Lea Linux - Contributions [fr]

Chiffrer un système de fichiers avec Scatterlist Cryptographic API

2006-02-11T06:26:01Z

Lanjelot : /* Les outils */

[[Category:Administration système]]
= Crypter un système de fichiers =

<div class="leatitre">Crypter un système de fichiers</div><div class="leapar">par Meuh</div>

[[Image:cryptofs-couverture.jpg]] Depuis Linux version 2.4.22, le noyau stable intègre un ensemble d'algorithmes de cryptographie regroupés sous le nom de 'Scatterlist Cryptographic API'. Cette API est un 'backport' en provenance du kernel 2.5/2.6.

Grâce à cette API et à une extension du device loop, il est possible de crypter un système de fichiers. Nous allons apprendre ici à l'installer et à la configurer.

Il faut savoir qu'il existe deux versions d'API cryptographiques :

* celle de http://kerneli.org, disponible sous forme de patch pour les noyaux 2.2 et 2.4. Cette API est développée par [mailto:astor AT guardian.no Alexander Kjeldaas], [mailto:hvr AT gnu.org Hebert Valerio Riedel ], [mailto:kyle AT debian.org Kyle McMartin], [mailto:jlcooke AT certainkey.com Jean-Luc Cooke], [mailto:mutex AT mac.com David Bryson], [mailto:clemens AT endorphin.org Clemens Fruhwirth], [mailto:tori AT ringstrom.mine.nu Tobias Ringstrom], [mailto:laforge AT gnumonks.org Harald Welte].
* celle du noyau 2.5/2.6 et maintenant 2.4.22. Cette version est un dérivé simplifié d'API de [http://kerneli.org/ http://kerneli.org] destinée à l'implémentation d'IPSec. Elle a été développée par [mailto:lt;jmorris AT intercode.com.au James Morris] et [mailto:davem AT redhat.com David S. Miller]

À noter qu'il existe aussi la solution loop-AES développée par [mailto:jari.ruusu AT pp.inet.fi Jari Ruusu]. Voir plus loin.

=== Comment ça marche ===

Le loop device permet de simuler un périphérique en mode bloc à partir d'un fichier. C'est grâce à ce driver que l'on peut monter les images de CD-ROM au format ISO9660 :

<div class="code"><nowiki># mount -t iso9660 -o loop monimage.iso /cdrom</nowiki></div>

La cryptoloop insère les fonctions de cryptage dans les fonctions de lecture et d'écriture du loop device. Le loop device est donc utilisé pour convertir un fichier crypté en ''block device'' que l'on peut ensuite monter comme un disque normal. Tout ce qui est écrit sur ce système de fichier est crypté, autant les données que les méta-données (arborescence, noms de fichiers, droits d'accès, ...). L'accès aux fichiers est entièrement transparent, à part un temps d'accès plus important que l'accès direct.

La cryptoloop utilise l'API de cryptographie afin d'avoir accès aux différents algorithmes de cryptage ('cypher') enregistrés. Parmi les cyphers disponibles dans la 'scatterlist cryptoapi', on citera : AES(Rijndael), Blowfish, Twofish, Serpent et l'antique DES.

=== Prérequis ===

Bien que les algorithmes de cryptage soient présents dans le kernel 2.4.22, il n'y a pour l'instant aucun driver permettant de crypter un fichier, un système de fichiers, un disque ou le swap. Il faut toujours un patch pour étendre les fonctionnalités du périphérique loop, ceci afin d'y insérer les fonctions de cryptage à la volée. Pour la version 2.4, sont donc nécessaires :

* Les sources du noyau 2.4.22,
* Un patch cryptoloop pour étendre le fonctionnement du périphérique loop et intégrer le support de la cryptographie : soit patch-cryptoloop-jari-2.4.22.0, soit patch-cryptoloop-hvr-2.4.22.0 .

Le premier patch apporte un nombre conséquent de changements au driver loop mais permet en contrepartie de crypter le swap. Le deuxième patch applique le minimum de changements pour permettre le cryptage/décryptage. L'auteur recommande l'usage du premier car il calcule correctement les tailles des volumes si l'on fait usage des offsets (voir plus loin). <br /> Quant à la prochaine version stable du kernel, la 2.6, tout y est présent : API cryptographique, crypto loop device et IPSec, donc pas de patch à appliquer. <br /> Ensuite, il est nécessaire de disposer des outils en adéquation avec la version de la cryptoloop/cryptoapi : vérifiez si vous votre système ne dispose pas des util-linux 2.12 : <code> mount -V</code> Si ce n'est pas le cas, il vous faut alors :

* les sources de util-linux-2.12 : la dernière version intégre un support minimal de la cryptoapi, et supporte la nouvelle version de la loop device présente dans le 2.6.

Ou bien :

* les sources de util-linux-2.11z
* le patch util-linux-2.11z-crypto-v2.diff.bz2 développé par Jari Ruusu. Le patch de Jari supporte loop-AES, la crypto api, et des fonctions évoluées pour la saisie du mot de passe.

À noter que Debian (3.0 Woody) fournit une version d'util-linux intégrant les patchs pour la cryptoapi de kerneli.org et est inutilisable pour notre usage.

'''Remarque :''' Attention, lors de la mise à jour de vos outils, il est possible que d'une version (patch) d'util-linux à l'autre, la méthode pour étendre et/ou hasher le mot de passe peut être différente. Ce changement produisant alors un mot de passe incapable de décrypter vos données. L'auteur vous conseille d'utiliser les util-linux 2.12, nouvelle version qui va fixer la norme assurant la compatibilité future.

=== Le kernel ===

Pour les gens déjà au kernel 2.6, allez directement en 2.

# Appliquez le patch cryptoloop : <code>patch-cryptoloop-jari-2.4.22.0</code> ou <code>patch-cryptoloop-hvr-2.4.22.0</code> : <div class="code">$ cd /usr/src/linux<br /> $ bzcat <chemin>/patch-cryptoloop-<version>-2.4.22.0.bz2 | patch -p1 -E</div>
# Configurez le kernel : <code>make menuconfig</code> ou <code>make xconfig</code> Section [Block devices] : activez les modules correspondants aux périphériques loop et cryptoloop. Section [Cryptographic options] : activez le support de la crypto : tous les ''cyphers'' en modules
# Si vous n'utilisiez pas déjà le kernel 2.6 ou 2.4.22 avec le support du loop device en module ou que l'opération de chargement a échoué, il faut recompiler un noyau : utilisez la commande correspondant à votre architecture, bien souvent : <div class="code">$ make bzImage </div> Installez ensuite votre noyau suivant la procédure adaptée à votre distribution.
# Déchargez si nécessaire le module loop.o, recompilez et installez les modules (suivez la procédure de votre distribution si possible) : <div class="code">$ make modules<br /> # make modules_install</div> et pensez à rebooter votre système si vous avez changé de noyau.
# Finalement (re)chargez loop.o, puis cryptoloop.o. <div class="code"><nowiki># modprobe loop</nowiki><br /> # modprobe cryptoloop</div> Si le chargement échoue, recommencez à l'étape 3. Si cela ne marche toujours pas, attendez la prochaine version de ce guide.

=== Les outils ===

Pour manipuler le loop device patché, il faut une version adéquate de ''lomount''. Cet outil, que l'on trouve généralement dans le répertoire /sbin, fait partie des util-linux. Comme précisé précédemment, la version 2.12 intègre un support de la cryptoloop, mais ne fournit pas tous les services que la version 2.11z avec le patch Jari.

Si actuellement vous n'avez pas les util-linux 2.12 :

# Décompactez les sources d'util-linux, soit 2.12 soit 2.11z <div class="code">$ tar xzf util-linux-<version>.tar.gz</div>
# déplacez-vous dans le répertoire fraîchement créé <div class="code">cd util-linux-<version></div>
# Si vous décidez d'utiliser la version 2.11z avec le patch de Jari, appliquez le patch : <div class="code">$ bzcat util-linux-2.11z-crypto-v2.diff.bz2 | patch -p1 -E</div>
# Configuration et compilation : <div class="code">$ ./configure<br /> $ cd lib; make ; cd ../mount; make</div>
# Copiez ensuite mount, umount dans /usr/local/bin, losetup dans /usr/local/sbin. Vous pouvez aussi écraser les fichiers originaux dans /bin et /sbin, mais ce n'est certainement pas ce que souhaite votre distribution. <div class="code"><nowiki># cp mount umount /usr/local/bin/</nowiki><br /> # cp losetup /usr/local/sbin/</div>

=== Création et montage ===

Nous allons préparer un système de fichiers crypté pour un utilisateur en particulier. Le système de fichier sera monté dans le répertoire ''home'' de cet utilisateur.

On pourra aussi utiliser une autre arborescence reprenant la même structure que /home mais dédiée aux données cryptées : /crypt/''user''/ contenant le container crypté et le système de fichiers crypté pour chaque utilisateur. Ce choix est laissé au soin du lecteur.

Voici la liste des commandes à utiliser lors la création de votre container crypté :

'''$''' signifie que la commande est lancée en tant qu'utilisateur lambda, '''<nowiki>#</nowiki>''' signifie que la commande requiert les droits du super utilisateur (root).

'''Définition des variables d'environnement :'''

On définit les chemins et les paramètres de cryptage. On spécifie le nom du fichier qui va contenir le système de fichiers crypté. Ce fichier est appelé par la suite ''container''.

<div class="code">-- choix d'un périphérique loop disponible, entre 0 et 7<br /> -- si vous utilisez devfs, vous pouvez utilisez /dev/loop/X<br /> $ LOOP=/dev/loop0<br /> -- point de montage du système de fichiers crypté<br /> -- c'est aussi dans ce répertoire que l'on va placer le container<br /> $ MOUNTPOINT=$HOME/crypt<br /> -- nom du fichier crypté contenant le système de fichiers<br /> $ CONTAINER=$MOUNTPOINT/.crypt.img<br /> -- algorithme utilisé : AES(rijndael), le vainqueur du concours du NIST<br /> $ CYPHER=aes<br /> -- lecture de l'offset dans le fichier<br /> -- utilisé en plus du mot de passe, peut sécuriser encore plus le container<br /> -- l'offset est calculé en nombre de secteur pour satisfaire une contrainte<br /> -- de la cryptoloop : les cyphers travaillent par bloc et non pas par flux. <br /> $ read sector<br /> $ OFFSET=$(($sector*512))<br /> -- taille du container en Mo<br /> $ read SIZE</div>

'''Création du container :'''

<div class="code"> -- création du container crypté<br /> -- il est rempli de données pseudo-aléatoires afin de compliquer<br /> -- les attaques par force brute<br /> -- (surtout ne pas utiliser /dev/zero pour remplir le container crypté)<br /> $ mkdir -p $MOUNTPOINT<br /> $ dd if=/dev/urandom of=$CONTAINER bs=1M count=$SIZE<br /> $ chmod 600 $CONTAINER</div>

'''Activation :'''

C'est à ce moment que le système va vous demander de choisir un mot de passe.

'''Note :''' Avec les util-linux 2.12, il est impossible de choisir la taille de la clé, fixée à 256 bits (32 octets). De plus le mot de passe n'est pas étendu/hashé, donc utilisez un mot de passe d'une taille avoisinant les 32 caractères.

<div class="code"> -- chargement des modules <br /> # modprobe loop<br /> # modprobe cryptoloop<br /> # modprobe aes<br /><br /> -- activation de la cryptoloop, saisie du mot de passe<br /> # /usr/local/sbin/losetup -e $CYPHER -o $OFFSET $LOOP $CONTAINER<br /><br /> -- affichage des informations sur le loop device configuré<br /> # /usr/local/sbin/losetup $LOOP</div>

'''Initialisation :'''

Création du système de fichier, on utilise ici ext3fs, la version journalisée du système de fichiers ext2fs. Cela a pour avantage de limiter les risques de corruption des méta données dans le container, mais c'est coûteux en ressources si le système de fichiers où se trouve le container est lui aussi journalisé.

<div class="code">-- création d'un système de fichiers utilisable<br /> -- à 100% par les utilisateurs normaux, non privilégiés.<br /> # mkfs.ext3 -j -m 0 -L "home-crypt" $LOOP<br /><br /> -- montage de ce système de fichiers<br /> -- ATTENTION : le container crypté devient inaccessible <br /> -- pour le commun des mortels<br /> # mount -t ext3 $LOOP $MOUNTPOINT<br /><br /> -- on donne les droits à l'utilisateur<br /> # chown <user> :<group> $MOUNTPOINT<br /><br /> -- l'utilisateur sécurise l'accès à son système de fichiers crypté<br /> $ chmod 700 $MOUNTPOINT<br /><br /> -- démontage<br /> # umount $MOUNTPOINT<br /><br /> -- suppression du device<br /> -- note : n'importe quel losetup fera l'affaire ici<br /> # losetup -d $LOOP</div>

Si la création du système de fichiers échoue à cause d'une écriture en dehors du périphérique, c'est que vous faites usage de l'offset avec une version de la loop device qui ne le gère pas correctement. Dans ce cas vous pouvez changer de patch ou alors calculer le nombre de blocs disponibles pour le système de fichiers et passer cette valeur à mkfs.ext3 : (taille du container / 512) - offset .

'''Au final :'''

Maintenant que tout est prêt, on peut monter le container de façon ''intégré'' en une seule opération :

<div class="code"> -- ensuite, activation de la loop et montage, en une seule commande<br /> # /usr/local/bin/mount -t ext3 -o defaults,user,exec,loop,encryption=$CYPHER,offset=$OFFSET $CONTAINER $MOUNTPOINT<br /><br /> -- et démontage si nécessaire<br /> # /usr/local/bin/umount $MOUNTPOINT</div>

Malheureusement, seul root a la possibilité de monter le container crypté. Dans /etc/fstab, une option user=xxx ou group=xxx autorisant seulement un utilisateur ou un groupe d'utilisateur à monter/démonter un système de fichier serait intéressante ici : une idée à creuser.

Pour l'instant, l'administrateur peut créer un script contenant toutes les commandes nécessaires, et autoriser l'utilisateur à exécuter ce script grâce à 'sudo'.

'''NOTE :''' attention, ici on monte le container crypté par dessus le répertoire le contenant. Quand il est monté, cela rend son accès impossible pour l'utilisateur lambda. Cela évite que l'on puisse effectuer une recherche de clé de cryptage par force brute en comparant le système de fichier décrypté et le container crypté. Mais cette astuce permet surtout d'éviter de modifier le container pendant qu'il est monté.

=== Changement de clé, d'algorithme, etc ===

Vous serez probablement amenés à changer de mot de passe ou d'algorithme de cryptage. L'opération n'est pas transparente : elle nécessite la création d'un nouveau container et la recopie des informations contenues dans l'ancien.

Deux solutions sont disponibles : la copie brute du container ou la copie des fichiers.

==== Copie brute ====

Ici on effectue une copie bloc pour bloc des loop devices :

<div class="code">-- Déplacement de l'ancien container<br /> $ mv $CONTAINER ${CONTAINER}.old<br /> -- Création du nouveau container au minimum de la même taille que l'ancien<br /> -- en sachant qu'une taille supérieure ne sera pas directement utilisée<br /> -- Attention aussi au changement d'offset : un offset plus grand implique<br /> -- une taille plus importante.<br /> $ dd if=/dev/urandom of=$CONTAINER bs=1M count=<size> <br /> -- configuration du loop device pour le nouveau container<br /> # /usr/local/sbin/losetup -e <NEWCYPHER> [-o <NEWOFFSET>] $LOOP $CONTAINER<br /> -- configuration du loop device pour l'ancien container<br /> # /usr/local/sbin/losetup -e <OLDCYPHER> [-o <OLDOFFSET>] /dev/loop1 ${CONTAINER}.old<br /> -- recopie des données<br /> # dd if=/dev/loop1 of=$LOOP bs=1M<br /> -- Vérifiez que vos données sont bien présentes<br /> # mount $LOOP $MOUNTPOINT<br /> -- Suppression de l'ancien container<br /> # losetup -d /dev/loop1<br /> $ rm ${CONTAINER}.old</div>

Il est possible de spécifier une taille plus grande, de copier les données avec dd, et ensuite d'utiliser un outil comme ''resize2fs'' pour agrandir le système de fichiers. Cet exercice est laissé au soin des lecteurs aventureux.

==== Copie de fichiers ====

Cette fois, nous allons copier les fichiers présents dans le container :

<div class="code">-- Déplacement de l'ancien container<br /> $ mv $CONTAINER ${CONTAINER}.old</div>

Ensuite il faut créer un nouveau container en suivant la même marche à suivre qu'au début. Ce nouveau container doit être suffisament grand pour contenir un système de fichiers contenant les fichiers de l'ancien container. De plus, la remarque précédente au sujet des offsets s'applique ici aussi.

Avant de monter le nouveau container, activez l'ancien :

<div class="code">-- configuration du loop device pour l'ancien container<br /> # losetup -e <OLDCYPHER> [-o <OLDOFFSET>] /dev/loop/1 ${CONTAINER}.old</div>

Montez ensuite le nouveau container et l'ancien :

<div class="code"><nowiki># mount $LOOP $MOUNTPOINT</nowiki><br /> -- montage de l'ancien container dans un répertoire temporaire<br /> # mount /dev/loop1 <tmp_mountpoint></div>

Recopiez ensuite les fichiers :

<div class="code">-- recopie des fichiers<br /> $ cd <tmp_mountpoint><br /> $ cp -Rdp .??* * $MOUNTPOINT/<br /> $ cd ..</div>

Supprimez ensuite l'ancien container :

<div class="code">-- suppression de l'ancien container<br /> # umount <tmp_mountpoint><br /> # losetup -d /dev/loop1<br /> # umount $MOUNTPOINT<br /> $ rm ${CONTAINER}.old</div>

La deuxième solution permet un changement de type de système de fichiers et un redimensionnement simple du système de fichiers, mais nécessite de monter deux fois le container, exposant deux fois les données non cryptées.

=== Présentation succinte de Loop-AES ===

Loop-AES développée par [mailto:jari .ruusu@pp.inet.fi Jari Ruusu], n'est pas une API de cryptographie générique, ce patch ne fournit que les services de cryptage de volumes. Loop-AES offre plus d'algorithmes que son nom ne le laisse croire : twofish, blowfish, mars et rc6 sont supportés en plus d'AES. Cette solution de cryptage est moins générique mais plus performante que les autres de par sa spécialisation.

=== Quelques remarques concernant la sécurité ===

Quelques rappels sur la sécurité...

# Soyez paranoïaque.
# Vérifiez que les personnes qui vous parlent de cryptographie ne sont pas des petits malins qui cherchent à vous induire en erreur.
# Utilisez GnuPG et/ou MD5 pour vérifier les signatures de toutes les sources et patches que vous utilisez.
# à l'intérieur du système de fichiers crypté, ne pas crypter des fichiers avec le même algorithme et le même mot de passe : ces fichiers risqueraient d'apparaitre en clair$ dans le container. On fait usage d'algorithme de cryptage symétrique, la même clé est utilisée pour crypter et décrypter, et bien souvent la même fonction assure le cryptage et le décryptage : on crypte une fois pour obtenir l'information cryptée, on recrypte une deuxième fois pour obtenir l'information en clair.
# Ne pas exporter votre container ni votre système de fichiers crypté : NFS, FTP, Samba, etc... sont à proscrire. Quel intéret de crypter vos données si vous les faites circuler en clair. Utilisez des protocoles sécurisés (SSH, VPN) pour transmettre vos fichiers, cryptés eux-mêmes si besoin.
# Protégez votre ordinateur :

* empêchez l'ouverture de l'ordinateur,
* empêchez l'utilisation de disque d'amorçage autre que le disque dur,
* sécurisez l'amorçage du système d'exploitation : une personne non autorisée ne doit pas pouvoir passer de paramètres au noyau.
* ne laisser jamais de session ouverte sans protection, verrouillez votre terminal dès que vous le quittez.
* archivez vos données de façon cryptée.

# Ne stockez vos mots de passe que dans votre tête.
# Et ne croyez pas qu'en sachant tout cela vous êtes en sécurité.

=== Conclusion ===

Nous avons vu comment crypter un système de fichiers contenu dans un fichier. Pour allez plus loin, on peut utiliser une partition en lieu et place du fichier container.

Il est maintenant 'facile' de crypter ses données avec le noyau Linux, même s'il faut toujours un patch pour la version 2.4. À terme, la version 2.6 de linux plus les util-linux 2.12 offriront à tout un chacun la possibilité de crypter des systèmes de fichiers.

Ensuite à chacun de voir s'il a besoin de crypter ses données et s'il a confiance dans les algorithmes du kernel.

=== Liens ===

* Crypto API (original) http://www.kerneli.org/
* Util Linux 2.12 : [http://www.kernel.org/pub/linux/utils/util-linux/ http://www.kernel.org/pub/linux/uti...]
* Patchs cryptoloop pour le kernel 2.4.22 : <br />[http://www.kernel.org/pub/linux/kernel/people/hvr/testing/ http://www.kernel.org/pub/linux/ker...]<br />[http://www.kernel.org/pub/linux/kernel/people/hvr/ http://www.kernel.org/pub/linux/ker...]<br />http://encryptionhowto.sourceforge.net/
* patch util-linux 2.11z (Jari Ruusu) :<br />http://therapy.endorphin.org/patches/<br />[http://www.kerneli.org/pipermail/cryptoapi-devel/2003-June/000578.html http://www.kerneli.org/pipermail/cr...]
* patches pour étendre les util-linux 2.12 : [http://www.stwing.org/%7Esluskyb/util-linux/ http://www.stwing.org/~sluskyb/util...]
* explication cryptoapi : [http://www.kerneli.org/pipermail/cryptoapi-devel/2003-July/000591.html http://www.kerneli.org/pipermail/cr...]
* quelques informations :<br />http://www.abeowitz.com/crypto/<br />[http://sourceforge.net/projects/cryptoapi/ http://sourceforge.net/projects/cry...]
* crypto api 2.5 par James Morris : [http://samba.org/%7Ejamesm/crypto/ http://samba.org/~jamesm/crypto/]
* Le projet de cryptographie (loop + crypto) de Jari : http://loopaes.sourceforge.net/

Copyright

Copyright (C) 2003 [mailto:ydroneaud @meuh.eu.org Yann Droneaud] Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Meuh le 09/09/2002.</div>

= Copyright =
Copyright © 09/09/2002, Meuh
{{CC-BY-NC-SA}}

Chiffrer un système de fichiers avec Scatterlist Cryptographic API

2006-02-11T06:23:09Z

Lanjelot : /* Prérequis */

[[Category:Administration système]]
= Crypter un système de fichiers =

<div class="leatitre">Crypter un système de fichiers</div><div class="leapar">par Meuh</div>

[[Image:cryptofs-couverture.jpg]] Depuis Linux version 2.4.22, le noyau stable intègre un ensemble d'algorithmes de cryptographie regroupés sous le nom de 'Scatterlist Cryptographic API'. Cette API est un 'backport' en provenance du kernel 2.5/2.6.

Grâce à cette API et à une extension du device loop, il est possible de crypter un système de fichiers. Nous allons apprendre ici à l'installer et à la configurer.

Il faut savoir qu'il existe deux versions d'API cryptographiques :

* celle de http://kerneli.org, disponible sous forme de patch pour les noyaux 2.2 et 2.4. Cette API est développée par [mailto:astor AT guardian.no Alexander Kjeldaas], [mailto:hvr AT gnu.org Hebert Valerio Riedel ], [mailto:kyle AT debian.org Kyle McMartin], [mailto:jlcooke AT certainkey.com Jean-Luc Cooke], [mailto:mutex AT mac.com David Bryson], [mailto:clemens AT endorphin.org Clemens Fruhwirth], [mailto:tori AT ringstrom.mine.nu Tobias Ringstrom], [mailto:laforge AT gnumonks.org Harald Welte].
* celle du noyau 2.5/2.6 et maintenant 2.4.22. Cette version est un dérivé simplifié d'API de [http://kerneli.org/ http://kerneli.org] destinée à l'implémentation d'IPSec. Elle a été développée par [mailto:lt;jmorris AT intercode.com.au James Morris] et [mailto:davem AT redhat.com David S. Miller]

À noter qu'il existe aussi la solution loop-AES développée par [mailto:jari.ruusu AT pp.inet.fi Jari Ruusu]. Voir plus loin.

=== Comment ça marche ===

Le loop device permet de simuler un périphérique en mode bloc à partir d'un fichier. C'est grâce à ce driver que l'on peut monter les images de CD-ROM au format ISO9660 :

<div class="code"><nowiki># mount -t iso9660 -o loop monimage.iso /cdrom</nowiki></div>

La cryptoloop insère les fonctions de cryptage dans les fonctions de lecture et d'écriture du loop device. Le loop device est donc utilisé pour convertir un fichier crypté en ''block device'' que l'on peut ensuite monter comme un disque normal. Tout ce qui est écrit sur ce système de fichier est crypté, autant les données que les méta-données (arborescence, noms de fichiers, droits d'accès, ...). L'accès aux fichiers est entièrement transparent, à part un temps d'accès plus important que l'accès direct.

La cryptoloop utilise l'API de cryptographie afin d'avoir accès aux différents algorithmes de cryptage ('cypher') enregistrés. Parmi les cyphers disponibles dans la 'scatterlist cryptoapi', on citera : AES(Rijndael), Blowfish, Twofish, Serpent et l'antique DES.

=== Prérequis ===

Bien que les algorithmes de cryptage soient présents dans le kernel 2.4.22, il n'y a pour l'instant aucun driver permettant de crypter un fichier, un système de fichiers, un disque ou le swap. Il faut toujours un patch pour étendre les fonctionnalités du périphérique loop, ceci afin d'y insérer les fonctions de cryptage à la volée. Pour la version 2.4, sont donc nécessaires :

* Les sources du noyau 2.4.22,
* Un patch cryptoloop pour étendre le fonctionnement du périphérique loop et intégrer le support de la cryptographie : soit patch-cryptoloop-jari-2.4.22.0, soit patch-cryptoloop-hvr-2.4.22.0 .

Le premier patch apporte un nombre conséquent de changements au driver loop mais permet en contrepartie de crypter le swap. Le deuxième patch applique le minimum de changements pour permettre le cryptage/décryptage. L'auteur recommande l'usage du premier car il calcule correctement les tailles des volumes si l'on fait usage des offsets (voir plus loin). <br /> Quant à la prochaine version stable du kernel, la 2.6, tout y est présent : API cryptographique, crypto loop device et IPSec, donc pas de patch à appliquer. <br /> Ensuite, il est nécessaire de disposer des outils en adéquation avec la version de la cryptoloop/cryptoapi : vérifiez si vous votre système ne dispose pas des util-linux 2.12 : <code> mount -V</code> Si ce n'est pas le cas, il vous faut alors :

* les sources de util-linux-2.12 : la dernière version intégre un support minimal de la cryptoapi, et supporte la nouvelle version de la loop device présente dans le 2.6.

Ou bien :

* les sources de util-linux-2.11z
* le patch util-linux-2.11z-crypto-v2.diff.bz2 développé par Jari Ruusu. Le patch de Jari supporte loop-AES, la crypto api, et des fonctions évoluées pour la saisie du mot de passe.

À noter que Debian (3.0 Woody) fournit une version d'util-linux intégrant les patchs pour la cryptoapi de kerneli.org et est inutilisable pour notre usage.

'''Remarque :''' Attention, lors de la mise à jour de vos outils, il est possible que d'une version (patch) d'util-linux à l'autre, la méthode pour étendre et/ou hasher le mot de passe peut être différente. Ce changement produisant alors un mot de passe incapable de décrypter vos données. L'auteur vous conseille d'utiliser les util-linux 2.12, nouvelle version qui va fixer la norme assurant la compatibilité future.

=== Le kernel ===

Pour les gens déjà au kernel 2.6, allez directement en 2.

# Appliquez le patch cryptoloop : <code>patch-cryptoloop-jari-2.4.22.0</code> ou <code>patch-cryptoloop-hvr-2.4.22.0</code> : <div class="code">$ cd /usr/src/linux<br /> $ bzcat <chemin>/patch-cryptoloop-<version>-2.4.22.0.bz2 | patch -p1 -E</div>
# Configurez le kernel : <code>make menuconfig</code> ou <code>make xconfig</code> Section [Block devices] : activez les modules correspondants aux périphériques loop et cryptoloop. Section [Cryptographic options] : activez le support de la crypto : tous les ''cyphers'' en modules
# Si vous n'utilisiez pas déjà le kernel 2.6 ou 2.4.22 avec le support du loop device en module ou que l'opération de chargement a échoué, il faut recompiler un noyau : utilisez la commande correspondant à votre architecture, bien souvent : <div class="code">$ make bzImage </div> Installez ensuite votre noyau suivant la procédure adaptée à votre distribution.
# Déchargez si nécessaire le module loop.o, recompilez et installez les modules (suivez la procédure de votre distribution si possible) : <div class="code">$ make modules<br /> # make modules_install</div> et pensez à rebooter votre système si vous avez changé de noyau.
# Finalement (re)chargez loop.o, puis cryptoloop.o. <div class="code"><nowiki># modprobe loop</nowiki><br /> # modprobe cryptoloop</div> Si le chargement échoue, recommencez à l'étape 3. Si cela ne marche toujours pas, attendez la prochaine version de ce guide.

=== Les outils ===

Pour manipuler le loop device patché, il faut une version adéquate de ''lomount''. Cet outil, que l'on trouve généralement dans le répertoire /sbin, fait partie des util-linux. Comme précis& précédemment, la version 2.12 intègre un support de la cryptoloop, mais ne fournit pas tous les services que la version 2.11z avec le patch Jari.

Si actuellement vous n'avez pas les util-linux 2.12 :

# Décompactez les sources d'util-linux, soit 2.12 soit 2.11z <div class="code">$ tar xzf util-linux-<version>.tar.gz</div>
# déplacez-vous dans le répertoire fraîchement créé <div class="code">cd util-linux-<version></div>
# Si vous décidez d'utiliser la version 2.11z avec le patch de Jari, appliquez le patch : <div class="code">$ bzcat util-linux-2.11z-crypto-v2.diff.bz2 | patch -p1 -E</div>
# Configuration et compilation : <div class="code">$ ./configure<br /> $ cd lib; make ; cd ../mount; make</div>
# Copiez ensuite mount, umount dans /usr/local/bin, losetup dans /usr/local/sbin. Vous pouvez aussi écraser les fichiers originaux dans /bin et /sbin, mais ce n'est certainement pas ce que souhaite votre distribution. <div class="code"><nowiki># cp mount umount /usr/local/bin/</nowiki><br /> # cp losetup /usr/local/sbin/</div>

=== Création et montage ===

Nous allons préparer un système de fichiers crypté pour un utilisateur en particulier. Le système de fichier sera monté dans le répertoire ''home'' de cet utilisateur.

On pourra aussi utiliser une autre arborescence reprenant la même structure que /home mais dédiée aux données cryptées : /crypt/''user''/ contenant le container crypté et le système de fichiers crypté pour chaque utilisateur. Ce choix est laissé au soin du lecteur.

Voici la liste des commandes à utiliser lors la création de votre container crypté :

'''$''' signifie que la commande est lancée en tant qu'utilisateur lambda, '''<nowiki>#</nowiki>''' signifie que la commande requiert les droits du super utilisateur (root).

'''Définition des variables d'environnement :'''

On définit les chemins et les paramètres de cryptage. On spécifie le nom du fichier qui va contenir le système de fichiers crypté. Ce fichier est appelé par la suite ''container''.

<div class="code">-- choix d'un périphérique loop disponible, entre 0 et 7<br /> -- si vous utilisez devfs, vous pouvez utilisez /dev/loop/X<br /> $ LOOP=/dev/loop0<br /> -- point de montage du système de fichiers crypté<br /> -- c'est aussi dans ce répertoire que l'on va placer le container<br /> $ MOUNTPOINT=$HOME/crypt<br /> -- nom du fichier crypté contenant le système de fichiers<br /> $ CONTAINER=$MOUNTPOINT/.crypt.img<br /> -- algorithme utilisé : AES(rijndael), le vainqueur du concours du NIST<br /> $ CYPHER=aes<br /> -- lecture de l'offset dans le fichier<br /> -- utilisé en plus du mot de passe, peut sécuriser encore plus le container<br /> -- l'offset est calculé en nombre de secteur pour satisfaire une contrainte<br /> -- de la cryptoloop : les cyphers travaillent par bloc et non pas par flux. <br /> $ read sector<br /> $ OFFSET=$(($sector*512))<br /> -- taille du container en Mo<br /> $ read SIZE</div>

'''Création du container :'''

<div class="code"> -- création du container crypté<br /> -- il est rempli de données pseudo-aléatoires afin de compliquer<br /> -- les attaques par force brute<br /> -- (surtout ne pas utiliser /dev/zero pour remplir le container crypté)<br /> $ mkdir -p $MOUNTPOINT<br /> $ dd if=/dev/urandom of=$CONTAINER bs=1M count=$SIZE<br /> $ chmod 600 $CONTAINER</div>

'''Activation :'''

C'est à ce moment que le système va vous demander de choisir un mot de passe.

'''Note :''' Avec les util-linux 2.12, il est impossible de choisir la taille de la clé, fixée à 256 bits (32 octets). De plus le mot de passe n'est pas étendu/hashé, donc utilisez un mot de passe d'une taille avoisinant les 32 caractères.

<div class="code"> -- chargement des modules <br /> # modprobe loop<br /> # modprobe cryptoloop<br /> # modprobe aes<br /><br /> -- activation de la cryptoloop, saisie du mot de passe<br /> # /usr/local/sbin/losetup -e $CYPHER -o $OFFSET $LOOP $CONTAINER<br /><br /> -- affichage des informations sur le loop device configuré<br /> # /usr/local/sbin/losetup $LOOP</div>

'''Initialisation :'''

Création du système de fichier, on utilise ici ext3fs, la version journalisée du système de fichiers ext2fs. Cela a pour avantage de limiter les risques de corruption des méta données dans le container, mais c'est coûteux en ressources si le système de fichiers où se trouve le container est lui aussi journalisé.

<div class="code">-- création d'un système de fichiers utilisable<br /> -- à 100% par les utilisateurs normaux, non privilégiés.<br /> # mkfs.ext3 -j -m 0 -L "home-crypt" $LOOP<br /><br /> -- montage de ce système de fichiers<br /> -- ATTENTION : le container crypté devient inaccessible <br /> -- pour le commun des mortels<br /> # mount -t ext3 $LOOP $MOUNTPOINT<br /><br /> -- on donne les droits à l'utilisateur<br /> # chown <user> :<group> $MOUNTPOINT<br /><br /> -- l'utilisateur sécurise l'accès à son système de fichiers crypté<br /> $ chmod 700 $MOUNTPOINT<br /><br /> -- démontage<br /> # umount $MOUNTPOINT<br /><br /> -- suppression du device<br /> -- note : n'importe quel losetup fera l'affaire ici<br /> # losetup -d $LOOP</div>

Si la création du système de fichiers échoue à cause d'une écriture en dehors du périphérique, c'est que vous faites usage de l'offset avec une version de la loop device qui ne le gère pas correctement. Dans ce cas vous pouvez changer de patch ou alors calculer le nombre de blocs disponibles pour le système de fichiers et passer cette valeur à mkfs.ext3 : (taille du container / 512) - offset .

'''Au final :'''

Maintenant que tout est prêt, on peut monter le container de façon ''intégré'' en une seule opération :

<div class="code"> -- ensuite, activation de la loop et montage, en une seule commande<br /> # /usr/local/bin/mount -t ext3 -o defaults,user,exec,loop,encryption=$CYPHER,offset=$OFFSET $CONTAINER $MOUNTPOINT<br /><br /> -- et démontage si nécessaire<br /> # /usr/local/bin/umount $MOUNTPOINT</div>

Malheureusement, seul root a la possibilité de monter le container crypté. Dans /etc/fstab, une option user=xxx ou group=xxx autorisant seulement un utilisateur ou un groupe d'utilisateur à monter/démonter un système de fichier serait intéressante ici : une idée à creuser.

Pour l'instant, l'administrateur peut créer un script contenant toutes les commandes nécessaires, et autoriser l'utilisateur à exécuter ce script grâce à 'sudo'.

'''NOTE :''' attention, ici on monte le container crypté par dessus le répertoire le contenant. Quand il est monté, cela rend son accès impossible pour l'utilisateur lambda. Cela évite que l'on puisse effectuer une recherche de clé de cryptage par force brute en comparant le système de fichier décrypté et le container crypté. Mais cette astuce permet surtout d'éviter de modifier le container pendant qu'il est monté.

=== Changement de clé, d'algorithme, etc ===

Vous serez probablement amenés à changer de mot de passe ou d'algorithme de cryptage. L'opération n'est pas transparente : elle nécessite la création d'un nouveau container et la recopie des informations contenues dans l'ancien.

Deux solutions sont disponibles : la copie brute du container ou la copie des fichiers.

==== Copie brute ====

Ici on effectue une copie bloc pour bloc des loop devices :

<div class="code">-- Déplacement de l'ancien container<br /> $ mv $CONTAINER ${CONTAINER}.old<br /> -- Création du nouveau container au minimum de la même taille que l'ancien<br /> -- en sachant qu'une taille supérieure ne sera pas directement utilisée<br /> -- Attention aussi au changement d'offset : un offset plus grand implique<br /> -- une taille plus importante.<br /> $ dd if=/dev/urandom of=$CONTAINER bs=1M count=<size> <br /> -- configuration du loop device pour le nouveau container<br /> # /usr/local/sbin/losetup -e <NEWCYPHER> [-o <NEWOFFSET>] $LOOP $CONTAINER<br /> -- configuration du loop device pour l'ancien container<br /> # /usr/local/sbin/losetup -e <OLDCYPHER> [-o <OLDOFFSET>] /dev/loop1 ${CONTAINER}.old<br /> -- recopie des données<br /> # dd if=/dev/loop1 of=$LOOP bs=1M<br /> -- Vérifiez que vos données sont bien présentes<br /> # mount $LOOP $MOUNTPOINT<br /> -- Suppression de l'ancien container<br /> # losetup -d /dev/loop1<br /> $ rm ${CONTAINER}.old</div>

Il est possible de spécifier une taille plus grande, de copier les données avec dd, et ensuite d'utiliser un outil comme ''resize2fs'' pour agrandir le système de fichiers. Cet exercice est laissé au soin des lecteurs aventureux.

==== Copie de fichiers ====

Cette fois, nous allons copier les fichiers présents dans le container :

<div class="code">-- Déplacement de l'ancien container<br /> $ mv $CONTAINER ${CONTAINER}.old</div>

Ensuite il faut créer un nouveau container en suivant la même marche à suivre qu'au début. Ce nouveau container doit être suffisament grand pour contenir un système de fichiers contenant les fichiers de l'ancien container. De plus, la remarque précédente au sujet des offsets s'applique ici aussi.

Avant de monter le nouveau container, activez l'ancien :

<div class="code">-- configuration du loop device pour l'ancien container<br /> # losetup -e <OLDCYPHER> [-o <OLDOFFSET>] /dev/loop/1 ${CONTAINER}.old</div>

Montez ensuite le nouveau container et l'ancien :

<div class="code"><nowiki># mount $LOOP $MOUNTPOINT</nowiki><br /> -- montage de l'ancien container dans un répertoire temporaire<br /> # mount /dev/loop1 <tmp_mountpoint></div>

Recopiez ensuite les fichiers :

<div class="code">-- recopie des fichiers<br /> $ cd <tmp_mountpoint><br /> $ cp -Rdp .??* * $MOUNTPOINT/<br /> $ cd ..</div>

Supprimez ensuite l'ancien container :

<div class="code">-- suppression de l'ancien container<br /> # umount <tmp_mountpoint><br /> # losetup -d /dev/loop1<br /> # umount $MOUNTPOINT<br /> $ rm ${CONTAINER}.old</div>

La deuxième solution permet un changement de type de système de fichiers et un redimensionnement simple du système de fichiers, mais nécessite de monter deux fois le container, exposant deux fois les données non cryptées.

=== Présentation succinte de Loop-AES ===

Loop-AES développée par [mailto:jari .ruusu@pp.inet.fi Jari Ruusu], n'est pas une API de cryptographie générique, ce patch ne fournit que les services de cryptage de volumes. Loop-AES offre plus d'algorithmes que son nom ne le laisse croire : twofish, blowfish, mars et rc6 sont supportés en plus d'AES. Cette solution de cryptage est moins générique mais plus performante que les autres de par sa spécialisation.

=== Quelques remarques concernant la sécurité ===

Quelques rappels sur la sécurité...

# Soyez paranoïaque.
# Vérifiez que les personnes qui vous parlent de cryptographie ne sont pas des petits malins qui cherchent à vous induire en erreur.
# Utilisez GnuPG et/ou MD5 pour vérifier les signatures de toutes les sources et patches que vous utilisez.
# à l'intérieur du système de fichiers crypté, ne pas crypter des fichiers avec le même algorithme et le même mot de passe : ces fichiers risqueraient d'apparaitre en clair$ dans le container. On fait usage d'algorithme de cryptage symétrique, la même clé est utilisée pour crypter et décrypter, et bien souvent la même fonction assure le cryptage et le décryptage : on crypte une fois pour obtenir l'information cryptée, on recrypte une deuxième fois pour obtenir l'information en clair.
# Ne pas exporter votre container ni votre système de fichiers crypté : NFS, FTP, Samba, etc... sont à proscrire. Quel intéret de crypter vos données si vous les faites circuler en clair. Utilisez des protocoles sécurisés (SSH, VPN) pour transmettre vos fichiers, cryptés eux-mêmes si besoin.
# Protégez votre ordinateur :

* empêchez l'ouverture de l'ordinateur,
* empêchez l'utilisation de disque d'amorçage autre que le disque dur,
* sécurisez l'amorçage du système d'exploitation : une personne non autorisée ne doit pas pouvoir passer de paramètres au noyau.
* ne laisser jamais de session ouverte sans protection, verrouillez votre terminal dès que vous le quittez.
* archivez vos données de façon cryptée.

# Ne stockez vos mots de passe que dans votre tête.
# Et ne croyez pas qu'en sachant tout cela vous êtes en sécurité.

=== Conclusion ===

Nous avons vu comment crypter un système de fichiers contenu dans un fichier. Pour allez plus loin, on peut utiliser une partition en lieu et place du fichier container.

Il est maintenant 'facile' de crypter ses données avec le noyau Linux, même s'il faut toujours un patch pour la version 2.4. À terme, la version 2.6 de linux plus les util-linux 2.12 offriront à tout un chacun la possibilité de crypter des systèmes de fichiers.

Ensuite à chacun de voir s'il a besoin de crypter ses données et s'il a confiance dans les algorithmes du kernel.

=== Liens ===

* Crypto API (original) http://www.kerneli.org/
* Util Linux 2.12 : [http://www.kernel.org/pub/linux/utils/util-linux/ http://www.kernel.org/pub/linux/uti...]
* Patchs cryptoloop pour le kernel 2.4.22 : <br />[http://www.kernel.org/pub/linux/kernel/people/hvr/testing/ http://www.kernel.org/pub/linux/ker...]<br />[http://www.kernel.org/pub/linux/kernel/people/hvr/ http://www.kernel.org/pub/linux/ker...]<br />http://encryptionhowto.sourceforge.net/
* patch util-linux 2.11z (Jari Ruusu) :<br />http://therapy.endorphin.org/patches/<br />[http://www.kerneli.org/pipermail/cryptoapi-devel/2003-June/000578.html http://www.kerneli.org/pipermail/cr...]
* patches pour étendre les util-linux 2.12 : [http://www.stwing.org/%7Esluskyb/util-linux/ http://www.stwing.org/~sluskyb/util...]
* explication cryptoapi : [http://www.kerneli.org/pipermail/cryptoapi-devel/2003-July/000591.html http://www.kerneli.org/pipermail/cr...]
* quelques informations :<br />http://www.abeowitz.com/crypto/<br />[http://sourceforge.net/projects/cryptoapi/ http://sourceforge.net/projects/cry...]
* crypto api 2.5 par James Morris : [http://samba.org/%7Ejamesm/crypto/ http://samba.org/~jamesm/crypto/]
* Le projet de cryptographie (loop + crypto) de Jari : http://loopaes.sourceforge.net/

Copyright

Copyright (C) 2003 [mailto:ydroneaud @meuh.eu.org Yann Droneaud] Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Meuh le 09/09/2002.</div>

= Copyright =
Copyright © 09/09/2002, Meuh
{{CC-BY-NC-SA}}

Fiches:Comment utiliser ma clé usb ?

2006-02-11T05:51:46Z

Lanjelot : /* Introduction */

== Introduction ==

Vous avez une clef USB ?
Mais comment faire pour l'utiliser sous linux !
C'est très simple !

La plupart des clefs USB sont formatées d'origine en FAT32 ce qui très pratique pour une utilisation unique sous windows

La marche que je vais vous décrire ici est très simple.
Cependant, il se peut selon la qualité de formatage de votre clef que ça ne fonctionne pas.
Je vous expliquerais donc dans une deuxième partie comment faire pour la formater correctement quelles que soient les circonstances.

== I. Petit test préalable ==

Tout d'abord branchez la clef.
Connectez vous en root (avec la commande su ou sudo sh)
Créez le répertoire de montage : Le plus souvent /mnt/clef mais vous pouvez faire autrement
'''mkdir /mnt/clef'''

Ensuite essayez cette commande :

'''mount -t vfat /dev/sda1 /mnt/clef'''

Ce qui veut dire charge la partition 1 de la clef dans le répertoire /mnt/clef en utilisant le système de fichier FAT16 ou FAT32

'''Si tout va bien, votre clef est monté pour voir son contenu, faites :
ls /mnt/clef'''

Vous pouvez démonter votre clef en faisant attention de ne pas être dans le répertoire de montage en faisant :

'''umount /mnt/clef'''
N'oubliez pas de démonter votre clef auquel cas, vous pourriez endommager vos fichiers.

Mais certaines fois, ça ne fonctionne pas -> Voir Partie III.

== II. Pouvoir la monter plus simplement et sans être root ==
Mais généralement, on aime bien pouvoir utiliser sa clef plus simplement
Pour cela, il faut charger les options de montage dans un fichier (/etc/fstab) qui va gérer le montage et démontage.

Connectez vous en root (avec la commande su ou sudo sh)
Ouvrez le fichier /etc/fstab (emacs /etc/fstab ou gedit /etc/fstab ou autre)
Puis rajouter cette ligne après la ligne contenant /dev/cdrom
/dev/sda1 /mnt/clef vfat rw,noauto,iocharset=iso8859-15,codepage=850,user,exec 0 0

Je vais vous en expliquer les subtilités (en gros)

rw -> Montage en lecture et écriture
noauto -> Montage non effectué au démarage de l'ordinateur
iocharset -> Définit le type de codage des caractères iso8859-15 -> Caractère latin + €
codepage=850 -> Pour compatibilité avec les différents windows
user -> pour montage par tous les utilisateurs
exec -> pour pouvoir executer des programmes linux contenu sur la clef

Ensuite, vous enregistrez et vous pouvez maintenant monter votre clef en faisant

'''mount /mnt/clef'''

On peut aussi créer un lien symbolique (raccourcis) pour la monter en faisant ::

'''mount /clef'''

Pour cela, en root, faites :
cd /
'''ln -s /mnt/clef /clef'''

== III. Formater sa clef ==

Pour les personnes qui n'arrive pas à monter leurs clefs, il faut faire un peu de nettoyage et un formatage dans les règles.

Sauvegarder les fichiers contenus sur la clef
Commencez par démonter votre clef si elle était montée
Connectez vous en root

Puis faites '''cfdisk /dev/sda'''
Si ça marche, supprimer toutes les partitions et créer un partition FAT16
Ensuite ecrivez la table des partitions et quitter cfdisk

Si ça ne marche pas faites '''fdisk /dev/sda'''
Utiliser l'aide pour supprimer toutes les partitions (Souvent 1-4)
Ecrivez la table et faites '''cfdisk /dev/sda''' ....

Ensuite faites :

'''mkfs.msdos -F16 /dev/sda1'''

Vous pouvez maintenant monter votre clef

Intro-wannapenguin

2005-10-17T15:08:03Z

Lanjelot : /* Introduction */

[[Category:Introduction à Linux]]
= Un pingouin sur ma machine =

<div class="leatitre">Un pingouin sur ma machine</div><div class="leapar">par [http://groupe.lea-linux.org/slack/alive/ Seb]</div><div class="leadesc">Petit tour d'horizon des distributions linux.</div>
----

== Introduction ==

Cet article a été conçu suite à la grande récurence sur le forum de fils de discussion demandant des conseils pour choisir une première ou seconde distribution. Il n'est en effet pas toujours évident de choisir une distribution qui convienne à ses attentes, le champ d'investigation étant plus que vaste ([http://distrowatch.com Distrowatch] recense plus de 300 distributions actives), et les querelles de clocher - même courtoises - courantes.

Ce qui va suivre se propose comme objectif de vous renseigner sur les caractéristiques des principales distributions utilisées d'après ce qui ressort du forum de Léa. Ne vous attendez cependant pas à apprendre ici quelle distribution est la meilleure car chacune compte ses inconditionnels, signe s'il en est qu'elles ont toutes des qualités qui leur sont propres (sans ça, ce site s'appellerait "<distribution> entre amis" ;) ). Nous nous cantonnerons donc à une description technique et neutre autant que possible.

== Lire cette présentation ==

Toujours dans un souci d'objectivité - inaccessible étoile ! - nous avons opté pour une présentation via formulaire. Cela garantit en effet un traitement égal à chacune des distributions tout en explicitant avec clarté les caractéristiques de celles-ci. Voici une notice qui vous indiquera ce que vous trouverez dans chacun des points abordés par le formulaire.

'''Par :''' ''% mentione l'auteur de la présentation avec éventuellement une adresse mail où vous pourrez le joindre.''

'''Site officiel :''' <url_du_site> ''% ici est indiquée l'adresse du site officiel de la distribution. Vous y trouverez des informations complémentaires et pourrez y télécharger celle-ci.''

'''Type de distribution :''' binaire | source ''% cela vous indiquera à quel type de distribution vous avez affaire.''

* ''source : les applications des distributions sources doivent êtres compilées (parfois très longuement) en préalable à leur utilisation. En contre-partie celles-ci sont optimisées pour votre configuration.''
* ''binaire : les programmes installés sont immédiatement utilisables mais génériques. Les avantages en sont avant tout que ces distributions sont rapides à mettre en place et ne nécessitent pas d'installer d'outils de compilation.''

'''Autonomie :''' 0 | 1 | 2 ''% cela vous renseignera sur ce que vous pouvez attendre de la distribution - <u>dans le meilleur des cas</u> - quant à la gestion du matériel par le système.''

* ''0 : vous devrez tout gérer manuellement, déclaration du matériel et configuration.''
* ''1 : la distibution détecte automatiquement le matériel mais vous laisse le configurer.''
* ''2 : la distribution détecte et configure automatiquement votre matériel.''

'''Option(s) de configuration :''' LC | IG | LC/IG+ | LC+/IG ''% cela vous informera sur la méthode de configuration pour laquelle la distribution a été pensée.''

* ''LC : "Ligne de Commande", la distribution est conçue pour être gérée via le shell et l'édition de ses fichiers.''
* ''IG : "Interface Graphique", la distribution est prévue pour être configurée via des outils graphiques.''
* ''LG/IG+ | LG+/IG : lorsque les deux modes de configuration sont possibles un "+" indique celui qui est prépondérant par rapport à la conception de la distribution.''

'''Petite configuration :''' -1 | 0 | 1 ''% pour les machines qui ont peu de ressources, indique à quel degré la distribution convient ou non à ce profil.''

* ''-1 : impossible sinon infernal.''
* ''0 : possible mais pas pensé pour ça.''
* ''1 : cadre avec la conception de la distribution.''

<div class="note">Notez que ces indications sont largement basées sur la philosophie de la distribution en question, l'obtention d'une solution légère passant avant toute chose par un choix judicieux d'interface graphique (préférez les ''Windows Makers'' tels fluxbox, fvwm, ou windowsmaker aux ''Desktop Environments'' comme KDE et Gnome).</div>

'''Gestionnaire de paquets :''' ''% nom du gestionnaire de paquets et description succinte de son utilisation.''

'''Philosophie d'utilisation :''' ''% description rapide de la philosophie de la distribution selon ce qu'il ressort du site officiel.''

<div class="note">Concernant une utilisation de type serveur, traditionnellement vous serez orienté sur une Debian ou une Slackware. Sachez que dans les faits la plupart des distributions peuvent se prêter à cet usage, le tout étant pour vous de savoir épurer votre système afin de pouvoir le sécuriser efficacement (ce qui est évidemment plus facile à faire sur des distributions se configurant en ligne de commande).</div>

'''Quelques articles relatifs disponibles sur Léa :''' ''% les éventuels articles de Léa consacrés à la distribution et susceptibles de vous épauler dans sa mise en place.''

'''Trouver la grenouille :''' ''% les distributions étant très souvent anglophones, quelques adresses pour joindre les communautés françaises de la distribution.''

== Les Sept Samouraïs de Léa ==

=== Debian ===

'''Par [mailto:morganr@altern.org Morgan]'''.

'''Site officiel :''' http://www.debian.org

'''Type de distribution :''' binaire.

'''Autonomie :''' 1.

'''Option(s) de configuration :''' LC.

'''Petite configuration :''' 1.

'''Gestionnaire de paquets :''' <code>Apt</code> (Advanced Packaging Tool), il s'agit en fait d'une surcouche de l'utilitaire de base <code>dpkg</code> qui permet entre autres de gérer les dépendances. Parmi les nombreuses possibilités d'<code>apt</code>, les plus utilisées sont celles offertes par les commandes suivantes: <code>apt-cache search</code> pour faire une recherche dans la liste de paquetages disponibles, <code>apt-get install</code> pour installer un ou des paquetages, <code>apt-get update</code> pour mettre à jour la liste des paquetages et <code>apt-get upgrade</code> et <code>apt-get dist-upgrade</code> pour mettre à jour les paquetages installés.

'''Philosophie d'utilisation :''' Les priorités de debian sont la stabilité et l'efficacité, et non pas la facilité d'utilisation. Afin de laisser la plus grande marge de manœuvre possible à l'utilisateur, n'est installé par défaut que ce qui est indispensable. La gestion des paquetages est aisée, le reste se fait à la main. Trois versions sont disponibles selon les goûts et le type d'utilisation:

* ''stable'' : particulièrement stable et sécurisée, les paquetages ont été testés et retestés pendant au moins 6 mois avant d'être "figés", il s'agit donc de versions parfois très anciennes de ces paquetages.
* ''testing'' : bon compromis pour une utilisation de bureau, des paquetages assez récents.
* ''unstable'' : des paquetages très récents et non-testés, se destine plutôt a des utilisateurs avertis.

Même si sa réputation de difficulté est quelque peu exagérée, c'est plutôt une distribution à conseiller soit à des gens qui ont déjà quelques connaissances en Linux, soit à des débutants curieux de comprendre le fonctionnement du système et qui auront pris la peine de s'armer d'une bonne documentation.

'''Quelques articles relatifs disponibles sur Léa :''' [http://lea-linux.org/software/soft_gere/apt_dpkg.html Apt, dpkg et paquets Debian].

'''Trouver la grenouille :''' Consultez le [http://lea-linux.org/ressources/PAFDebian.html Petit Annuaire Francophone Debian].

=== Fedora ===

'''Par [mailto:Fedora@FamilleCollet.com Remi]'''.

'''Sites officiels :''' http://www.fedora.redhat.com, http://www.fedoraforum.org.

'''Type de distribution :''' binaire.

'''Autonomie :''' 2.

'''Option(s) de configuration :''' LC/IG+.

'''Petite configuration :''' 0.

'''Gestionnaire de paquets :''' Fedora utilise les packages RPM, packages qui sont très simples à installer. Pour encore plus de facilité, des gestionnaires de packages tels <code>Up2date</code> (par défaut), <code>Yum</code> (en standard), <code>Apt-rpm</code> ou <code>Smart</code> furent créés afin de résoudre les problèmes de dépendances manquantes. Ces outils (qui disposent aussi d'interfaces graphiques) récupèrent les "missing librairies" sur le réseau, à partir de "dépôts" et se chargent d'installer ou supprimer des logiciels, mettre-à-jour le système automatiquement et ce, très facilement.

'''Philosophie d'utilisation :''' Fedora offre un confort et une facilité d'installation, d'utilisation, d'administration très poussés et est accessible à tous, qu'ils soient confirmés sous Linux ou débutants. RedHat utilise Fedora comme "plan de travail" pour ses propres solutions professionnelles, en y incorporant les dernières technologies du monde Linux. Elle est idéale pour ceux qui veulent disposer des dernières versions et les derniers correctifs de sécurité. Le projet sort deux à trois nouvelles versions par an.

'''Quelques articles relatifs disponibles sur Léa :''' [http://lea-linux.org/docs/contribs.html Certainement un injuste vide à combler :)]

'''Trouver la grenouille :''' http://www.fedora-france.org.

=== Gentoo ===

'''Par [mailto:fanchtastux@yahoo.fr tuxfanch]'''.

'''Site officiel :''' http://www.gentoo.org

'''Type de distribution :''' source / binaire (si on utilise la version Gentoo Reference Platform).

<div class="note">A noter toutefois que Gentoo est pensée pour être essentiellement utilisée en mode source.</div>

'''Autonomie :''' 1 / 1.

'''Option(s) de configuration :''' LC / LC.

'''Petite configuration :''' -1 / 1.

'''Gestionnaire de paquets :''' <code>Portage</code>, par le biais de la commande <code>emerge</code> ; il est assez similaire au système du port de BSD. De plus, Gentoo étant une distribution source, il faut y ajouter (entre autres) un fichier <code>make.conf</code> qui définit les directives de compilation communes, la langue à utiliser (français, anglais, chinois ... ) les éléments facultatifs à supporter (par exemple, si l'on a uniquement kde, on peut vouloir se passer des capacités d'un soft à s'intégrer dans gnome). <code>Portage</code> gère les dépendances lors de l'installation et lors de la désinstallation de paquets : par exemple, on installe un nouveau paquet par <code>emerge <nom_du_paquet></code> . La commande <code>revdep-rebuild</code> permet de re-construire les dépendances inverses. On désinstalle un paquet d'un coup de <code>emerge unmerge <nom_du_paquet></code> et on nettoye les dépendances par <code>emerge --depclean</code>. Par ailleurs, seuls les paquets validés pour une architecture sont disponibles directement, sinon ils sont ''masqués'' (on peut toujours leur enlever le masquage et les installer quand même, mais faudra pas venir se plaindre après ! ) : il n'y a pas de branche ''stable'', ''test'' et ''devel'' chez Gentoo, tout est utilisable ou masqué.

'''Philosophie d'utilisation :''' Gentoo (qui, au passage, se prononce ''djen-tou'' et désigne un manchot papou) fût principalement créée par Daniel Robbins. «L'historique» de la distribution est disponible [http://www.gentoo.org/main/fr/about.xml ici] ; mais pour faire court, disons que c'est le résultat de la visite d'un linuxien chez FreeBSD. C'est par ce côté polymorphe couplé à son aspect source que Gentoo ne se désigne plus comme une distribution mais comme une méta-distribution (on peut en effet installer un noyau BSD au lieu du noyau Linux). Gentoo a pour but d'être rapide (à l'exécution, pas à l'installation ;-) ), portée sur de très nombreuses architectures et facilement maintenable (les fichiers de configuration sont très documentés). Cependant, même si la documentation en ligne est traduite en français à 99%, il est préférable d'avoir quelques notions d'anglais (les aides dans les fichiers de configuration sont en anglais).

'''Quelques articles relatifs disponibles sur Léa :''' [http://lea-linux.org/docs/contribs.html Certainement un injuste vide à combler :)]

'''Trouver la grenouille :''' http://fr.gentoo-wiki.com/Accueil.

=== Mandriva ===

'''Par [mailto:ceric35@hotmail.com ceric35]'''.

'''Site officiel :''' http://www.mandrivalinux.com

'''Type de distribution :''' binaire.

'''Autonomie :''' 2.

'''Option(s) de configuration :''' LC/IG+.

'''Petite configuration :''' 0.

'''Gestionnaire de paquets :''' <code>rpmdrake</code> est l'interface graphique des outils <code>urpm*</code> (User RPM) servant à la gestion des packages Mandriva. Il permet d'installer facilement n'importe quel package et gère automatiquement les dépendances associées. En plus des sources locales (CDs), il est aussi possible d'ajouter des sources distantes pour un choix de logiciels plus vaste.

'''Philosophie d'utilisation :''' Mandriva Linux (anciennement Mandrake) a été créée dans le but de permettre au plus grand nombre d'utiliser facilement un système Linux. Elle intègre de nombreux outils graphiques visant à simplifier au maximum l'administration de ce système. Mandriva est donc une distribution facile d'installation et d'utilisation, mais s'oriente plus vers les stations de travail que les serveurs (sauf à se procurer la très onéreuse version dédiée à cet usage).

'''Quelques articles relatifs disponibles sur Léa :''' [http://lea-linux.org/software/inst_mdk10.html Installation de Mandrakelinux].

=== Slackware ===

'''Par [http://groupe.lea-linux.org/slack/alive/ Le Groupe Slackware]'''.

'''Site officiel :''' [http://slackware.org http://slackware.org]([http://slackware.com ou.com])

'''Type de distribution :''' binaire.

'''Autonomie :''' 1.

'''Option(s) de configuration :''' LC.

'''Petite configuration :''' 1.

'''Gestionnaire de paquets :''' <code>pkgtool</code>, cet outil est le regroupement de trois autres commandes : <code>installpkg</code>, <code>removepkg</code>, et <code>updgradepkg</code> qui servent respectivement à installer, supprimer et mettre à jour les paquets. Pour s'en servir, il suffit de taper <code><nowiki>*pkg <nom_du_paquet.tgz></nowiki></code> ou tout simplement <code>pkgtool</code> dans le répertoire courant. Cet outil ne propose pas de gestion automatique des dépendances, mais on peut utiliser à cette fin un autre gestionnaire de paquets, [http://swaret.org <code>swaret</code>], toutefois ''non-supporté officiellement'' par Patrick Volkerding, le mainteneur de la distribution.

'''Philosophie d'utilisation :''' La Slackware se veut avant tout simple dans ses principes et robuste à l'usage. Dans cette optique, elle s'attache à compenser son absence d'automatisation par une facilitation de la gestion manuelle grâce notamment à des fichiers de configuration bien commentés et à des ressources d'aide embarquées assez conséquentes. Une maîtrise moyenne de l'anglais est cependant bienvenue si l'on veut pouvoir la prendre en main rapidement sans trop de difficultés.

'''Quelques articles relatifs disponibles sur Léa :''' [http://www.lea-linux.org/install/slack_install.html Installer la Slackware], [http://www.lea-linux.org/install/LFSlack.html Linux From Slack], [http://lea-linux.org/pho/list/2#debut Les paquetages Slackware].

'''Trouver la grenouille :''' http://slackfr.org, http://slack-fr.org.

=== SourceMage ===

'''Par [mailto:f.bridault@fra.net Vlaaad]'''.

'''Site officiel :''' http://www.sourcemage.org.

'''Type de distribution :''' source.

'''Autonomie :''' 1.

'''Option(s) de configuration :''' LC.

'''Petite configuration :''' -1.

'''Gestionnaire de paquets :''' <code>Sorcery</code> est le nom donné à l'ensemble des commandes de gestion de paquetages. La métaphore de <code>sorcery</code> amuse beaucoup ses utilisateurs :-) : <code>cast <spell></code> permet par exemple de lancer un sort (télécharger les sources, compiler et installer le paquetage), <code>dispel <spell></code> de le dissiper (désinstaller), <code>gaze</code> d'obtenir des informations. La gestion des <code>grimoires</code> (répertoires de sorts) se réalise à l'aide de la commande <code>scribe</code>. Enfin, <code>Sorcery</code> peut se mettre jour grâce à la commande du même nom.

'''Philosophie d'utilisation :''' SourceMage est destinée aux utilisateurs qui aiment avoir le choix. Elle convient donc avant tout aux utilisateurs confirmés, soucieux d'obtenir un système optimisé pour leur architecture et qui correspond uniquement à leurs besoins. La stabilité de la distribution est atteinte en utilisant les dernières versions de logiciels libres, plutôt que sur des versions plus anciennes et patchées. Il s'agit d'une distribution communautaire anglophone, la maîtrise de l'anglais y est donc bienvenue.

'''Quelques articles relatifs disponibles sur Léa :''' [http://lea-linux.org/docs/contribs.html Certainement un injuste vide à combler :)]

'''Trouver la grenouille :''' Les utilisateurs de SourceMage peuvent se documenter sur le [http://wiki.sourcemage.org wiki] (traduction française en cours, les volontaires sont les bienvenus). Le forum n'est pas très actif, en revanche, le canal IRC #sourcemage, et son petit frère français #sourcemagefr (sur irc.freenode.net) accueillent très volontiers les nouveaux arrivants et leurs questions.

=== SuSE ===

'''Par [mailto:suse@tele2.fr Phil]'''.

'''Site officiel :''' http://www.suse.fr/fr/

'''Type de distribution :''' binaire.

'''Autonomie :''' 2.

'''Option(s) de configuration :''' LC/IG+.

'''Petite configuration :''' 0.

'''Gestionnaire de paquets :''' <code>Yast</code>. Cet outil graphique est un centre de contrôle prévu pour gérer l'ensemble de la machine. Parmi ses modules, celui des logiciels propose l'installation et la désinstallation des paquets, mais gère en même temps de manière automatique les dépendances. S'il en manque lors d'une installation, <code>Yast</code> précise quelles sont les dépendances requises (avec leurs numéros de version). Il est également possible de gérer les paquets en installant un autre gestionnaire, par exemple apt4rpm.

'''Philosophie d'utilisation :''' La SuSE est une distribution très populaire en Allemagne (mais pas seulement). Son utilisation s'adresse aux débutants comme aux personnes aguerries. Elle est donc "tous publics"... <code>Yast</code> contribue pour beaucoup à faciliter la gestion de la SuSE, grâce à une configuration entièrement graphique (il reste néanmoins possible de modifier les fichiers de configuration manuellement). La langue française est bien intégrée à l'ensemble de la distribution, même si certains modules de <code>Yast </code>demandent à être améliorés à ce niveau.

'''Quelques articles relatifs disponibles sur Léa :''' [http://lea-linux.org/docs/contribs.html Certainement un injuste vide à combler :)]

'''Trouver la grenouille :''' http://frenchsuse.free.fr, http://www.alionet.org.

== C'est vraiment trop inzust'... :( ==

Le choix des distributions mises en avant peut paraître éminemment discutable. Ne sachant sur quel critère intangible nous baser, nous avons en effet décidé de reprendre peu ou prou celles mentionnées dans les intitulés des forums de Léa. Pour les samouraïs des causes oubliées, sachez que vous êtes totalement libres de poursuivre cette présentation sur la [Signalez ce lien dans le forum Léa-Site s'il est mort page wiki] associée à cet article, la seule chose que nous vous demandons c'est de reprendre le formulaire et de vous efforcer de rester neutres dans la mesure du possible (évitez les "c'est génial !" et autres expressions décrivant plus votre enthousiasme que la distribution en tant que telle).

Voici une liste commentée mais non exhaustive de quelques autres distributions (pour une liste bien plus complète, voir [http://distrowatch.com/ distrowatch]), les sites sont les sites originaux :

* [http://kaella.linux-azur.org/ Kaella] ou KLA : Knoppix en français
* [http://www.knoppix-fr.org/ Knoppix] : Debian ''live'' ([http://www.knoppix-fr.org/ en français])
* [http://www.mandriva.com/products/move MandrakeMove] : Mandrake ''live''
* [http://www.mepis.org/ Mepis] : Debian ''live'', axée sur la reconnaissance du matériel automatique ([http://www.mepis-france.org/ en français])
* [http://www.redhat.com/ Red Hat] : version payante de Fedora ([http://www.fr.redhat.com/ en français])
* [http://www.toms.net/rb/ Tom’s root boot] : mini distribution sur disquette, en cas de coup dur
* [http://www.ubuntulinux.org/ Ubuntu]/[http://www.kubuntu.org/ Kubuntu] : Debian simplifiée, la première utilise GNOME, la seconde KDE ([http://www.ubuntu-fr.org/ en français])

== Conclusion ==

Nous voici parvenus au terme de cette présentation, nous espérons qu'elle vous aura aidé à trouver votre bonheur dans la luxuriante jungle des distributions Linux. De toute manière gardez à l'esprit que le choix d'une distribution ne vous enferme nullement à vie, car la structure du système reste globalement la même de l'une à l'autre si bien qu'un changement ne prend pas automatiquement des tournures de révolution. Au pire, si vous hésitez, prenez celle dont la mascotte vous est le plus sympathique, l'important étant moins de tomber de suite sur la bonne distribution que de devenir un pingouin - un vrai - qui explore la banquise à son gré sans rien demander à personne et pour cela aucune d'entre elles n'est contre-indiquée. :)

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Seb le 02/05/2005.</div>

= Copyright =
Copyright © 02/05/2005, Seb
{{CC-BY-NC-SA}}