Comment déverrouiller automatiquement le trousseau de clef ?

Support Debian
#1

Bonjour,

Utilisateur jusqu’ici d’ubuntu dont je me servais comme serveur de fichier sur un PC de salon, je suis en train de migrer progressivement sous debian 6.06.

Pour des questions de facilité, je souhaite l’administrer en local via VNC, solution que j’utilise déjà sous ubuntu. Et également ne pas avoir à rentrer le mot de passe utilisateur au démarrage : j’allume le PC et il est ainsi directement opérationnel.

Problème, les deux ne semble visiblement pas compatible : si j’active la connexion en automatique au démarrage et que je lance le client VNC depuis mon PC sous windows, Debian me demande de rentrer le mot de passe pour “déverouiller le trousseau de clef”.
Si je n’active pas la connexion en automatique (et que donc je rentre mon mdp à la fenêtre de connexion), cela fonctionne.

Je n’ai pour le moment crée qu’un seul utilisateur, qui a par défaut les droits root.

Il y aurait’il un moyen de passer outre cette demande systématique de déverouillage de trousseau de clef ?

Merci.

#2

Quand on sait que debian versus buntu est basé sur la sécurité avant tout, tu as, je crois, ta réponse.

#3

Hum, certes, ceci dit si je ne peux pas le redémarrer entièrement à distance cela va très vite me poser problème pour l’usage que j’en aurais . . .

#4

Je ne connais pas VNC. Perso, je fais tout à distance sous SSH mais je n’ai pas de windows…
Attends d’autres réponses.

#5

la solution, mais attention ce n’est absolument pas recommandé car absolument pas sécurisé :

supprimer le mot de passe du trousseau

#6

Je suis pas sûr que ça soit vraiment pire que de mettre une interface graphique sur un serveur… :eusa-whistle:

#7

Salut,

Comment faire sauter toutes les sécurités Unix/Linux pour qu’il soit troué comme un Windows ? :laughing:

#8

positon.org/post/Autologin-G … t-de-passe

Quelques pistes.

#9

On va encore refaire le débat sur la question : "aider quelqu’un à se suicider : oui/non "
Je ne veux pas verrouiller ce fil pour ne pas, une fois de plus, me voir accusé de censeur.
Mais de grâce, ne donnez pas de conseils contraires aux règles de sécurité que s’impose notre distribution favorite.
Si notre ami veut faire de sa Debian une passoire digne de rivaliser avec Fenêtres, libre à lui mais n’en soyez pas complice.

[quote]Je n’ai pour le moment crée qu’un seul utilisateur, qui a par défaut les droits root.
[/quote] = sudo user ALL ALL ALL :unamused:

#10

@Nerd Herd, merci pour le lien, je viens de tester dans une VM et cela fonctionne :wink:

Pour le reste, je crois que quelques précisions s’imposent :

N’en déplaisent aux puristes, je ne vois vraiment pas en quoi un OS avec interface graphique sera moins “sécurisé” que le même OS sans interface graphique.

Lorsque je parlais de PC de salon dans mon premier post, j’aurais peut être pu précisé aussi que le PC en question sera ensuite relié à la télé afin de pouvoir directement y visualiser les différents fichiers (vidéos et photos) se trouvant sur les disques réseaux.

Puisque certains parlent de passoire, du moment que l’accès ne se fait qu’en local, où est exactement le problème pour vous ?

A titre d’exemple, le partage Samba que j’ai actuellement n’est accessible qu’en local (pas de redirection extérieur au niveau du routeur), que pour certaines machines (filtre sur IP au niveau du firewall de la machine), et avec identification par mot de passe. Pour vous c’est une passoire ?

Enfin VSFTPD, ce dernier a sur ma machine actuelle bien sur un accès à l’extérieur, configuré pour une utilisation de SSL obligatoire, possède une protection au niveau de iptable contre les erreurs d’authentification répétées, ainsi que un filtre sur IP pour n’autoriser l’accès au seul utilisateur avec des droits en écriture qu’à partir d’uune certaine adresse locale. Cela vous semble aussi ressembler à une passoire comme mode de fonctionnement ?

Mis à part la racine et le home, tous mes répertoires réseaux sont chiffrés avec truecrypt, cela vous semble insuffisamment sécurisé comme mode de fonctionnement là aussi ?
Au passage ce dernier mode de fonctionnement n’a qu’un seul inconvénient, c’est qu’il faut reconnecter manuellement les partitions à chaque redémarrage.

En résumé, sur ma config actuelle (et donc également celle que je suis en train de me monter en remplacement), le seul port ouvert vers l’extérieur est celui du FTP. Qui au passage n’est pas le 21.

A oui, si en local le mode de fonctionnement peut être qualifié de passoire par certains, cela implique un accès physique à la machine. Et dans ce cas là, le côté passoire sera bien le cadet de mes soucis.

En conclusion, Debian me branchait bien car contrairement à Ubuntu il a su rester simple et ne pas céder aux dernières modes pas vraiment utiles comme les interfaces à la unity (je ne parle même pas des publicités dans les recherches à partir de la 12.10), mais là je ne sais plus vraiment sur de vouloir rester dessus à la vue de la réaction de certains.

#11

Tu cherches une distri ou une bande de pote ?

#12

Si tu ne vois pas en quoi rajouter des centaines de paquets, chacun avec ses propres failles de sécurité, rend obligatoirement ta machine moins sécurisée, bah… :unamused:

Effectivement tu aurais pu préciser dès le départ que tu comptais en faire cet usage, au lieu de dire simplement qu’il s’agissait d’un serveur de fichiers. Dans l’usage que tu veux en faire c’est en effet difficile de se passer d’environnement graphique. :smiley:

La majorité des problèmes de Windows vient du fait que par défaut il n’y a pas de séparation claire entre l’utilisateur et l’administrateur (même sur les versions récentes avec l’UAC). Pour avoir un Windows à peu près sécurisé il faut configurer soi-même les comptes utilisateur de manière bien spécifique.
Sous Debian c’est la situation inverse : sécurisé par défaut (séparation nette entre les utilisateurs et l’administrateur, entres autres choses) mais toi tu as configuré le truc spécifiquement pour retrouver la même insécurité que sous Windows (et Ubuntu aussi d’ailleurs). C’est exactement comme si tu enlevais sciemment les ceintures de sécurité et les airbags dans ta voiture parce que ça te gêne pour conduire.
Ça ne change rien que l’accès ne soit que local : quand quelqu’un (par exemple un gamin) arrivera à foutre la zone sur ta machine parce que l’utilisateur par défaut a des droits trop élevés, tu comprendras pourquoi on appelle ça une passoire. :wink:

Comme déjà dit, sous Debian on est très attachés à la sécurité. Si on voit quelqu’un se pointer un flingue sur la tempe on préfère le prévenir plutôt que de le laisser faire sans intervenir. Si cet état d’esprit ne te convient pas, rien ne te retient. Mais garde quand même en mémoire que la plupart des intervenants du forum ont non seulement des années d’expérience (et il y a de nombreux professionnels dans le lot : admins, développeurs, …), mais qu’en plus ils sont unanimes à ce sujet. Ça devrait quand même te faire réfléchir sur le bien fondé des remarques.

1 J'aime