1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • connaitre le keyslot LUKS =?iso-8859-1?Q?u?= =?iso-8859-1?Q?tilis=E9_au

    From testeur@starinux.org@21:1/5 to All on Thu Oct 3 22:00:02 2024
    Bonjour la liste,

    Je recherche le moyen de connaitre le keyslot luks utilisé (donc quel mot de passe a été utilisé) lors du démarrage d'une debian dont le disque système est chiffré.
    Luks laisse t il une trace quelquepart de ceci ? et y a t il moyen de faire en sorte que cela soit possible en intégrant du code quelquepart ?
    J'en ai besoin pour un projet...
    Je suis preneur de toutes suggestions .

    Merci.

    T
    _________________________________________ -----------------------------------------

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michel Verdier@21:1/5 to All on Fri Oct 4 11:20:01 2024
    Le 3 octobre 2024 testeur a écrit :

    Je recherche le moyen de connaitre le keyslot luks utilisé (donc quel
    mot de passe a été utilisé) lors du démarrage d'une debian dont le
    disque système est chiffré.
    Luks laisse t il une trace quelquepart de ceci ? et y a t il moyen de
    faire en sorte que cela soit possible en intégrant du code quelquepart
    ?

    A ma connaissance il n'y a pas de sortie. Peut-être en ajoutant un
    --debug quelque part dans le initrd. Si tu ajoutes debug aux options du
    kernel dans /etc/default/grub, tu auras des logs dans /run/initramfs/

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From testeur@starinux.org@21:1/5 to All on Sat Oct 5 19:10:01 2024
    Le vendredi 04 oct. 2024 à 11:11:37 (+0200), Michel Verdier a écrit :

    A ma connaissance il n'y a pas de sortie. Peut-être en ajoutant un
    --debug quelque part dans le initrd. Si tu ajoutes debug aux options du kernel dans /etc/default/grub, tu auras des logs dans /run/initramfs/

    Intéressante idée de chercher de ce côté là. J'ai tenté le debug, mais le numéro de keyslot n'apparait pas dans initramfs.debug .
    D'ailleurs les codes du initrd ne montrent aucunes lignes apparentes indiquant/suggèrant cette commande (cryptsetup, etc...).

    Apriori, ce qui déclenche la demande de mot de passe (cryptsetup luksopen...), suite au lancement du initrd/GRUB, est du côté du fichier /etc/crypttab, il me semble.
    Mais les options de crypttab sont plutôt limitées, impossible de mettre du "verbose" (pour mettre la sortie "numero de keyslot" dans un fichier dans /boot ).

    Je suis allé voir du côté de luks, mais je n'ai pas vraiment de réponse dans leur FAQ.
    Comment savoir où se trouve la ligne amenant à la demande de mot de passe automatique cryptsetup lors du lancement de init (du initrd) ? Ceci pour tester de le remplacer par une commande avec du --verbose .

    T
    --
    _____________________________________
    -------------------------------------

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michel Verdier@21:1/5 to All on Sun Oct 6 12:00:02 2024
    Le 5 octobre 2024 testeur a écrit :

    Apriori, ce qui déclenche la demande de mot de passe (cryptsetup luksopen...), suite au lancement du initrd/GRUB, est du côté du fichier /etc/crypttab, il me semble.

    Oui c'est ça.

    C'est le paquet cryptsetup-initramfs qui gère ça pour créer le
    initrd. Les hook c'est ce qui est exécuté lors de la création du initrd,
    les scripts sont exécutés lors de l'init. Je pense que tu peux regarder
    du côté de
    /usr/share/initramfs-tools/scripts/local-top/cryptroot
    qui a une option kernel (que je ne connaissais pas) dont le nom est
    prometteur : cryptopts

    Aussi attention au fait que lors de l'init ce sont les commandes busybox
    qui sont utilisées et qu'elles n'ont pas toujours le même comportement
    que les commandes standard.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From testeur@starinux.org@21:1/5 to All on Wed Oct 9 22:20:01 2024
    Le dimanche 06 oct. 2024 à 11:53:40 (+0200), Michel Verdier a écrit :
    C'est le paquet cryptsetup-initramfs qui gère ça pour créer le
    initrd. Les hook c'est ce qui est exécuté lors de la création du initrd,
    les scripts sont exécutés lors de l'init. Je pense que tu peux regarder
    du côté de
    /usr/share/initramfs-tools/scripts/local-top/cryptroot
    qui a une option kernel (que je ne connaissais pas) dont le nom est prometteur : cryptopts

    J'ai tenté diverses possibilités avec l'initrd, j'ai regardé la doc de la cryptsetup-team debian (liens en dessous), mais j'ai l'impression qu'il n'y a pas moyen de définir ni dans l'init, ni dans crypttab, ni dans le grub ou autre la définition de la
    commande cryptsetup (le --verbose par exemple)...

    https://cryptsetup-team.pages.debian.net/cryptsetup/ https://cryptsetup-team.pages.debian.net/cryptsetup/README.initramfs.html#cryptopts-boot-argument
    https://gitlab.com/cryptsetup/cryptsetup/-/wikis/FrequentlyAskedQuestions#9-the-initrd-question

    Je ne comprend pas comment, il est possible d'agir à ce niveau là.
    J'ai réussi à lancer busybox --login par l'init et tenter des commandes, mais impossible de savoir où agir pour cryptsetup.
    Si quelqu'un a une piste, ou peut être juste désactiver la demande par defaut de cryptsetup, pour que je puisse faire tout dans l'init par moi-même

    --
    ______________________________________
    --------------------------------------

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michel Verdier@21:1/5 to All on Thu Oct 10 09:20:01 2024
    Le 9 octobre 2024 testeur a écrit :

    J'ai réussi à lancer busybox --login par l'init et tenter des
    commandes, mais impossible de savoir où agir pour cryptsetup.
    Si quelqu'un a une piste, ou peut être juste désactiver la demande par defaut de cryptsetup, pour que je puisse faire tout dans l'init par
    moi-même

    J'ai placé un hook dans /etc/initramfs-tools/hooks/ qui place ce que je
    veux dans le initrd lors du update-initramfs.
    Et j'ai mis un script dans /etc/initramfs-tools/scripts/init-premount/
    Du coup c'est ce script qui fait le cryptsetup (et le mount du root) et
    non plus le init normal que je ne touche pas.
    J'ai installé les paquets cryptsetup-initramfs et busybox-static

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)