait aussi 
désactiver la détection une fois le disque déchiffré avant de passer la 
main au système principal, mais cela suppose que l'attaquant a une 
connaissance a priori du mécanisme de cette détection, donc accès d'une 
façon ou d'une autre au système déchiffré ou à ses spécifications.

Re: insserv: FATAL: service mountkernfs is missed

2020-01-04 Par sujet Pascal Hambourg 

Le 03/01/2020 à 22:05, ajh-valmer a écrit :


etc/init.d/mountkernfs.sh et "/etc/init.d/networking" :
Qu'appelles tu "en-têtes LSB" ?


La partie entre "BEGIN INIT INFO" et "END INIT INFO".