Limiter le nombre de tentative de déchiffrement au démarrage

Message n° 1

Bonjour,

Je possède une Zorin OS avec un partitionnement LVM chiffré, néanmoins j'ai vu que lors de la composition du mot de passe lors du démarrage, il n'y a aucun dispositif anti Brute-Force comme verrouiller temporairement les tentatives de déchiffrement. J'ai fait des recherches et des solutions comme libpam-faillock ou encore libpam-tally2 me sont apparus, mais ils sont absents des dépôts Zorin. Si quelqu'un a une idée, je suis preneur.

Merci d'avance pour l'aide !

Message n° 2

gabriel92 a écrit : ↑dim. 25 juin 2023 16:02 [...] des solutions comme libpam-faillock ou encore libpam-tally2 me sont apparus, mais ils sont absents des dépôts Zorin.

Je ne sais pas ce que tu as cherché, @gabriel92, mais il y a déjà tout ce qu'il faut dans le répertoire "/etc/pam.d".

A toi d'apprendre comment configurer les fichiers pour obtenir ce que tu désires.
Quelques pages, rapidement trouvées pour te mettre le pied à l'étrier, mais il y en a d'autres :

N'hésite pas à poster un retour pour expliquer comment tu as fait.

Message n° 3

Merci pour ta réponse.
Tous les liens qui m'ont été présentés présente des solutions pour limiter les tentatives de connexion lors de la connexion des utilisateurs. Ce que je cherche avant tout à faire ces limités les tentatives lors du déchiffrement de la partition lors du boot. L'idée est que je considère le déchiffrement de la partition comme plus « critique » que la connexion d'un utilisateur.
J'avais déjà pris les dispositions nécessaires pour limiter le nombre de connexions pour un utilisateur.
Pour cela, il suffit d'ajouter dans /etc/pam.d/common-auth:

Code : Tout sélectionner

auth required pam_cracklib.so retry=3

retry correspondant au nombre de tentatives autorisé.

Message n° 4

Merci pour ton explication, @gabriel92.
Désolé, j'ai répondu par rapport à ce que tu disais...

Je suppose que tu connais tout de LUKS et de cryptsetup ? — Moi non...

Message n° 5

gabriel92 a écrit : ↑dim. 25 juin 2023 16:02 J'ai fait des recherches et des solutions comme libpam-faillock ou encore libpam-tally2 me sont apparus, mais ils sont absents des dépôts Zorin. Si quelqu'un a une idée, je suis preneur.

Bonjour @Gabriel92
Les deux modules que tu cites travaillent avec le package "libpam-modules" qui est un package à installer depuis synaptic par exemple.
Voir ici: https://github.com/linux-pam/linux-pam
Ils sont normalement installables sur debian mais aussi sur toute distros basées sur Ubuntu (dont Zorin OS s'inspire depuis sa création)
Il existe à ce jour 6 versions téléchargeables depuis la création de ce package bien précis, la liste étant sur cette page ainsi que le téléchargement direct de la version qui pourrait être la bonne chez toi.
==> https://github.com/linux-pam/linux-pam/releases
Pour l'installation je fais dans le "traditionnel" synaptic étant bien meilleur que "Logiciel & touti" mais un spécialiste comme @jlb pourrait lui te guider bien plus efficacement si tu devais passer par la lige de commande pour une installation "à la mano".

Sinon question sécurité quand on ne rentre pas la bonne séquence de code ou que l'on veut forcer la porte que j'ai refermé pour être tranquille chez moi, le meilleur outil au monde fonctionnant dans n'importe quel système d'exploitation c'est celui ci:

Garanti 100% efficace contre toute intrusion non désirée

Message n° 6

roger a écrit : ↑lun. 26 juin 2023 09:46 Les deux modules que tu cites travaillent avec le package "libpam-modules" qui est un package à installer depuis synaptic par exemple.

... s'il n'était installé d'origine dans Zorin 16 (Core ou Lite), dans la version "1.3.1-5ubuntu4.3" — comme dans LMDE5 d'ailleurs, et dans la plupart des distributions Linux sans doute.

Code : Tout sélectionner

vp libpam-modules (alias vp='dpkg -l | grep')

ii  libpam-modules:amd64                         1.4.0-9+deb11u1                        amd64        Pluggable Authentication Modules for PAM
ii  libpam-modules-bin                           1.4.0-9+deb11u1                        amd64        Pluggable Authentication Modules for PAM - helper binaries

Message n° 7

En effet, les modules étaient déjà disponibles, je ne m'en suis pas rendu compte vu que je cherchais les modules avec apt et non le paquet. Il nous faut juste ajouter ceci à /etc/pam.d/common-auth:

Code : Tout sélectionner

auth required pam_faillock.so preauth silent audit deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900

deny et le nombre de tentatives autorisé et unlock_time la durée de verrouillage en seconde.

Merci pour le coup de main.

Message n° 8

gabriel92 a écrit : ↑lun. 26 juin 2023 23:27 Merci pour le coup de main.

De rien Gabriel, surtout si ça marche chez toi reviens bien nous dire (enfin pour les autres qui auraient le même soucis que toi) ton impression sur l'efficacité du paquet "libpam-modules" sur ton zorin et surtout si c'est bien ce que tu recherchais comme cadenas dans cette distro là pour empêcher tout hack du mot de passe lors de la phase de login sur ta machine.

Message n° 9

jlb a écrit : ↑lun. 26 juin 2023 10:47 s'il n'était installé d'origine dans Zorin 16 (Core ou Lite), dans la version "1.3.1-5ubuntu4.3" — comme dans LMDE5 d'ailleurs,

Chez moi (MLDE5) ce n'est pas installé d'office mais bien accessible depuis synaptic sans pour autant le trouver dans "Logitheque" son équivalent graphique...

D'où mon choix d'installer toujours synaptic sur mes distros ou (comme pour les puristes de la ligne de commande) passer par le terminal en suivant les conseils judicieux qui sont les tiens @jlb par exemple

Message n° 10

roger a écrit : ↑mar. 27 juin 2023 06:35 Chez moi (MLDE5) ce n'est pas installé d'office mais bien accessible depuis synaptic sans pour autant le trouver dans "Logitheque" son équivalent graphique...

@roger, @roger... je n'ai pas pour habitude d'affirmer sans avoir vérifié, si je le peux — c'est pour cela que j'ai installé une LMDE5 rien que pour toi, vu les retours surprenants que tu faisais sur un précédent sujet.

Puisque tu m'y forces, je change de méthode : j'ai créé une VM "Machines" avec une LMDE5 et j'ai entré cette ligne dans le terminal sans avoir rien fait avant :

Code : Tout sélectionner

dpkg -l > LMDE5.txt

Voici la liste des paquets compris dans la distribution :

LMDE5.txt: (279.44 Kio) Téléchargé 187 fois

Un "CTRL F libpam-modules" confirmera ce que je disais — et je ne vois pas pourquoi ta LMDE5 serait différente...

Je vais d'ailleurs conserver ce fichier, comme ceux que j'ai faits pour Zorin 16 Core et Lite : c'est plus rapide pour vérifier.

Message n° 11

gabriel92 a écrit : ↑lun. 26 juin 2023 23:27 En effet, les modules étaient déjà disponibles, je ne m'en suis pas rendu compte vu que je cherchais les modules avec apt et non le paquet.

C'est pourtant ce que je t'avais répondu d'une autre façon, @gabriel92...

Si ça correspond finalement à ce que tu cherchais, je suis content pour toi.

Zorinos.fr