Connexion

Besoin d'aide ? Une question ? Un avis ? Rejoignez nous sur notre salon IRC pour clavarder

Forum

Système et matériels » Réseau Internet Wi-Fi crypter /etc/wpa_supplicant.conf Les mots de passe y sont en clair

Troumad Membre non connecté

Rang

Avatar

Inscrit le : 16/10/2010 à 10h07

Localisation : Genas (69)

Messages: 2572

Le 08/01/2019 à 09h16
Bonjour

Je sais, il existe wpa_passphrase, mais, au boulot, j'ai du wpa2 entreprise (eduoram) et je n'arrive pas à crypter le mot de passe.
Comme j'aimerai prêter ce PC à des étudiants, je veux être sûr qu'ils ne puissent accéder à mon mot de passe facilement (c'est à dire uniquement avec un tourne-vis).

Comme faire ?


Amicalement Votre
Bernard SIAUD Alias Troumad
Site web    
Papoteur Membre non connecté

Rang

Avatar

Modérateur Équipe Mageia

Inscrit le : 03/10/2011 à 22h16

Localisation : Metz

Messages: 7915

Le 08/01/2019 à 10h12
Bonjour,
Quel accès laisses-tu aux étudiants ?
Accès au wifi ?
Accès à root ?
Code BASH :
$ cat /etc/wpa_supplicant.conf
cat: /etc/wpa_supplicant.conf: Permission non accordée


Yves
   
Troumad Membre non connecté

Rang

Avatar

Inscrit le : 16/10/2010 à 10h07

Localisation : Genas (69)

Messages: 2572

Le 08/01/2019 à 10h25
Oui, mais s'ils démontent le PC, ils ont accès au DD ;)


Amicalement Votre
Bernard SIAUD Alias Troumad
Site web    
Papoteur Membre non connecté

Rang

Avatar

Modérateur Équipe Mageia

Inscrit le : 03/10/2011 à 22h16

Localisation : Metz

Messages: 7915

Le 08/01/2019 à 12h15
Oui, mais si tu leur donnes le mot de passe root, ils ont aussi accès au fichier, même s'il est stocké chiffré.
Donc je voudrais te faire préciser le contexte d'utilisation, pour que la solution soit adaptée.


Yves
   
Jybz Membre non connecté

Rang

Avatar

Modérateur Administrateur

Inscrit le : 10/10/2018 à 10h26

Messages: 3126

Le 08/01/2019 à 14h04
Troumad : J'ai chiffré tout mon disque dur, (sauf /boot). Du coup, tant qu'on n'a pas de droits root, pas d'accès à wpa_supplicant. Mais le problème : au démarrage il faut donner la clef de déchiffrement du disque, donc techniquement, s'il le démontent, ils peuvent le remonter en exailleursterne en utilisant cette même clef.

Il y a aussi la solution d'un dévérouillage automatique avec un "grub secure", qui avec la puce TPM vient "calculer" une clef de déchiffrement en fonction du système. Si le système ne change pas (pas de MAJ du kernel), la somme calculée reste identique. S'il y a eu une MAJ, le grub ne trouve pas la clef, et elle doit être donnée manuellement et remettre à jour la formule de déchiffrement.

J'ai essayé, mais abandonné, je ne sais pas le faire.
https://www.mageialinux-online.org/forum/topic-25497+tpm2.php
Je n'ai plus le temps de continuer dessus. Peut-être je retrouverai le temps dans trois mois.

Papoteur :
Eduroam est sécurisé avec un identifiant et un mot de passe. Donc c'est "très" personnel, et ouvre des points d'accès wifi dans le monde entier, principalement en europe avec tous les établissements de formations supérieur et fac.
Un utilisateur normal pourrait ne pas avoir accès à ce fichier dans /etc/ (et encore, il suffit d'aller dans l'applet_connect, propriété et avancer ou afficher le mot de passe, on peut lire le MDP.
Si c'est un ordinateur de prêt, soit chaque utilisateur doit se retaper la config, soit ne pas avoir accès aux paramètres généraux -> en aucun cas, ni même pas en remontant le disque en externe. Je sais pas si je suis clair...

Un exemple de config WPA pour eduroam
Code BASH :
network={
    ssid="eduroam"
    proto=RSN
    key_mgmt=WPA-EAP
    anonymous_identity="anonymous@université.fr"
    phase2="auth=PAP"
    identity="identifiant"
    password="mot de passe"
    scan_ssid=1
    eap=TTLS
    group=CCMP TKIP
    pairwise=CCMP TKIP
    ca_cert="/chemin/vers/certificat/Eduroam.pem"
    mode=0
}
 
   
Troumad Membre non connecté

Rang

Avatar

Inscrit le : 16/10/2010 à 10h07

Localisation : Genas (69)

Messages: 2572

Le 08/01/2019 à 19h59
Je ne connais pas "anonymous_identity" !

Un autre exemple :
Code :
network={
    mode=0
    group=CCMP TKIP
    proto=RSN WPA
    password="Mot de passe"
    pairwise=CCMP TKIP
    ssid="eduroam"
    key_mgmt=WPA-EAP IEEE8021X NONE
    identity="identifiant@univ-lyon1.fr"
    scan_ssid=1
}




Amicalement Votre
Bernard SIAUD Alias Troumad
Site web    
Jybz Membre non connecté

Rang

Avatar

Modérateur Administrateur

Inscrit le : 10/10/2018 à 10h26

Messages: 3126

Le 08/01/2019 à 20h11
L'anonymous, j'ai cru comprendre que ça cache l'identity, à la première étape de connexion, il utiliserait anonymous pour se connecter, puis un canal direct vers @université.fr chiffré est utiliser pour confirmer les droits avec l'identifiant. Ainsi, l'access point ne connaitrait pas l'identifiant du connecté. Mais j'ai peut-être compris de travers.
   
Troumad Membre non connecté

Rang

Avatar

Inscrit le : 16/10/2010 à 10h07

Localisation : Genas (69)

Messages: 2572

Le 09/01/2019 à 07h52
Ton système me surprend... Il faut pouvoir remonter à la personne connecté si elle fait une connerie !


Amicalement Votre
Bernard SIAUD Alias Troumad
Site web    
Jybz Membre non connecté

Rang

Avatar

Modérateur Administrateur

Inscrit le : 10/10/2018 à 10h26

Messages: 3126

Le 09/01/2019 à 08h49
On peut remonter à moi, imaginons que je suis à la fac Y connecté à 15h16 avec anonymous@fac X.fr. Je fais des trucs pas trop légal à 16h26, l'admin de la fac X s'en rend compte et demande à la fac Y de lever l'identité de l'utilisateur connecté à la fac X à 15h16.

Alors oui, on ne remontera pas à moi dans la minute, peut-être dans l'heure. Mais il se peut aussi que fac X désactive immédiatement mon compte, et que fac Y me déconnecte.

J'ai pas lu, mais ce site à l'air de bien expliquer : https://sites.google.com/site/amitsciscozone/home/switching/peap---protected-eap-protocol
   
Troumad Membre non connecté

Rang

Avatar

Inscrit le : 16/10/2010 à 10h07

Localisation : Genas (69)

Messages: 2572

Le 09/01/2019 à 18h18
La page est en anglais (mal de tête assurée) avec plein de mot technique que je ne maîtrise pas trop... Donc, pas pour moi, sauf en cas de besoin très urgent et vital.


Amicalement Votre
Bernard SIAUD Alias Troumad
Site web    
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie