Forum

Bonjour

Je sais, il existe wpa_passphrase, mais, au boulot, j'ai du wpa2 entreprise (eduoram) et je n'arrive pas à crypter le mot de passe.
Comme j'aimerai prêter ce PC à des étudiants, je veux être sûr qu'ils ne puissent accéder à mon mot de passe facilement (c'est à dire uniquement avec un tourne-vis).

Comme faire ?

Bonjour,
Quel accès laisses-tu aux étudiants ?
Accès au wifi ?
Accès à root ?

Oui, mais s'ils démontent le PC, ils ont accès au DD

Oui, mais si tu leur donnes le mot de passe root, ils ont aussi accès au fichier, même s'il est stocké chiffré.
Donc je voudrais te faire préciser le contexte d'utilisation, pour que la solution soit adaptée.

Troumad : J'ai chiffré tout mon disque dur, (sauf /boot). Du coup, tant qu'on n'a pas de droits root, pas d'accès à wpa_supplicant. Mais le problème : au démarrage il faut donner la clef de déchiffrement du disque, donc techniquement, s'il le démontent, ils peuvent le remonter en exailleursterne en utilisant cette même clef.

Il y a aussi la solution d'un dévérouillage automatique avec un "grub secure", qui avec la puce TPM vient "calculer" une clef de déchiffrement en fonction du système. Si le système ne change pas (pas de MAJ du kernel), la somme calculée reste identique. S'il y a eu une MAJ, le grub ne trouve pas la clef, et elle doit être donnée manuellement et remettre à jour la formule de déchiffrement.

J'ai essayé, mais abandonné, je ne sais pas le faire.
https://www.mageialinux-online.org/forum/topic-25497+tpm2.php
Je n'ai plus le temps de continuer dessus. Peut-être je retrouverai le temps dans trois mois.

Papoteur :
Eduroam est sécurisé avec un identifiant et un mot de passe. Donc c'est "très" personnel, et ouvre des points d'accès wifi dans le monde entier, principalement en europe avec tous les établissements de formations supérieur et fac.
Un utilisateur normal pourrait ne pas avoir accès à ce fichier dans /etc/ (et encore, il suffit d'aller dans l'applet_connect, propriété et avancer ou afficher le mot de passe, on peut lire le MDP.
Si c'est un ordinateur de prêt, soit chaque utilisateur doit se retaper la config, soit ne pas avoir accès aux paramètres généraux -> en aucun cas, ni même pas en remontant le disque en externe. Je sais pas si je suis clair...

Un exemple de config WPA pour eduroam

Je ne connais pas "anonymous_identity" !

Un autre exemple :

L'anonymous, j'ai cru comprendre que ça cache l'identity, à la première étape de connexion, il utiliserait anonymous pour se connecter, puis un canal direct vers @université.fr chiffré est utiliser pour confirmer les droits avec l'identifiant. Ainsi, l'access point ne connaitrait pas l'identifiant du connecté. Mais j'ai peut-être compris de travers.

Ton système me surprend... Il faut pouvoir remonter à la personne connecté si elle fait une connerie !

On peut remonter à moi, imaginons que je suis à la fac Y connecté à 15h16 avec anonymous@fac X.fr. Je fais des trucs pas trop légal à 16h26, l'admin de la fac X s'en rend compte et demande à la fac Y de lever l'identité de l'utilisateur connecté à la fac X à 15h16.

Alors oui, on ne remontera pas à moi dans la minute, peut-être dans l'heure. Mais il se peut aussi que fac X désactive immédiatement mon compte, et que fac Y me déconnecte.

J'ai pas lu, mais ce site à l'air de bien expliquer : https://sites.google.com/site/amitsciscozone/home/switching/peap---protected-eap-protocol

La page est en anglais (mal de tête assurée) avec plein de mot technique que je ne maîtrise pas trop... Donc, pas pour moi, sauf en cas de besoin très urgent et vital.