Le blog de Dju Un peu de moto, un zeste de geek, et un brin d'autres trucs ;-)

Dechiffrement d'un volume LUKS à distance sous Debian

Quand on a un serveur sous debian, avec le disque chiffré grâce à LUKS, il faut avoir un écran/clavier pour taper le mot de passe au boot.
Pas très pratique pour un serveur !

Mais une solution existe pour cela: le paquet dropbear-initramfs.

Il va faire en sorte que lorsque la machine démarre, dropbear (un serveur ssh très light) soit lancé, car intégré dans l'initramfs.
Ce qui va nous permettre de s'y connecter en SSH (avec authentification par clé), rentrer le mot de passe pour déchiffrement, et qu'au final le système démarre :)

Et comme je fais cela souvent, il m'arrive d'oublier une étape, en voici dont la liste :p

Pour ce faire, 5 étapes:

  1. installer dropbear
  2. configurer l'authentification
  3. configurer dropbear
  4. configurer l'initramfs
  5. désactiver dropbear pour que ssh se lancer normalement après

1/ installation

on l'installe simplement en une commande :

apt install dropbear dropbear-initramfs

2/ Authentification

Afin de s'authentifer par clé, on créé le fichier /etc/dropbear/initramfs/authorized_keys, dans lequel on inscrit notre clé publique (généralement dans ~/.ssh/id_rsa.pub)

3/ Configuration de dropbear

On édite le fichier /etc/dropbear/initramfs/dropbear.conf et on décommente la ligne DROPBEAR_OPTIONS.
Et on indique les options entre guillemets. au final, la ligne doit ressembler à ceci:

DROPBEAR_OPTIONS="-RFEsjk -c /bin/cryptroot-unlock"

ces options permettent pluisieurs choses, notemment de ne pas mettre dropbear en background, et qu'il affiche ce qui se passe à l'écran (dans stderr), de désactiver l'authentification par password, et le port forwarding.
Enfin et surtout la derniere option permet de demander directemnet le mot de passe LUKS, sans qu'on aie accès à un shell busybox ;)

4/ Configuration de l'initramfs

Dropbear étant maintenant configuré, on passe à l'initramfs.
On édite pour cela le fichier /etc/initramfs-tools/initramfs.conf, et on rajoute une ligne à la fin

IP=192.168.30.27::192.168.30.1:255.255.255.0::eth0:off

ici on indique que l'initramfs doit monter l'interface réseau eth0 avec l'ip 192.168.30.27; une gateway en 192.168.30.1 et un netmask à 255.255.255.0.
Cette partie est tres importante, car sans elle la machine n'aura pas de réseau à ce stade du démarrage.

Enfin, on met à jour l'initramfs:

update-initramfs -u

5/ Désactivation de dropbear

Finalement, on désactive dropbear pour qu'il ne se lance pas au démarrage. il doit etre lancé uniquement pendant la phase de l'initramfs, et doit se désactiver après.
Sans quoi, sshd ne pourra pas démarrer :)

Si vous utilisez systemd:

systemctl disable dropbear.service

Si vous utilisez sysvinit:

update-rc.d -f dropbear remove

Et voila, c'est terminé. :)

Désormais, lorsque la machine démarrera, vous pourrez toujours taper votre mot de passer au clavier si besoin, mais vous pourrez surtout vous y connecter en ssh, et une fois identifié, un prompt vous sera proposé pour taper votre mot de passe LUKS.

Sécurisez vos connexions DNS avec DNScrypt

opendns Il y a une petite dizaine de jours, OpenDNS a sorti un utilitaire très pratique, open source, permettant de crypter les connexions DNS, un peu comme le HTTP encapsulé en SSL pour faire du HTTPS.
Un pas de plus vers l'anonymat et la protection de la vie privée :)
Ici on va voir comment l'installer simplement sur un pc sous debian/ubuntu, puis le mettre devant un serveur BIND faisant office de cache.

Lire la suite

Afficher les graphiques de munin plus rapidement

munin_thumb.jpg Aujourd'hui un petit truc & astuce pour Munin, consistant à optimiser un peu l'affichage des graphs grâce à Jquery..
Le but: simplement de ne charger que le graph que l'on souhaite regarder, et pas tous les autres, de manière à ne pas attendre, particulièrement si on veut consulter un graph se trouvant en fin de page ;)

Lire la suite

Kernel debian et driver e1000e sur kimsufi 16G

logo_ovh Lorsque le kimsufi 16G est livré, est installé dessus un kernel made in ovh. Ce kernel interdit entre autre la gestion classique/manuelle des modules avec lsmod et modprobe, et peut également avoir du retard lors des mises à jour pour les diverses failles de sécurité.
Voici un petit mode d'emploi pour revenir au kernel debian "standard", ainsi que pour installer le module e1000e de la carte réseau, non supporté par le kernel debian.

Lire la suite

Températures du kimsufi 16G sous debian

logo_ovh Après pas mal de recherches, notamment sur la carte mère Intel DH67BL et le module w83677HG, pour ceux qui ont un kimsufi 16G sous debian ou autre nux, et qui se demandent comment avoir les températures..
En effet, le module coretemp refuse de se charger, lm-sensors ne detecte rien, et pas d'ipmi...
Voici la solution :)

Lire la suite

SOL : déport d'écran et clavier via IPMI

netcard.jpg Voici une autre fonctionnalité extrêmement intéressante de l'IPMI: la possibilité d'obtenir à distance un shell sur une machine, en plus de pouvoir surveiller tout le processus de boot
J'ai nommé: SOL (pour Serial Over Lan)
En clair: déporter écran et clavier via l'IPMI.

Ainsi, si on se trompe dans la configuration réseau, par exemple, et que la machine n'est plus joignable, on peut toujours s'y connecter via ipmi et réparer avec le shell (donc sur une machine windows c'est pas la peine hein ? :p )

De même, si on doit absolument rebooter une machine, on peut donc assister à tout le processus de boot, rentrer dans le bios, taper F1 si on a oublié de désactiver la vérification du clavier au démarrage :D .... etc

Lire la suite

Monitorez l'uptime de votre freebox sans télé

fbx_v5 Aujourd'hui une petite astuce pour connaitre et monitorer l'uptime de votre freebox, sans avoir à la brancher à la télé, et de manière automatique grâce à munin.
Mais comment donc, me demandez vous ?
Grâce à la RFC 1323, et surtout Nmap

Lire la suite

Envoyer les alertes de munin sur twitter

twitter Aujourd'hui, une petite explication sur comment faire pour que munin cause à twitter.
C'est bien d'envoyer des alertes par email, mais c'est encore mieux d'en envoyer également sur un compte twitter que l'on pourra facilement lire
Et c'est tellement web 2.0 ... :p

Lire la suite

Faille de sécurité sur les kernels linux

pirate.jpg Une faille de sécurité a été découverte il y a 2 jours environ sur les noyaux linux, au niveau du protocole RDS (Reliable Datagram Sockets).
C'est une faille de type Local Root Exploit, permettant à un simple utilisateur de gagner l'accès root.

Lire la suite

Partager ses données avec samba depuis Linux

samba-jpg Voici quelques explications afinde pouvoir facilement partager ses données, depuis un ordinateur sous linux, vers un réseau de machines sous windows.
La configuration est faite ici le plus simplement en utilisant les utilisateurs locaux créés sur la machine.

Lire la suite

- page 1 de 4