Saturday, December 03, 2005

dmcrypt

Ayant besoin de protéger mes données personnelles sur un laptop avec Debian, je me suis interressé à dmcrypt qui est déjà dans le noyau Linux 2.6. Je ne vais pas réécrire les docs déjà existantes sur le sujet :
http://deb.riseup.net/storage/encryption/dmcrypt/
et
http://gentoo-wiki.com/SECURITY_dmcrypt
mais plutôt revenir sur certains points et les compléter.
L'objectif est de crypter le homedir éxistant seulement. Le plus simple étant de créer un système de fichier dans un fichier (mitch.img) et non dans une partition à part entière. Cette dernière solution est très souvent proposée lorsque l'on cherche une solution pour chiffrer son homedir, mais présente l'inconvénient de créer une partition par utilisateur.
C'est parti donc pour dmcrypt et la création d'un homedir chiffré.


Pré-requis

  • kernel 2.6.x avec les modules aes, dm_mod, dm_crypt, loop.
  • les packages : dmsetup, cryptsetup, libpam_mount, openssl



    Création du fichier mitch.img et du device

    # dd if/dev/urandom of=/home/mitch.img bs=1M count=5000
    # losetup /dev/loop0 /home/mitch.img



    Chiffrement de la partition et création du système de fichier

    Plutôt que de chiffrer la partition et de chiffrer la clé qui a chiffrer la partition dans un fichier /home/mitch.key ensuite, il est préférable de créer une clé aléatoire chiffrée et de l'utiliser pour chiffrer la partition :

    # openssl rand -base64 64 | head -n 1| openssl aes-256-ecb > /home/mitch.key

    Là, il est demandé le mot de passe de chiffrement de la clé privé qui servira dans le chiffrement/déchiffrement de la partition.

    Remarque : cette solution évitera de taper la clé de chiffrement dans la ligne de commande qui créera la partition chiffrée. Ainsi, rien nest présent dans les fichier d'historique.

    Il suffit ensuite de chiffrer la partition de la manière suivante :

    # openssl enc -d -aes-256-ecb -in /home/mitch.key | cryptsetup mitch /dev/loop0

    Remarque : le mot de passe utilisé lors de la phase de login sera utilisé pour déchiffré la clé dans le fichier mitch.key, il doit être le même que celui du login. Le device chiffré à été mappé sur/dev/mapper/mitch. Il reste ensuite à créer le filesystem, par exemple :

    # mkfs.ext3 /dev/mapper/mitch

    Remarque : Par la suite, il s'agit d'une partition formatée à part entière, donc pour copier les données déja éxistantes, il suffit de la monter qq part, et d'y copier les données du homedir en gardant les droits.
    Pour finir, démonter le tout, et automatiser le montage et déchiffrement au login (et inversement).

    # cryptsetup remove mitch
    # losetup -d /dev/loop0


    Login

    Comme très bien décrit dans les url pré-citées, le montage/déchiffrement est automatisable au login avec libpam-mount. Ajouter à la fin de /etc/security/libpam_mount.conf (description des volume à monter lors du login par utilisateur) :

    volume mitch crypt - /home/mitch.img /home/mitch loop,cipher=aes aes-256-ecb /home/mitch.key

    Ajouter dans les fichiers /etc/pam.d/SERVICE (common-auth/common-session/gdm ...) pour préciser d'utiliser le module pam-mount dans les bonnes circonstances :

    @include common-pammount

    Terminer, en ajustant les droits des fichiers crées :

    # chown -R mitch:mitch /home/mitch /home/mitch.img /home/mitch.key
    # chmod 600 /home/mitch.key
    # chmod 700 /home/mitch

    C'est prêt :)

    Remarque : le mot de passe de login déchiffrant la clé privée, il est donc important de penser à changer le mot de passe de la clé lorsque l'on change celui du login, par exemple :

    # echo `openssl enc -d -aes-256-ecb -in /home/mitch.key`| openssl aes-256-ecb > /home/mitch.key

    • posted by mitch at 2:23 PM 1 comments

    Tuesday, November 15, 2005

    A la petite cuillère

    Découvert grâce à Saad sur emusic.com *grin*, Spoon est un groupe orienté plutôt indie-rock. Après avoir ecouté le dernier album Gimme Fiction (2005) que j'ai beaucoup apprécié, je me suis interressé à A Series of Sneaks, Girls Can Tell et Kill The Moonlight. Ces trois albums sont sortis respectivement en 1998, 2001 et 2002 et viennent juste d'être rendus disponible sur emusic.com.
    Ecoutés ce matin, ma première impression est plutôt bonne ; on retrouve dans les trois albums un peu des Pixies (en tout cas, le peu que j'en connaisse) et certaines sonnorités qui font la particularité du groupe. Pour l'instant, même si j'ai beaucoup apprécié les 4 albums, Gimme Fiction se démarque clairement : on sent un gros travail effectué sur cet album, sons travaillés, morceaux riches en originalité ; il contient tous les ingrédients des précédents disques et bien plus.
    Je vous invite fortement à le découvrir si vous aimez ce genre musical.

    posted by mitch at 11:10 AM 0 comments

    Sunday, October 16, 2005

    Yahoo! DomainKeys

    Vous trouverez ici une présentation du fonctionnement de DomainKeys de Yahoo! (mécanisme qui permet de vérifier l'integrité et la provenance des mails). J'ai écris cet article cet été alors que Yahoo! et Cisco (entre autre) proposaient un DRAFT à l'IETF pour DKIM (solution inspirée de DomainKeys).
    N'hésitez à me donner vos impressions.

    posted by mitch at 12:23 AM 0 comments

    HTMLiser avec Vim

    Voici un petit fichier .vim avec des raccourcis clavier pour HTMLiser du texte avec Vim. Les commentaires sont à l'intérieur. Les tags pour lesquels j'ai fait des raccourcis sont les plus basiques. Si ça peut servir... N'hésitez pas à proposer des améliorations.

    posted by mitch at 12:12 AM 1 comments

    Saturday, August 20, 2005

    Idée resto' à... Dijon


    Puisque nous serons bientôt tous des voyageurs galactiques :), vous aurez certainement l'occasion de passer et de vous arrêter à Dijon, France. Alors ne cherchez plus, je ne saurais que trop vous conseiller cette excellente table :
    68, rue J.-J. ROUSSEAU - 21000 DIJON


    posted by mitch at 1:58 PM 1 comments

    Friday, August 19, 2005

    Réussir de magnifiques crèpes (pour les nuls)

    J'ai débuté ma carrière de cuisto avec le nutella, alors quoi de mieux que les crèpes pour le savourer.
    Mais comme vous le savez tous c'est toujours très difficile de réussir une pâte.
    Voilà t'y pas qu'un jour dans mes lectures quotidiennes (la cuisine facile et autres livres de recette, il faut toujours un bon bouquin à la tête de son lit) je tombe sur la recette miracle, garantie sans grumeaux et avec des crèpes légères. Seul souci le matériel, manuellement ça marche pas :-( j'ai essayé.

    Il vous faut :
    1 mixeur électrique
    1/2 litre de lait
    2 oeufs
    250g de farine
    50g de beurre

    Vous mélangez dans le mixeur, et dans cet ordre, le lait, les oeufs et la farine.
    En parallèle faite fondre le beurre et rajoutez le au mélange.
    Voilà c'est fini.
    Vous pouvez ensuite assaisonner, mais je ne dirais rien, le secret du goût se trouve là ;-)

    Régalez vous
    Bye
    LVDTime

    posted by LVDTime at 3:22 PM 0 comments

    Et la cuisine dans tout ça

    Bon à ce que j'en ai compris ça peut servir à tout.
    La vraie question maintenant est de savoir si vous voulez vraiment de mes délicieuses recettes.
    Est-ce que vous saurez égaler mes crèpes, gaufres, magrets de canard sauce au miel et autres petites friandises.
    Voir même mieux, saurons nous égaler les keftas de maître Saad (qui ne me fait plus la cuisine depuis bien longtemps d'ailleurs ;-)).
    Si vraiment nous avons des cuisiniers en herbe je veux bien participer et vous inviter annuellement à une petite orgie organisée sur la terrasse au soleil :-)
    En tout cas bien heureux d'avoir un espace facilement accessible et que l'on peut mettre à jour sans se prendre la tête.
    A très bientôt pour ceux que je croiserais la semaine prochaine et à ceux que je verrais très vite.
    Biz à tous
    LVDTIme

    posted by LVDTime at 3:16 PM 0 comments

    DocIsland, The Blog. Finally

    OK. This is a pretty lame post to declare that the DocIsland team has finally its own blog where you can see our musing on stuff that you might be interested in, but mostly not.

    In a effort to cut the BS and make this post's information value slightly superior to zero, let me introduce you to the team members, in no particular order (well there's a hidden order based on the size of something it'd be nasty to voice out but let's pretend there's no order):
    • Bruno Favre, a.k.a nobz
    • Emmanuel De Jesus, a.k.a nemo
    • Thomas Franco, a.k.a toom
    • Lionel Bucaille, a.k.a buxor or to spare some characters, simply bux
    • Saad Kadhi, a.k.a saad (Well that's me and my arabic name is weird enough to be considered a nick)
    • Jerome Leonard, a.k.a mitch
    • Jerome Magnin, a.k.a jethro or again to spare some chars, simply jet
    • Bruno Billaud, a.k.a lvdtime
    • Jeremie Le Hen, a.k.a tataz
    Our Blog Cooking Dept. is preparing some nice posts. Check out back soon!

    Off to slacking.

    posted by Saad at 2:31 PM 1 comments