logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-08-2020 17:11:45

anonyme
Invité

[resolu] X.509 certificate sur Bullseye

Bonjour
j'ai ceci depuis quelque temps dans le syslog sur bulllseye


Aug 15 17:55:56 amdtr4 kernel: [    0.816875] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
Aug 15 17:55:56 amdtr4 kernel: [    0.816888] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'

Aug 15 17:55:56 amdtr4 kernel: [    0.817403] AppArmor: AppArmor sha1 policy hashing enabled
Aug 15 17:55:56 amdtr4 kernel: [    0.818759] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.818902] integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da83b990422ebc8c441f8d8b0>
Aug 15 17:55:56 amdtr4 kernel: [    0.818902] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819041] integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8e581e4df77a5bb4282d5ccfc00>
Aug 15 17:55:56 amdtr4 kernel: [    0.819041] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819056] integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed>
Aug 15 17:55:56 amdtr4 kernel: [    0.819056] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819073] integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e>
Aug 15 17:55:56 amdtr4 kernel: [    0.819073] integrity: Loading X.509 certificate: UEFI:db
Aug 15 17:55:56 amdtr4 kernel: [    0.819212] integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad91990bc22ab1f51704>
 

Dernière modification par anonyme (17-08-2020 12:53:10)

#2 15-08-2020 18:18:00

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : [resolu] X.509 certificate sur Bullseye

Je suppose que le noyau linux contrôle l'intégrité des certificats utilisés par "Secure boot".

Hors ligne

#3 15-08-2020 18:34:19

anonyme
Invité

Re : [resolu] X.509 certificate sur Bullseye

je sais pas , mais sécure boot est désactivé , clé chargé  dans le bios ,que je peu effacé .
donc a priori une nouveauté de Bullseye

#4 16-08-2020 15:10:12

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : Debian 12
Noyau : Linux 6.1.0-26-amd64
(G)UI : Gnome - mutter 43.8-0+deb12u1
Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Rebonjour, anonyme, mais qu'est ce que je lis dans ton rapport ? tongue  Un passage à l'ennemi ! Tu sera fusillé 12 fois par jour en Pologne ! tongue

J'ai ces libpam :

aptitude search '~i libpam'

i A libpam-cap                                                       - POSIX 1003.1e capabilities (PAM module)                                    
i   libpam-cracklib                                                  - PAM module to enable cracklib support                                      
i A libpam-gnome-keyring                                             - PAM module to unlock the GNOME keyring upon login                          
i   libpam-modules                                                   - Pluggable Authentication Modules for PAM                                  
i   libpam-modules-bin                                               - Pluggable Authentication Modules for PAM - helper binaries                
i   libpam-runtime                                                   - Runtime support for the PAM library                                        
i   libpam-systemd                                                   - system and service manager - PAM module                                    
i   libpam-tmpdir                                                    - automatic per-user temporary directories                                  
i   libpam0g                                                         - Pluggable Authentication Modules library              



et que je regarde avec dmesg ou avec syslog cela me donne pareil  :

dmesg | grep       "cert\|eyring\|integr"

[    0.967905] Initialise system trusted keyrings
[    0.969860] integrity: Platform Keyring initialized
[    0.983765] Loading compiled-in X.509 certificates
[    1.025201] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    1.025269] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
 



Avec la même commande, as-tu une initialisation des trousseaux de clés de confiance au niveau système ? Initialise system trusted keyrings

Un peu de lecture à ce sujet :
https://translate.google.fr/translate?h … &sandbox=1


Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
 Intel® Core™2 Duo E8500  × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil palestine.png

Hors ligne

#5 16-08-2020 18:03:28

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : Debian 12
Noyau : Linux 6.1.0-26-amd64
(G)UI : Gnome - mutter 43.8-0+deb12u1
Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Plus direct au but : révoquer et ne pas restaurer les certificats qui te déplaisent, un tuto ici :

https://www.digitalocean.com/community/ … bian-10-fr

Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
 Intel® Core™2 Duo E8500  × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil palestine.png

Hors ligne

#6 17-08-2020 07:02:58

anonyme
Invité

Re : [resolu] X.509 certificate sur Bullseye

re,


aptitude search '~i libpam'
i   libpam-cap                                                     - POSIX 1003.1e capabilities (PAM module)                                  
i   libpam-doc                                                     - Documentation of PAM                                                    
i   libpam-modules                                                 - Pluggable Authentication Modules for PAM                                
i   libpam-modules-bin                                             - Pluggable Authentication Modules for PAM - helper binaries              
i   libpam-runtime                                                 - Runtime support for the PAM library                                      
i   libpam-systemd                                                 - system and service manager - PAM module                                  
i   libpam0g                                                       - Pluggable Authentication Modules library  
 




dmesg | grep       "cert\|eyring\|integr"
[    0.748696] Initialise system trusted keyrings
[    0.749863] integrity: Platform Keyring initialized
[    0.766017] Loading compiled-in X.509 certificates
[    0.791817] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    0.791833] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
[    0.793013] integrity: Loading X.509 certificate: UEFI:db
[    0.793176] integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da83b990422ebc8c441f8d8b039a65a2'
[    0.793177] integrity: Loading X.509 certificate: UEFI:db
[    0.793330] integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8e581e4df77a5bb4282d5ccfc00c071'
[    0.793330] integrity: Loading X.509 certificate: UEFI:db
[    0.793347] integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed522988a1bd4'
[    0.793347] integrity: Loading X.509 certificate: UEFI:db
[    0.793363] integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e4f9ae17c55af53'
[    0.793364] integrity: Loading X.509 certificate: UEFI:db
[    0.793521] integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad91990bc22ab1f517048c23b6655a268e345a63'
 



je suppose ce paquet  =>  https://packages.debian.org/fr/bullseye/ca-certificates

je vois pas ce que je peu faire , supprimer les clés de mon bios UEFI , mettre une version de buster pour le paquet "ca-certificates"
ps:les 2 machines ont la même version du bios avec une carte mère différente (sauf le threadripper (3 ème machine) qui a un bios différent des ryzen )
pour debian ok , Asus ok c'est une CM de la marque , mais les autres ?
en plus les 5 derniers bien précisé UEFI:db

Dernière modification par anonyme (17-08-2020 07:25:26)

#7 17-08-2020 07:32:14

anonyme
Invité

Re : [resolu] X.509 certificate sur Bullseye

voila clé du sécure-key remit a 0


dmesg | grep       "cert\|eyring\|integr"
[    0.749246] Initialise system trusted keyrings
[    0.750412] integrity: Platform Keyring initialized
[    0.766066] Loading compiled-in X.509 certificates
[    0.791888] Loaded X.509 cert 'Debian Secure Boot CA: 6ccece7e4c6c0d1f6149f3dd27dfcc5cbb419ea1'
[    0.791904] Loaded X.509 cert 'Debian Secure Boot Signer 2020: 00b55eb3b9'
 



avec Asus pas compliqué , le bios est bien foutu .

il y a 3 états pour l UEFI
clé absente (non-chargé) + sécure-boot désactivé
clé présente(chargé) + secure-boot désactivé
clé présente(chargé) + secure-boot actif

ps: a chaque mise a jour du bios je suppose (pas vérifié) que les clés sont régénérées .

et pour debian il prend en charge le sécure-boot maintenant ?

=>   https://wiki.debian.org/SecureBoot

Dernière modification par anonyme (17-08-2020 12:43:14)

#8 17-08-2020 08:58:05

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : Debian 12
Noyau : Linux 6.1.0-26-amd64
(G)UI : Gnome - mutter 43.8-0+deb12u1
Inscription : 15-02-2016

Re : [resolu] X.509 certificate sur Bullseye

Bonjour anonyme, comme je n'ai pas l'UEFI, ma machine n'a que le BIOS un peu vérolé par les erreurs ACPI d'HP, mon aide ne sera pas aussi efficace et pertinente finalement que tes recherches. Et je ne voudrais pas devenir un boulet qui te fasse faire des boulettes.  big_smile

J'ai juste trouvé l'emplacement des certificats Mozilla parce que j'avais téléchargé un certificat Microsoft juste pour voir qu'il avait une extension en .crt

find / -iname *.crt -print



secure-key qu'es aco ? Plutôt quelle secure-key et dans quel contexte ?

Dernière modification par --gilles-- (17-08-2020 09:51:04)


Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
 Intel® Core™2 Duo E8500  × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil palestine.png

Hors ligne

#9 17-08-2020 12:41:46

anonyme
Invité

Re : [resolu] X.509 certificate sur Bullseye

Bonjour


secure-key qu'es aco ? Plutôt quelle secure-key et dans quel contexte ?
 


un truc que j'ai inventé , les clé de l' UEFI  pour  le secure-boot
dans le bios (en FR) nommé simplement "clé" , plusieurs pas le détail en tête
je vais modifié au dessus

pour la liste des certificats très longue (/usr/share/ca-certificates/mozilla/)
et deux a part


/usr/share/doc/ca-certificates/examples/ca-certificates-local/local/Local_Root_CA.crt
/etc/ssl/certs/ca-certificates.crt
 


ps: la commande a cherché dans tous les disques smile

nota: remplacé "secure key" qui n'existe pas par "secure-boot"  en #7

on sait que le noyau va lire les certificats présent dans l' UEFI (certificats sûrement contenue dans les clés et stocké je ne sais ou (EFI ou disque) )
signalé en #2
pour debian dans le noyau signé

Dernière modification par anonyme (17-08-2020 12:55:22)

Pied de page des forums