Bruce Schneier knows Alice and Bob's shared secret

hr — Mon, 13 Oct 2008 14:50:00 +0200

Comment faire lorsqu'on souhaite se constituer un petit espace très personnel sur une machine linux. Que faire quand on souhaite que cet espace soit conservé à l'abris des yeux indiscrets. Je vous propose une petite recette simple et efficace. Il suffit d'utiliser des ingrédients que vous trouverez dans votre cuisine !!

L'environnement système est une debian etch installée en 64bits sur une dedibox. Je vais utiliser le chiffrement de bloc avec LUKS utilisant dm-crypt. Nous ne chiffrerons pas la partition racine du système mais bien une partition de données.

Il faut tout d'abord vérifier qu'on a les outils nécessaires au chiffrement de partition.

# apt-get install cryptsetup dmsetup hashalot
[...]

Maintenant que les outils de base sont installés, on vérifie leur compatibilité avec l'utilisation qu'on souhaite en faire.

# cryptsetup --help
cryptsetup-luks 1.0.5
[...]
# dmsetup targets
zero             v1.0.0
mirror           v1.0.20
snapshot-origin  v1.6.0
snapshot         v1.6.0
crypt            v1.5.0
striped          v1.1.0
linear           v1.0.2
error            v1.0.1

# cat /proc/crypto | grep name
name         : aes
name         : sha256
name         : sha224
name         : sha1
name         : md5

la commande cryptsetup installée supporte bien LUKS et le noyau est capable de supporter le chiffrement.

Pour les architectures supportant le 64bit.

# modprobe aes-x86_64
# cat /proc/crypto
name         : aes
driver       : aes-asm
module       : aes_x86_64
priority     : 200
refcnt       : 1
type         : cipher
blocksize    : 16
min keysize  : 16
max keysize  : 32
[...]

Le module peut-être éventuellement ajouté au fichier /etc/modules.

Je dois maintenant créer la partition qui va être chiffrée et la déclarer au système grâce à partprobe.

# cfdisk /dev/sda
[...]
# apt-get install parted
[...]
# partprobe /dev/sda

Pour chiffrer une partition avec LUKS, il faut la "formater" avec cryptsetup et ensuite la déclarer au système "device mapper". Il est conseillé d'utiliser une phrase de mot de passe complexe.

# cryptsetup luksFormat /dev/sda8

WARNING!
========
This will overwrite data on /dev/sda8 irrevocably.

Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
# cryptsetup luksOpen /dev/sda8 data
Enter LUKS passphrase: 
key slot 0 unlocked.
Command successful.
# ls /dev/mapper/
control  data

C'est gagné, la partition est maintenant accessible grâce au chemin /dev/mapper/data.

Il faut formater la partition, ici j'utilise ext3.

# mkfs.ext3 -m 0 /dev/mapper/data

La partition peut maintenant être utilisée par le système.

Pour assurer le montage de la partition au démarrage, il faut la déclarer dans le fichier /etc/crypttab. Cette déclaration permet de faire l'ouverture LUKS et la déclaration à "dev mapper" en une opération. Ensuite /etc/fstab pourra prendre le relais.

# cat /etc/crypttab
# <target name> <source device>         <key file>      <options>
data    /dev/sda8       none            luks,timeout=1

Ps: Le titre vient des "Bruce Schneier facts".
Ps2: Le formatage de la partition peut également se faire avec un version plus longue de la commande cryptsetup :

# cryptsetup --verify-passphrase --verbose --hash=sha256 --cipher=aes-cbc-essiv:sha256 --key-size=256 luksFormat /dev/sda8
[...]

Mais mon surnom c'est plus simple à écrire

hr — Wed, 08 Oct 2008 15:49:00 +0200

Si vous faites comme moi partie des gens qui ont un nick/login vraiment court (moins de quatre lettres en fait), vous avez été victime, vous aussi, des contraintes de la dedibox. En effet, le compte utilisateur doit faire entre quatre et vingt caractères. Mon login en fait deux ... maiiiiiiiis la situation n'est pas irrémédiable.

C'est finalement assez simple, mais globalement dangereux. Si une déconnexion survenait au cours de cette manipulation, le système pourrait devenir inaccessible pour ce compte utilisateur. J'ai l'habitude de ne pas donner d'accès ssh à mon utilisateur root, donc je m'autodétruis dans un nuage de fumée bleue.

On commence par passer root, ensuite il faut modifier les fichiers /etc/shadow, /etc/passwd et /etc/group. Dans les deux premiers fichiers, il suffit de modifier le login à changer en début de ligne. Il doit se trouver une fois dans chaque fichier. Par exemple :

# cat /etc/shadow
[...]
hrhr:$1$foobar$blihblahbloh:13923:0:99999:7:::
[...]
# cat /etc/passwd
[...]
hrhr:x:1000:1000:hrhr,,,:/home/hrhr:/bin/bash
[...]

Le fichier /etc/group contient aussi un certain nombre de références à ce login.

# grep hrhr /etc/group
dialout:x:20:hrhr
cdrom:x:24:hrhr
floppy:x:25:hrhr
audio:x:29:hrhr
video:x:44:hrhr
plugdev:x:46:hrhr
hrhr:x:1000:

Ensuite on s'occupe de déplacer le répertoire home de l'utilisateur. On commence par modifier le chemin du répertoire home dans /etc/passwd. Ensuite on déplace le répertoire pour refléter ces changements.

# mv /home/oldnick /home/newnick

Et voualaaaaaaaaaa. A la prochaine connexion, le nouvel utilisateur peut être utilisé.

Update: Personnellement, je fais les substitutions à grands coups de :%s/hrhr/hr/gc dans vim, ce qui me permet de faire plusieurs substitutions par ligne sur tout le fichier. Chaque substitution doit être confirmée.
On pourrait également utiliser sed :

sed -i.bak 's/hrhr/hr/g' /etc/group

ZenTech - dedibox

Bruce Schneier knows Alice and Bob's shared secret

Mais mon surnom c'est plus simple à écrire