Le fil des beaux gosses linuxiens, v2 où comment installer LFS sur BTRFS en RAID10

[golwin]

Dans l'idée il faut que tu comprennes que, une fois crypté, ton système n'est pas capable de monter via fstab tout seul sda5, il lui faut de l'aide.

Pour ça tu as la crypttab, dont le rôle va être de décrypter le sda5 formaté en crypté et de "l'ouvrir" pour que la fstab puisse l'utiliser.

Merci.
Ma swap fonctionne. Il me reste donc à essayer de la chiffrer. Je vais commencer en testant avec cryptsetup.

Du coup si tu chiffres ta partition de type swap, tu chiffres aussi ton disque ?

En fait le problème s'est posé à l'envers. Lors de l'installation, j'ai demandé à ce que mon home soit chiffré. Lors du boot, j'ai vu apparaître cette erreur swap. J'essaye de comprendre surtout que je la retrouve sur 3 machines différentes.

[Wobak]

Merci.
Ma swap fonctionne. Il me reste donc à essayer de la chiffrer. Je vais commencer en testant avec cryptsetup.


En fait le problème s'est posé à l'envers. Lors de l'installation, j'ai demandé à ce que mon home soit chiffré. Lors du boot, j'ai vu apparaître cette erreur swap. J'essaye de comprendre surtout que je la retrouve sur 3 machines différentes.

Avec cryptsetup ça peut paraître un peu abscons alors en résumé :
Tu commences par faire un luksFormat :

Code:

cryptsetup luksFormat /dev/sda5

Ceci va rendre la partition chiffrée et te demander une passphrase pour la déchiffrer.
Ensuite il faut créer un device virtuel qui sera la version "utilisable" de ta partition :

Code:

cryptsetup luksOpen /dev/sda5 myswap

Cette commande va te permettre de manipuler la version "utilisable" qui est alors créée dans /dev/mapper/myswap
Tu peux alors la formater :

Code:

mkswap /dev/mapper/myswap

et récupérer son uuid pour plus tard :

Code:

blkid | grep myswap

Une fois que tu as tout ça, pour que ça marche au boot, il faut d'abord que ton système déchiffre la partition /dev/sda5.
Pour cela, on utilise /etc/crypttab avec une entrée du type :

Code:

myswap /dev/sda5 [/root/mysecret]

/!\ Le séparateur de crypttab est un espace, pas un tab/!\
Le /root/mysecret que j'ai mis entre crochets, c'est si tu veux que ton système la déchiffre tout seul sans que tu aies à taper la passphrase à chaque boot. Si c'est le cas, il te suffit de faire un :

Code:

echo -n 'mysecret' > /root/mysecret

Dans ce cas là tu remplaces bien sûr mysecret par ta passphrase

A ce stade, le plus simple c'est de rebooter et de voir si un /dev/mapper/myswap est bien créé par le système. Si c'est le cas, c'est gagné, il te suffit de rajouter la ligne avec l'UUID dans la fstab.

[Wobak]

Wobak lance *explication technique* !

C'est très efficace !

[wardog]

Wobak lance *explication technique* !

C'est très efficace !

Il y a juste la partie "je stocke mon mot de passe en clair dans un fichier texte sur une partition non cryptee" qui me chifonne.

[Tramb]

Il y a juste la partie "je stocke mon mot de passe en clair dans un fichier texte sur une partition non cryptee" qui me chifonne.

A juste titre. Point d'échappatoire si tu es un peu parano à part taper ton mdp à chaque fois ou avoir la clé sur un support amovible.

[Wobak]

C'est pour ça que je l'ai mis entre crochet parce que décrypter à la volée ta partition chiffrée dans un fichier texte, ça tue un peu toute l'utilité du truc en fait

[golwin]

Avec cryptsetup ça peut paraître un peu abscons alors en résumé :
Tu commences par faire un luksFormat :

Code:

cryptsetup luksFormat /dev/sda5

Ceci va rendre la partition chiffrée et te demander une passphrase pour la déchiffrer.
Ensuite il faut créer un device virtuel qui sera la version "utilisable" de ta partition :

Code:

cryptsetup luksOpen /dev/sda5 myswap

Cette commande va te permettre de manipuler la version "utilisable" qui est alors créée dans /dev/mapper/myswap
Tu peux alors la formater :

Code:

mkswap /dev/mapper/myswap

et récupérer son uuid pour plus tard :

Code:

blkid | grep myswap

Une fois que tu as tout ça, pour que ça marche au boot, il faut d'abord que ton système déchiffre la partition /dev/sda5.
Pour cela, on utilise /etc/crypttab avec une entrée du type :

Code:

myswap /dev/sda5 [/root/mysecret]

/!\ Le séparateur de crypttab est un espace, pas un tab/!\
Le /root/mysecret que j'ai mis entre crochets, c'est si tu veux que ton système la déchiffre tout seul sans que tu aies à taper la passphrase à chaque boot. Si c'est le cas, il te suffit de faire un :

Code:

echo -n 'mysecret' > /root/mysecret

Dans ce cas là tu remplaces bien sûr mysecret par ta passphrase

A ce stade, le plus simple c'est de rebooter et de voir si un /dev/mapper/myswap est bien créé par le système. Si c'est le cas, c'est gagné, il te suffit de rajouter la ligne avec l'UUID dans la fstab.

Whaou. Merci !
Je vais tester ça.

[Sekigo Le Magnifique]

Oh mon dieu.

Je codais un plugin pour un logiciel. J'utilisais l'IDE integré, sauf qu'au bout d'un moment, c'est relou et je voulais faire des tests sur des données factices. Comme d'hab, je fous mon code dans un fichier dans /tmp et je bosse dessus, en me disant "allez, c'est juste pour deux-trois tests". Évidemment, j'ai passé finalement plusieurs heures dessus et ce qui devait arriver arriva : j'ai firefox qui s'est emballé et qui s'est mis à swapper de malade. Je le kill, j'ai la swap qui redescend d'un coup mais mon pc reste toujours aussi lent, et j'ai KDE qui me signale que le noyau a été mis à jour et que ce serait sympa de redémarrer. Je le fais.

Et hop, au redémarrage, je relance sublime-text pour rebosser sur mon plugin et ho! la bonne surprise, le fichier /tmp/test.py est vide. Je me sens très con. Et j'ai pas mal la haine, parce qu'il y a une cinquantaine de lignes qui étaient assez technique et que j'ai pas super envie de me retaper.
Avec l'énergie du desespoire, je lance tout de même une recherche google et je tombe sur un type dans le même cas que moi et qui a fait un :

Code:

grep -a -C 300 "def nom_de_ma_fonction" /dev/sda1 | tee /tmp/recover

Mmmmh, j'y crois moyen. Je le fais. Et là, je retrouve ma fonction (\o/), mais aussi un tas d'anciennes versions de cette fonction.

Je dois dire que je suis très content d'avoir retrouver ma fonction. Mais d'un autre coté, c'est assez flippant. J'étais au courant que rien ne s'effaçait vraiment d'un disque, mais y être confronté en réel, c'est autre chose. Si je change la chaine de caractère "def nom_de_ma_fonction" par un truc genre "password", "facebook", "porno" ou autres, combinés avec d'autres trucs plus ciblés, à mon avis, on peut retrouver pas mal de trucs intéressants sur le pc cible. Je ne préfère même pas tester.

[wardog]

Oh mon dieu.

Je codais un plugin pour un logiciel. J'utilisais l'IDE integré, sauf qu'au bout d'un moment, c'est relou et je voulais faire des tests sur des données factices. Comme d'hab, je fous mon code dans un fichier dans /tmp et je bosse dessus, en me disant "allez, c'est juste pour deux-trois tests". Évidemment, j'ai passé finalement plusieurs heures dessus et ce qui devait arriver arriva : j'ai firefox qui s'est emballé et qui s'est mis à swapper de malade. Je le kill, j'ai la swap qui redescend d'un coup mais mon pc reste toujours aussi lent, et j'ai KDE qui me signale que le noyau a été mis à jour et que ce serait sympa de redémarrer. Je le fais.

Et hop, au redémarrage, je relance sublime-text pour rebosser sur mon plugin et ho! la bonne surprise, le fichier /tmp/test.py est vide. Je me sens très con. Et j'ai pas mal la haine, parce qu'il y a une cinquantaine de lignes qui étaient assez technique et que j'ai pas super envie de me retaper.
Avec l'énergie du desespoire, je lance tout de même une recherche google et je tombe sur un type dans le même cas que moi et qui a fait un :

Code:

grep -a -C 300 "def nom_de_ma_fonction" /dev/sda1 | tee /tmp/recover

Mmmmh, j'y crois moyen. Je le fais. Et là, je retrouve ma fonction (\o/), mais aussi un tas d'anciennes versions de cette fonction.

Je dois dire que je suis très content d'avoir retrouver ma fonction. Mais d'un autre coté, c'est assez flippant. J'étais au courant que rien ne s'effaçait vraiment d'un disque, mais y être confronté en réel, c'est autre chose. Si je change la chaine de caractère "def nom_de_ma_fonction" par un truc genre "password", "facebook", "porno" ou autres, combinés avec d'autres trucs plus ciblés, à mon avis, on peut retrouver pas mal de trucs intéressants sur le pc cible. Je ne préfère même pas tester.

La, il faudrait un bon coup de shred /tmp/* au shutdown.

[moimadmax]

Oui mais dans le cas de sekigo le Magnifique, tu peux te retaper ta fonction de merde. Puis ça me paraitrait anormal qu'un Softs ecrivent des données sensible dans le /tmp/ car étant à la racine il est accessible à tout les users.

[Sekigo Le Magnifique]

Que ce soit dans le /tmp n'a aucune importance. J'ai fais un grep sur /dev/sda1.

[Wobak]

Bah c'est assez logique, si tmp est juste effacé au reboot, les blocs ne sont plus indexés mais toujours présent. Le vrai problème c'est que tu fasses un rm et que le fichier soit toujours grepable. C'est le cas ?

[wardog]

Bah c'est assez logique, si tmp est juste effacé au reboot, les blocs ne sont plus indexés mais toujours présent. Le vrai problème c'est que tu fasses un rm et que le fichier soit toujours grepable. C'est le cas ?

Logique, je pense que rm supprime les inodes et pas les blocks. Le grep sur la device en mode block a ete lire lesdits blocks ce qui fait qu'il a pu les retrouver.
Si tu est peu soucieux de la confidentialite, rm suffit. Par contre si tu es un peu parano, il va falloir lui trouver une alternative (cryptage ou shred).

[George Sable]

Vu l'impact totalement négligeable sur les performances et l'énorme gain de sécurité apporté il n'y a vraiment aucune raison de ne pas chiffrer son système.

[Tramb]

Une fois que le device chiffré est live, rien n'empêche ce genre d'attaque, si?
Tu te protèges juste contre le vol de ton ordi et une attaque offline.

[snipx]

Oui, et tu empêches le reboot à distance puisque du coup le boot devient interactif en te demandant ta passphrase.

[tenshu]

J'ai une grosse fuite mémoire avec Chromium sous Ubuntu 14.04, c'est le cas pour d'autres canards?

[Pontifex]

T'as regardé dans chrome://memory pour voir d'où ça vient ?

[Solinvictus]

Coucou les BGs,

J'ai un petit souci sur une des machines de mon parc. La (mal)heureuse tourne sous Linux Mint, et depuis ce matin, j'ai un écran noir, juste après le GRUB Select.

J'ai redémarré en mode rescue, et je vois que le serveur X ne se lance plus. La machine est un portable LATITUDE E5510 connecté à un vidéo-projecteur. J'ai dans un premier temps, arrêté le service, puis suivi ceci :

I got the same error and I resolved it this way:

1. When the message about viewing the X server output came, I pressed Ctrl Alt F2
2. Now on the new shell I ran command sudo Xorg -configure
3. Then I copied /home/oobe/xorg.conf.new to /etc/X11/xorg.conf
sudo cp /home/oobe/xorg.conf.new /etc/X11/xorg.conf
4. At last I started X using command startx

Tristesse ! Ça ne fonctionne pas.

Auriez-vous une idée ?

Je suis tombé sur ça aussi, sur le forum Ubuntu, dans la liste des portables DELL:

Problème d'affichage (il faut faire l'installation sur un écran externe puis installer le noyau 2.6.32-21-generic pour que l'écran fonctionne),

Et évidemment, le portable est verrouillé sur le BIOS, ce qui empêche toute tentative de réinstallation, ne pouvant pas change l'ordre de boot et j'en passe....

[tenshu]

Tu peux booter sur un CD?
Si tu peux, essayer de faire un chroot sur ton système depuis un live cd.
J'ai toujours adoré cette technique de sauvetage

[Solinvictus]

Tu peux booter sur un CD?
Si tu peux, essayer de faire un chroot sur ton système depuis un live cd.
J'ai toujours adoré cette technique de sauvetage

Aucunement ! Seulement sur le HDD.

[tenshu]

Si tu as accès en ssh ça doit pouvoir se faire.

[Solinvictus]

Je me connecte en mode rescue, avec un accès root.

edit : tu as une idée tenshu ?

[wardog]

Je me connecte en mode rescue, avec un accès root.

edit : tu as une idée tenshu ?

C'est simple: tu boote normalement et si tu as un serveur ssh qui tourne sur la machine, tu peux t'y connecter meme si le X est mort.
De la, tu peux installer un nouveau paquet, etc.

Par contre, tout ce qui touche X ca sera un poil plus complexe dans le sens ou tu n'as pas de session physique sur la machine. Neanmoins, tu devrais pouvoir preciser un display dans les arguments de tes commandes.


Edit: juste pour info, quand tu debranches le video-projecteur, tu as un image?

[Solinvictus]

C'est simple: tu boote normalement et si tu as un serveur ssh qui tourne sur la machine, tu peux t'y connecter meme si le X est mort.
De la, tu peux installer un nouveau paquet, etc.

Par contre, tout ce qui touche X ca sera un poil plus complexe dans le sens ou tu n'as pas de session physique sur la machine. Neanmoins, tu devrais pouvoir preciser un display dans les arguments de tes commandes.


Edit: juste pour info, quand tu debranches le video-projecteur, tu as un image?

Sauf que je ne parviens pas à me connecter en SSH, un ifconfig ne me renvoie rien en eth0.

Non, aucune image, en débranchant le VP.

[wardog]

Sauf que je ne parviens pas à me connecter en SSH, un ifconfig ne me renvoie rien en eth0.

Non, aucune image, en débranchant le VP.

Bon ben, la, il va falloir passer par le chroot pour recuperer le systeme. Au pire, reinstallation.

[tenshu]

Bon ben, la, il va falloir passer par le chroot pour recuperer le systeme. Au pire, reinstallation.

Oui mais un chroot ou et comment : pas d'usb, pas de live cd, pas de ssh ...

[Wobak]

Coucou les BGs,

J'ai un petit souci sur une des machines de mon parc. La (mal)heureuse tourne sous Linux Mint, et depuis ce matin, j'ai un écran noir, juste après le GRUB Select.

J'ai redémarré en mode rescue, et je vois que le serveur X ne se lance plus. La machine est un portable LATITUDE E5510 connecté à un vidéo-projecteur. J'ai dans un premier temps, arrêté le service, puis suivi ceci :



Tristesse ! Ça ne fonctionne pas.

Auriez-vous une idée ?

Je suis tombé sur ça aussi, sur le forum Ubuntu, dans la liste des portables DELL:



Et évidemment, le portable est verrouillé sur le BIOS, ce qui empêche toute tentative de réinstallation, ne pouvant pas change l'ordre de boot et j'en passe....

Attends un peu pour ton écran noir et essaye CTRL ALT F7, ou encore ALT F2, ou ta touche windows, pour essayer d'accéder à un shell.

[wardog]

Oui mais un chroot ou et comment : pas d'usb, pas de live cd, pas de ssh ...

Il reste le demontage du HDD. Enfin si c'est possible...

[Alab]

Coucou les barbus, dites j'essaie d'installer (un peu en urgence) un truc et ya une étape que je ne comprends pas dans la notice d'installation, qui se trouve ici (-> Installation).

Pourriez vous m'indiquer que signifie l'avertissement : "(le PATH de l'installateur *doit* contenir './' !) " s'il vous plait ?

Parce qu'une fois que j'ai effectué cette étape me_chpath, qui indique normalement des paths pour l'installation, bah j'ai l'impression que ça le fait pas car lors de l'étape suivante (me_install ) une commande (make) nécessaire n'est pas trouvée apparemment et je peux pas continuer. :/

Voila, j'espère avoir été clair, et que vous pourrez m'aider. Merci d'avance.