Page 1 sur 1
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : dim. 25 juin 2023 16:02
par gabriel92
Bonjour,
Je possède une Zorin OS avec un partitionnement LVM chiffré, néanmoins j'ai vu que lors de la composition du mot de passe lors du démarrage, il n'y a aucun dispositif anti Brute-Force comme verrouiller temporairement les tentatives de déchiffrement. J'ai fait des recherches et des solutions comme libpam-faillock ou encore libpam-tally2 me sont apparus, mais ils sont absents des dépôts Zorin. Si quelqu'un a une idée, je suis preneur.
Merci d'avance pour l'aide !
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : dim. 25 juin 2023 21:40
par jlb
gabriel92 a écrit : ↑dim. 25 juin 2023 16:02
[...] des solutions comme libpam-faillock ou encore libpam-tally2 me sont apparus, mais ils sont absents des dépôts Zorin.
Je ne sais pas ce que tu as cherché,
@gabriel92, mais il y a déjà tout ce qu'il faut dans le répertoire "/etc/pam.d".
A toi d'apprendre comment configurer les fichiers pour obtenir ce que tu désires.
Quelques pages, rapidement trouvées pour te mettre le pied à l'étrier, mais il y en a d'autres :
N'hésite pas à poster un retour pour expliquer comment tu as fait.
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : dim. 25 juin 2023 23:04
par gabriel92
Merci pour ta réponse.
Tous les liens qui m'ont été présentés présente des solutions pour limiter les tentatives de connexion lors de la connexion des utilisateurs. Ce que je cherche avant tout à faire ces limités les tentatives lors du déchiffrement de la partition lors du boot. L'idée est que je considère le déchiffrement de la partition comme plus « critique » que la connexion d'un utilisateur.
J'avais déjà pris les dispositions nécessaires pour limiter le nombre de connexions pour un utilisateur.
Pour cela, il suffit d'ajouter dans /etc/pam.d/common-auth:
retry correspondant au nombre de tentatives autorisé.
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : lun. 26 juin 2023 09:04
par jlb
Merci pour ton explication,
@gabriel92.
Désolé, j'ai répondu par rapport à ce que tu disais...
Je suppose que tu connais tout de
LUKS et de
cryptsetup ? — Moi non...
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : lun. 26 juin 2023 09:46
par roger
gabriel92 a écrit : ↑dim. 25 juin 2023 16:02
J'ai fait des recherches et des solutions comme libpam-faillock ou encore libpam-tally2 me sont apparus, mais ils sont absents des dépôts Zorin. Si quelqu'un a une idée, je suis preneur.
Bonjour @Gabriel92
Les deux modules que tu cites travaillent avec le package "libpam-modules" qui est un package à installer depuis synaptic par exemple.
Voir ici:
https://github.com/linux-pam/linux-pam
Ils sont normalement installables sur debian mais aussi sur toute distros basées sur Ubuntu (dont Zorin OS s'inspire depuis sa création)
Il existe à ce jour 6 versions téléchargeables depuis la création de ce package bien précis, la liste étant sur cette page ainsi que le téléchargement direct de la version qui pourrait être la bonne chez toi.
==>
https://github.com/linux-pam/linux-pam/releases
Pour l'installation je fais dans le "traditionnel" synaptic étant bien meilleur que "Logiciel & touti" mais un spécialiste comme
@jlb pourrait lui te guider bien plus efficacement si tu devais passer par la lige de commande pour une installation "à la mano".
Sinon question sécurité quand on ne rentre pas la bonne séquence de code ou que l'on veut forcer la porte que j'ai refermé pour être tranquille chez moi, le meilleur outil au monde fonctionnant dans n'importe quel système d'exploitation c'est celui ci:
Garanti 100% efficace contre toute intrusion non désirée
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : lun. 26 juin 2023 10:47
par jlb
roger a écrit : ↑lun. 26 juin 2023 09:46
Les deux modules que tu cites travaillent avec le package "libpam-modules" qui est un package à installer depuis synaptic par exemple.
... s'il n'était installé d'origine dans Zorin 16 (Core ou Lite), dans la version "1.3.1-5ubuntu4.3" — comme dans LMDE5 d'ailleurs, et dans la plupart des distributions Linux sans doute.
Code : Tout sélectionner
vp libpam-modules (alias vp='dpkg -l | grep')
ii libpam-modules:amd64 1.4.0-9+deb11u1 amd64 Pluggable Authentication Modules for PAM
ii libpam-modules-bin 1.4.0-9+deb11u1 amd64 Pluggable Authentication Modules for PAM - helper binaries
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : lun. 26 juin 2023 23:27
par gabriel92
En effet, les modules étaient déjà disponibles, je ne m'en suis pas rendu compte vu que je cherchais les modules avec apt et non le paquet. Il nous faut juste ajouter ceci à /etc/pam.d/common-auth:
Code : Tout sélectionner
auth required pam_faillock.so preauth silent audit deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
deny et le nombre de tentatives autorisé et unlock_time la durée de verrouillage en seconde.
Merci pour le coup de main.
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : mar. 27 juin 2023 06:27
par roger
gabriel92 a écrit : ↑lun. 26 juin 2023 23:27
Merci pour le coup de main.
De rien Gabriel, surtout si ça marche chez toi reviens bien nous dire (enfin pour les autres qui auraient le même soucis que toi) ton impression sur l'efficacité du paquet "libpam-modules" sur ton zorin et surtout si c'est bien ce que tu recherchais comme cadenas dans cette distro là pour empêcher tout hack du mot de passe lors de la phase de login sur ta machine.
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : mar. 27 juin 2023 06:35
par roger
jlb a écrit : ↑lun. 26 juin 2023 10:47
s'il n'était installé d'origine dans Zorin 16 (Core ou Lite), dans la version "1.3.1-5ubuntu4.3" — comme dans LMDE5 d'ailleurs,
Chez moi (MLDE5) ce n'est pas installé d'office mais bien accessible depuis synaptic sans pour autant le trouver dans "Logitheque" son équivalent graphique...
D'où mon choix d'installer toujours synaptic sur mes distros ou (comme pour les puristes de la ligne de commande) passer par le terminal en suivant les conseils judicieux qui sont les tiens
@jlb par exemple
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : mar. 27 juin 2023 16:17
par jlb
roger a écrit : ↑mar. 27 juin 2023 06:35
Chez moi (MLDE5) ce n'est pas installé d'office mais bien accessible depuis synaptic sans pour autant le trouver dans "Logitheque" son équivalent graphique...
@roger,
@roger... je n'ai pas pour habitude d'affirmer sans avoir vérifié, si je le peux — c'est pour cela que j'ai installé une LMDE5 rien que pour toi, vu les retours surprenants que tu faisais sur un
précédent sujet.
Puisque tu m'y forces, je change de méthode : j'ai créé une VM "Machines" avec une LMDE5 et j'ai entré cette ligne dans le terminal sans avoir rien fait avant :
Voici la liste des paquets compris dans la distribution :
Un "CTRL F libpam-modules" confirmera ce que je disais — et je ne vois pas pourquoi ta LMDE5 serait différente...
Je vais d'ailleurs conserver ce fichier, comme ceux que j'ai faits pour Zorin 16 Core et Lite : c'est plus rapide pour vérifier.
Limiter le nombre de tentative de déchiffrement au démarrage
Posté : mar. 27 juin 2023 16:29
par jlb
gabriel92 a écrit : ↑lun. 26 juin 2023 23:27
En effet, les modules étaient déjà disponibles, je ne m'en suis pas rendu compte vu que je cherchais les modules avec apt et non le paquet.
C'est pourtant
ce que je t'avais répondu d'une autre façon,
@gabriel92...
Si ça correspond finalement à ce que tu cherchais, je suis content pour toi.
