Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-08-2020 17:11:45

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

[resolu] X.509 certificate sur Bullseye

Bonjour
j'ai ceci depuis quelque temps dans le syslog sur bulllseye


Aug 15 17:55:56 amdtr4 kernel: [    0.816875] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
Aug 15 17:55:56 amdtr4 kernel: [    0.816888] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'

Aug 15 17:55:56 amdtr4 kernel: [    0.817403] AppArmor: AppArmor sha1 policy hashing enabled
Aug 15 17:55:56 amdtr4 kernel: [    0.818759] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.818902] integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da83b990422ebc8c441f8d8b0>
Aug 15 17:55:56 amdtr4 kernel: [    0.818902] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819041] integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8e581e4df77a5bb4282d5ccfc00>
Aug 15 17:55:56 amdtr4 kernel: [    0.819041] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819056] integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed>
Aug 15 17:55:56 amdtr4 kernel: [    0.819056] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819073] integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e>
Aug 15 17:55:56 amdtr4 kernel: [    0.819073] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819212] integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad91990bc22ab1f51704>
 

Dernière modification par robert2a (17-08-2020 12:53:10)

Hors ligne

#2 15-08-2020 18:18:00

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : [resolu] X.509 certificate sur Bullseye

Je suppose que le noyau linux contrôle l'intégrité des certificats utilisés par "Secure boot".

Hors ligne

#3 15-08-2020 18:34:19

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

je sais pas , mais sécure boot est désactivé , clé chargé  dans le bios ,que je peu effacé .
donc a priori une nouveauté de Bullseye

Hors ligne

#4 16-08-2020 15:10:12

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-5-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Rebonjour, robert2a, mais qu'est ce que je lis dans ton rapport ? tongue  Un passage à l'ennemi ! Tu sera fusillé 12 fois par jour en Pologne ! tongue

J'ai ces libpam :

aptitude search '~i libpam'

i A libpam-cap                                                       - POSIX 1003.1e capabilities (PAM module)                                    
i   libpam-cracklib                                                  - PAM module to enable cracklib support                                      
i A libpam-gnome-keyring                                             - PAM module to unlock the GNOME keyring upon login                          
i   libpam-modules                                                   - Pluggable Authentication Modules for PAM                                  
i   libpam-modules-bin                                               - Pluggable Authentication Modules for PAM - helper binaries                
i   libpam-runtime                                                   - Runtime support for the PAM library                                        
i   libpam-systemd                                                   - system and service manager - PAM module                                    
i   libpam-tmpdir                                                    - automatic per-user temporary directories                                  
i   libpam0g                                                         - Pluggable Authentication Modules library              



et que je regarde avec dmesg ou avec syslog cela me donne pareil  :

dmesg | grep       "cert\|eyring\|integr"

[    0.967905] Initialise system trusted keyrings
[    0.969860] integrity: Platform Keyring initialized
[    0.983765] Loading compiled-in X.509 certificates
[    1.025201] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    1.025269] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
 



Avec la même commande, as-tu une initialisation des trousseaux de clés de confiance au niveau système ? Initialise system trusted keyrings

Un peu de lecture à ce sujet :
https://translate.google.fr/translate?h … &sandbox=1


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#5 16-08-2020 18:03:28

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-5-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Plus direct au but : révoquer et ne pas restaurer les certificats qui te déplaisent, un tuto ici :

https://www.digitalocean.com/community/ … bian-10-fr

Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#6 17-08-2020 07:02:58

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

re,


aptitude search '~i libpam'
i   libpam-cap                                                     - POSIX 1003.1e capabilities (PAM module)                                  
i   libpam-doc                                                     - Documentation of PAM                                                    
i   libpam-modules                                                 - Pluggable Authentication Modules for PAM                                
i   libpam-modules-bin                                             - Pluggable Authentication Modules for PAM - helper binaries              
i   libpam-runtime                                                 - Runtime support for the PAM library                                      
i   libpam-systemd                                                 - system and service manager - PAM module                                  
i   libpam0g                                                       - Pluggable Authentication Modules library  
 




dmesg | grep       "cert\|eyring\|integr"
[    0.748696] Initialise system trusted keyrings
[    0.749863] integrity: Platform Keyring initialized
[    0.766017] Loading compiled-in X.509 certificates
[    0.791817] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    0.791833] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
[    0.793013] integrity: Loading X.509 certificate: UEFI:db
[    0.793176] integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da83b990422ebc8c441f8d8b039a65a2'
[    0.793177] integrity: Loading X.509 certificate: UEFI:db
[    0.793330] integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8e581e4df77a5bb4282d5ccfc00c071'
[    0.793330] integrity: Loading X.509 certificate: UEFI:db
[    0.793347] integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed522988a1bd4'
[    0.793347] integrity: Loading X.509 certificate: UEFI:db
[    0.793363] integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e4f9ae17c55af53'
[    0.793364] integrity: Loading X.509 certificate: UEFI:db
[    0.793521] integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad91990bc22ab1f517048c23b6655a268e345a63'
 



je suppose ce paquet  =>  https://packages.debian.org/fr/bullseye/ca-certificates

je vois pas ce que je peu faire , supprimer les clés de mon bios UEFI , mettre une version de buster pour le paquet "ca-certificates"
ps:les 2 machines ont la même version du bios avec une carte mère différente (sauf le threadripper (3 ème machine) qui a un bios différent des ryzen )
pour debian ok , Asus ok c'est une CM de la marque , mais les autres ?
en plus les 5 derniers bien précisé UEFI:db

Dernière modification par robert2a (17-08-2020 07:25:26)

Hors ligne

#7 17-08-2020 07:32:14

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

voila clé du sécure-key remit a 0


dmesg | grep       "cert\|eyring\|integr"
[    0.749246] Initialise system trusted keyrings
[    0.750412] integrity: Platform Keyring initialized
[    0.766066] Loading compiled-in X.509 certificates
[    0.791888] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    0.791904] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
 



avec Asus pas compliqué , le bios est bien foutu .

il y a 3 états pour l UEFI
clé absente (non-chargé) + sécure-boot désactivé
clé présente(chargé) + secure-boot désactivé
clé présente(chargé) + secure-boot actif

ps: a chaque mise a jour du bios je suppose (pas vérifié) que les clés sont régénérées .

et pour debian il prend en charge le sécure-boot maintenant ?

=>   https://wiki.debian.org/SecureBoot

Dernière modification par robert2a (17-08-2020 12:43:14)

Hors ligne

#8 17-08-2020 08:58:05

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-5-amd64
(G)UI : mutter 3.38.4-1
Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Bonjour robert2a, comme je n'ai pas l'UEFI, ma machine n'a que le BIOS un peu vérolé par les erreurs ACPI d'HP, mon aide ne sera pas aussi efficace et pertinente finalement que tes recherches. Et je ne voudrais pas devenir un boulet qui te fasse faire des boulettes.  big_smile

J'ai juste trouvé l'emplacement des certificats Mozilla parce que j'avais téléchargé un certificat Microsoft juste pour voir qu'il avait une extension en .crt

find / -iname *.crt -print



secure-key qu'es aco ? Plutôt quelle secure-key et dans quel contexte ?

Dernière modification par --gilles-- (17-08-2020 09:51:04)


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

Hors ligne

#9 17-08-2020 12:41:46

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu] X.509 certificate sur Bullseye

Bonjour


secure-key qu'es aco ? Plutôt quelle secure-key et dans quel contexte ?
 


un truc que j'ai inventé , les clé de l' UEFI  pour  le secure-boot
dans le bios (en FR) nommé simplement "clé" , plusieurs pas le détail en tête
je vais modifié au dessus

pour la liste des certificats très longue (/usr/share/ca-certificates/mozilla/)
et deux a part


/usr/share/doc/ca-certificates/examples/ca-certificates-local/local/Local_Root_CA.crt
/etc/ssl/certs/ca-certificates.crt
 


ps: la commande a cherché dans tous les disques smile

nota: remplacé "secure key" qui n'existe pas par "secure-boot"  en #7

on sait que le noyau va lire les certificats présent dans l' UEFI (certificats sûrement contenue dans les clés et stocké je ne sais ou (EFI ou disque) )
signalé en #2
pour debian dans le noyau signé

Dernière modification par robert2a (17-08-2020 12:55:22)

Hors ligne

Pied de page des forums