Re: Administration à distance de systèmes chiffrés
Si tu enlèves le montage de la home au démarrage, le système bootera
complètement et il ne te restera plus qu'à te connecter en ssh puis a
monter manuellement la home.
Pour désactiver un montage enlèves (ou commente) la ligne
correspondante dans /etc/fstab
Le seul problème c'est que tes utilisateurs n'auront qu'un
environnement shell minimal tant que la home ne sera pas montée.
Le 15 septembre 2008 01:13, Goldy <goldy@goldenfish.info> a écrit :
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Yves Rutschle a écrit :
>> On Sun, Sep 14, 2008 at 05:24:47PM +0200, Goldy wrote:
>>> Le problème, c'est que le mot de passe est demandé lors du boot de la
>>> machine, et il ne mle semble pas qu'à ce moment là le serveur ssh soit
>>> démarré. À moins qu'il soit possible d'ouvrir une session ssh à cet
>>> instant, mais étant donné que les disques ne sont pas encore monté
>>> lors de la demande du mot de passe, je vois mal comment il serait
>>> possible de lancer une session par ssh.
>>
>> Ça dépend ce que tu as chiffré.
>>
>> Si tu as "tout" chiffré (c'est à dire que le serveur ne peut
>> pas bouter sans mot de passe): il y a quelques années,
>> j'aurais suggérer de mettre un autre PC à coté, un câble
>> série entre les deux et de faire le boot du serveur avec la
>> console sur le port série.
>>
>> Aujourd'hui, il y a plus élégant: installe un serveur non
>> chiffré qui sait booter tout seul, et un serveur virtuel
>> chiffré que tu lances ensuite (après, Xen, VirtualBox,
>> OpenVZ... plein de solutions possibles).
>>
>> Y.
>>
> En réalité, sur cette machine, uniquement le home est chiffré. Mais
> avec la configuration par défaut de debian, la partition contenant le
> système ne se monte qu'après que la passphrase pour la partition home
> ait été saisie. Alors, il faudrait je pense modifier la configuration
> pour que le système démarre complètement et que la passphrase soit
> demandé ensuite, mais je m'oppose encore à un problème, la passphrase
> sera-t-elle saisissable par ssh malgré tout (le système est-il prévu
> pour) ?
>
> L'idée de rediriger la console sur une autre machine est intéressante
> (je n'ai pas spécialement envie de faire de la virtualisation),
> d'autant que c'est possible dans l'état actuel de ma configuration,
> mais ça fait quand même un chouillat bricolage, il serait surprenant
> que les développeurs des solutions de chiffrements n'aient pas pensé à
> ce cas de figure. Éventuellement, si vous savez où je peux trouver la
> documentation des modules utilisées dans debian pour le chiffrement de
> disque, peut-être que je pourrais trouver quelque chose dedans (mes
> connaissances restent assez limité sur le sujet).
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iD8DBQFIzZqsahBM4wTYw0oRAidhAJwLJMcoKqNw3Q/FiA7SIe1xA9ItkwCcCOY9
> GaXtz6eauYSnJ2x9xNrAOFc=
> =rzjb
> -----END PGP SIGNATURE-----
>
>
Reply to: