Re: Initramfs et cryptroot
Le 21 mai 2010 13:34, François Cerbelle a écrit : > > Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit : > > > Le script cryptroot est appellé AVANT mon script qui monte les clés USB. > > Du coup, quand il est appellé, bah forcément la clé de décryptage n'est > > pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre > > dans le dossier local-top d'après ce que j'ai compris. Alors j'ai > > peut-être la possiblité de placer mon script dans un autre dossier, mais > > je ne suis pas certain. > > Merci de m'éclairer si vous voyez des solutions ! > > Il me semble qu'il existe déjà un script qui va chercher la clé de > déchiffrement sur un support externe en le montant tout seul. Il suffit > d'indiquer dans crypttab le nom de ce script et le chemin du > périphérique surlequel trouver la clé. > > Par contre, je n'ai pas regardé depuis un moment et je ne me souviens > plus du nom de ce script, de la syntaxe exacte et des commandes. À > l'époque, il me semble que j'avais vu qu'il n'était pas encore > parfaitement mûr. Tiens ça existe ça ?? Pardon je fais remonter un vieux fil mais ça m'interesse parce que j'ai justement tenté de faire ce montage d'une clé usb sur laquelle serait la clé de chiffrement et je n'ai pas réussi. Si toi ou Thibault avez des pistes, ce serait possible de les connaitre ? Pour l'instant, j'arrive a monter des disques secondaires en bidouillant la séquence de boot mais donc seulement une fois le système principal lancé et déverrouillé, je n'ai pas trouvé comment dire a initrd d'aller chercher la clé de chiffrement sur un support amovible. J'allais me pencher sur une bidouille : mettre la clé directement dans les premiers octects du device (donc casser le système de fichier) et dire au cryptab de lire directement le /dev/sdx mais je ne sais pas si c'est le truc le plus propre. -- Kévin -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktik6vmomrsb6+ge_uovt1s=fhnody9qru8ulb...@mail.gmail.com
Re: Initramfs et cryptroot
Le Friday 21 May 2010 à 11:03:02 (+0200), Thibaut DIRLIK a écrit : > Bonjour à tous, > J'ai un disque dur entièrement crypté (le / complet), et le /boot est > sur une clé USB bootable. Dans le paquet initramfs-tools, il y a un > script nommé 'cryptroot' qui permet de dévérouiller le / automatiquement > au démarrage. [...] > Le script cryptroot est appellé AVANT mon script qui monte les clés USB. > Du coup, quand il est appellé, bah forcément la clé de décryptage n'est > pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre > dans le dossier local-top d'après ce que j'ai compris. Alors j'ai > peut-être la possiblité de placer mon script dans un autre dossier, mais > je ne suis pas certain. > Merci de m'éclairer si vous voyez des solutions ! Il me semble qu'il existe déjà un script qui va chercher la clé de déchiffrement sur un support externe en le montant tout seul. Il suffit d'indiquer dans crypttab le nom de ce script et le chemin du périphérique surlequel trouver la clé. Par contre, je n'ai pas regardé depuis un moment et je ne me souviens plus du nom de ce script, de la syntaxe exacte et des commandes. À l'époque, il me semble que j'avais vu qu'il n'était pas encore parfaitement mûr. Fanfan -- signature.asc Description: Digital signature
Initramfs et cryptroot
Bonjour à tous, J'ai un disque dur entièrement crypté (le / complet), et le /boot est sur une clé USB bootable. Dans le paquet initramfs-tools, il y a un script nommé 'cryptroot' qui permet de dévérouiller le / automatiquement au démarrage. Pn lui spécifie la "clé" de dévérouillage grace à un paramètre du noyau: cryptopts=keyscript=/bin/ Où xxx est un script dans l'initramfs. Jusque là tout va bien. Ma clé de décryptage se trouve sur une clé USB, donc j'ai ajouté un script dans /etc/initramfs/scripts/local-top/ qui va monter les clés USB une par une, puis trouver la clé de décryptage puis la copié dans l'initramfs. Ensuite, mon script /bin/xxx renvoi cette clé à cryptroot qui est utilisée pour dévérouiller mon disque. Mon problème est le suivant: Le script cryptroot est appellé AVANT mon script qui monte les clés USB. Du coup, quand il est appellé, bah forcément la clé de décryptage n'est pas encore présente dans l'initramfs. Il n'y a pas de notions d'ordre dans le dossier local-top d'après ce que j'ai compris. Alors j'ai peut-être la possiblité de placer mon script dans un autre dossier, mais je ne suis pas certain. Merci de m'éclairer si vous voyez des solutions ! -- Thibaut -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1274432582.6765.4.ca...@dev-station