pam_panic

pam_panic est un module PAM qui protège les données sensibles et fournit une fonction de panique pour les situations d'urgence.

Vous pouvez choisir parmi l'une des deux options suivantes :

Il existe deux supports amovibles qui fonctionnent comme des clés : la clé d'authentification et la clé de panique. La clé d'authentification vous permettra de passer à l'invite de mot de passe tandis que la clé de panique, si elle est fournie, effacera en toute sécurité l'en-tête LUKS, rendant les données illisibles.

Vous pouvez définir deux mots de passe : le mot de passe clé et le mot de passe panique. Le mot de passe clé vous permettra de passer à l'invite de mot de passe d'origine tandis que le mot de passe panique, s'il est fourni, effacera en toute sécurité l'en-tête LUKS, rendant les données illisibles.

Il y a

• pam_panic - Versions actuelles et
• pam_panic-git pour ce référentiel git actuel.

Il existe une mise à jour PPA pour les nouvelles versions.

Pour installer le package à l'aide du PPA :

 sudo add-apt-repository ppa:bandie/pampanic
sudo apt-get update
sudo apt-get install pampanic

Vous aurez besoin de GCC ou similaire, ainsi que des en-têtes PAM. Certaines distributions regroupent les en-têtes PAM sous la forme libpam0g-dev . Vous avez également besoin dialog , autoconf et gettext . Certains ont également besoin autopoint .

Pour le compiler et l'installer, procédez comme suit dans le répertoire racine du projet :

$ [ ! -e ./configure ] && autoreconf -i
$ ./configure
$ make
$ sudo make install

Remarque : les chemins des commandes reboot , poweroff et cryptsetup sont transmis au module au moment de la compilation.

Si vous souhaitez utiliser un support amovible, vous aurez besoin de deux périphériques de stockage amovibles au format GPT, et ces périphériques doivent avoir au moins une partition. Voici un exemple de session fdisk , montrant comment cela pourrait être accompli :

$ sudo fdisk /dev/sdc

Welcome to fdisk (util-linux 2.31.1).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.


Command (m for help): g
Created a new GPT disklabel (GUID: AAAAAAAA-AAAA-AAAA-AAAA-AAAAAAAAAAAA).

Command (m for help): n
Partition number (1-128, default 1): 
First sector (2048-15661022, default 2048): 
Last sector, +sectors or +size{K,M,G,T,P} (2048-15661022, default 15661022): 

Created a new partition 1 of type 'Linux filesystem' and of size 7.5 GiB.
Command (m for help): w

Vous trouverez l'UUID de votre partition dans /dev/disk/by-partuuid/ . Vous pouvez découvrir quel appareil correspond à celui en tapant ls -l /dev/disk/by-partuuid/ dans votre shell préféré.

Le moyen le plus simple consiste à exécuter pam_panic_config .

À la dure :
Pour configurer le module, ajoutez ce qui suit au(x) fichier(s) de configuration PAM approprié(s) : (voir pam.conf(5) pour plus de détails sur ces fichiers)

 auth       requisite    /usr/local/lib/security/pam_panic.so auth=<UUID> reject=<UUID> reboot serious=<UUID>
account    requisite    /usr/local/lib/security/pam_panic.so

 auth       requisite    /usr/local/lib/security/pam_panic.so password reboot serious=<UUID>
account    requisite    /usr/local/lib/security/pam_panic.so

Pour définir vos mots de passe, exécutez pam_panic_pw en tant que root dans votre shell préféré.

Voir man 8 pam_panic et man 1 pam_panic_pw pour plus d'informations.

• Traductions

Si vous voulez être sûr que votre mémoire est vide de toute information lors d'un redémarrage/arrêt, vous souhaiterez peut-être ajouter les options page_poison=on et slub_debug=P à vos arguments du noyau. Pour GRUB2, ajoutez-le simplement à votre entrée GRUB_CMDLINE_LINUX dans /etc/default/grub , puis effectuez une reconstruction de la configuration GRUB2 : grub-mkconfig -o /boot/grub/grub.cfg