diff options
| -rw-r--r-- | fr/appendix/preseed.xml | 18 | ||||
| -rw-r--r-- | fr/boot-new/boot-new.xml | 140 | ||||
| -rw-r--r-- | fr/hardware/hardware-supported.xml | 14 | ||||
| -rw-r--r-- | fr/hardware/supported/powerpc.xml | 177 | ||||
| -rw-r--r-- | fr/using-d-i/components.xml | 4 | ||||
| -rw-r--r-- | fr/using-d-i/modules/mdcfg.xml | 8 | ||||
| -rw-r--r-- | fr/using-d-i/modules/partman-crypto.xml | 341 |
7 files changed, 610 insertions, 92 deletions
diff --git a/fr/appendix/preseed.xml b/fr/appendix/preseed.xml index 12c601ec5..67074caa7 100644 --- a/fr/appendix/preseed.xml +++ b/fr/appendix/preseed.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 38429 --> +<!-- original version: 38662 --> <!-- Be carefull with the format of this file as it is parsed to generate @@ -610,6 +610,22 @@ avant de charger le fichier de préconfiguration, utilisez un paramètre comme cel </para> +<para> + +Quand vous utilisez la préconfiguration de type network (avec <quote>preseed/url</quote>), +il n'est pas possible normalement de préconfigurer le réseau. Cependant il existe un truc. +Vous voudriez par exemple définir l'adresse de l'interface réseau : il suffit de +forcer la configuration du réseau à s'exécuter une nouvelle fois après que le +fichier de préconfiguration a été chargé. Le script <quote>preseed/run</quote> suivant +fera l'affaire : + +<informalexample><screen> +killall.sh dhclient +netcfg +</screen></informalexample> + +</para> + <informalexample role="example"><screen> #Netcfg choisira une interface connectée si possible. Cela empêchera d'afficher #une liste s'il y a plusieurs interfaces. diff --git a/fr/boot-new/boot-new.xml b/fr/boot-new/boot-new.xml index f4b9e1c3c..be7d35426 100644 --- a/fr/boot-new/boot-new.xml +++ b/fr/boot-new/boot-new.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 33725 --> +<!-- original version: 38703 --> <chapter id="boot-new"> <title>Démarrer votre nouveau système Debian</title> @@ -178,12 +178,148 @@ d'autres systèmes) dans le fichier <filename>/etc/yaboot.conf</filename> et démarrer <command>ybin</command> pour mettre à jour votre partition de démarrage avec la nouvelle configuration. Lisez le -<ulink url="&url-powerpc-yaboot-faq;">yaboot HOWTO</ulink>. +<ulink url="&url-powerpc-yaboot-faq;">HOWTO sur yaboot</ulink>. </para> </sect2> </sect1> + <sect1 id="mount-encrypted-volumes"> + <title>Le montage des volumes chiffrés</title> + +<para> + +Si vous avez créé des volumes chiffrés et leurs points de montage pendant l'installation, +vous devrez fournir pendant le démarrage la phrase de passe pour chaque volume. +La procédure diffère légèrement pour les méthodes dm-crypt et loop-AES. + +</para> + + <sect2 id="mount-loop-aes"> + <title>loop-AES</title> + +<para> + +Pour les partitions chiffrées avec loop-AES, l'invite pendant l'amorçage +sera : + +<informalexample><screen> +mount: going to use loop device /dev/loop<replaceable>X</replaceable> +Password: +</screen></informalexample> + +Le <replaceable>X</replaceable> sur la première ligne de l'invite +est le chiffre du périphérique. Vous vous demandez probablement +<emphasis>pour quel volume</emphasis> vous saisissez la phrase de passe. +Est-ce pour <filename>/home</filename>, pour <filename>/var</filename> ? +Bien sûr si vous n'avez chiffré qu'un seul volume, c'est facile et vous n'avez +qu'à saisir la phrase utilisée. Si vous avez chiffré plusieurs volumes, les notes +que vous avez prises pendant l'installation (étape <xref linkend="partman-crypto"/>) +vous serviront bien. Si vous n'avez pas noté la correspondance entre +<filename>loop<replaceable>X</replaceable></filename> et les points de montage, +vous pouvez les trouver dans le fichier <filename>/etc/fstab</filename> de votre +nouveau système. +</para> + +<para> + +Quand vous saisissez la phrase, aucun caractère (même pas l'astérisque) n'est montré. +Faites attention, vous n'avez qu'<emphasis>un seul essai</emphasis>. Si vous +saisissez une mauvaise phrase, un message d'erreur apparaîtra et le processus de démarrage +sautera ce volume et continuera avec les autres volumes. Veuillez consulter +<xref linkend="crypto-troubleshooting"/> pour d'autres informations. +</para> + +<para> +Une fois toutes les phrases saisies, le processus de démarrage se poursuit +normalement. +</para> +</sect2> + + <sect2 id="mount-dm-crypt"> + <title>dm-crypt</title> + +<para condition="FIXME"> + +TODO: write something once it works. +</para> + </sect2> + + <sect2 id="crypto-troubleshooting"> + <title>En cas de problèmes</title> + + +<para> + +Quand vous n'avez pas pu monter certains volumes à cause d'une mauvaise +phrase de passe, vous devez les monter après le démarrage. Il y a plusieurs cas. + +</para> + +<itemizedlist> +<listitem><para> + +Le premier cas concerne la partition racine. Si elle n'est pas montée +correctement, le processus de démarrage s'arrête et vous devez réamorcer la machine. + +</para></listitem> +<listitem><para> + +Le cas le plus simple concerne les volumes contenant des données comme +<filename>/home</filename> ou <filename>/srv</filename>. Vous pouvez +les monter après le démarrage. Avec loop-AES, une seule opération est nécessaire : + +<informalexample><screen> +<prompt>#</prompt> <userinput>mount <replaceable>/mount_point</replaceable></userinput> +<prompt>Password:</prompt> +</screen></informalexample> + +où <replaceable>/mount_point</replaceable> doit être remplacé par un répertoire +(par exemple, <filename>/home</filename>). La différence avec le montage d'une partition +ordinaire est qu'on vous demandera de saisir la phrase de passe. + +</para><para> + +Avec dm-crypt, c'est un peu plus compliqué. Vous devez d'abord enregistrer +les volumes avec <application>device mapper</application> de cette façon : + +<informalexample><screen> +<prompt>#</prompt> <userinput>/etc/init.d/cryptdisks start</userinput> +</screen></informalexample> + +Tous les volumes listés dans <filename>/etc/crypttab</filename> seront examinés +et les périhériques seront créés dans le répertoire <filename>/dev</filename> +après avoir entré les bonnes phrases de passe. Les volumes déjà enregistrés sont +sautés et vous pouvez répéter cette commande sans souci. Quand l'enregistrement +des volumes sera terminé, vous pouvez simplement les monter de la façon habituelle : + +<informalexample><screen> +<prompt>#</prompt> <userinput>mount <replaceable>/mount_point</replaceable></userinput> +</screen></informalexample> + +</para></listitem> +<listitem><para> + +Quand des volumes contenant des systèmes de fichiers non critiques +(<filename>/usr</filename> ou <filename>/var</filename>) n'ont pas été montés, le +système doit s'amorcer malgé tout et vous pouvez monter ces volumes +comme dans le cas précédent. Mais vous aurez besoin de (re)lancer les +services qui fonctionnent habituellement car il est probable qu'ils n'auront pas été +lancés. Le plus simple est de passer sur le premier niveau de fonctionnement +(<quote>runlevel</quote>) en entrant : + +<informalexample><screen> +<prompt>#</prompt> <userinput>init 1</userinput> +</screen></informalexample> + +et en pressant les touches <keycombo> <keycap>Control</keycap><keycap>D</keycap> </keycombo> +quand le mot de passe du superutilisateur est demandé. + +</para></listitem> +</itemizedlist> + + </sect2> + </sect1> <sect1 id="login"> <title>Se connecter</title> diff --git a/fr/hardware/hardware-supported.xml b/fr/hardware/hardware-supported.xml index e78adf2a1..7d184c051 100644 --- a/fr/hardware/hardware-supported.xml +++ b/fr/hardware/hardware-supported.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 36908 --> +<!-- original version: 38778 --> <sect1 id="hardware-supported"> <title>Matériel reconnu</title> @@ -97,9 +97,7 @@ appelées <quote>saveurs</quote>. <entry>nslu2</entry> </row><row> <entry>RiscPC</entry> - <entry>riscpc</entry> -</row><row> - <entry>lart</entry> + <entry>rpc</entry> </row> <row> @@ -136,13 +134,11 @@ appelées <quote>saveurs</quote>. </row> <row> - <entry morerows="4">MIPS (grand boutien)</entry> - <entry morerows="4">mips</entry> - <entry morerows="1">SGI IP22 (Indy/Indigo 2)</entry> + <entry morerows="3">MIPS (grand boutien)</entry> + <entry morerows="3">mips</entry> + <entry>SGI IP22 (Indy/Indigo 2)</entry> <entry>r4k-ip22</entry> </row><row> - <entry>r5k-ip22</entry> -</row><row> <entry>SGI IP32 (O2)</entry> <entry>r5k-ip32</entry> </row><row> diff --git a/fr/hardware/supported/powerpc.xml b/fr/hardware/supported/powerpc.xml index 160dec628..cbf2eb58b 100644 --- a/fr/hardware/supported/powerpc.xml +++ b/fr/hardware/supported/powerpc.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 30269 --> +<!-- original version: 38791 --> <sect2 arch="powerpc"> <title>Microprocesseurs, cartes mère et cartes vidéo</title> @@ -7,14 +7,14 @@ <para> Il y a quatre variantes principales de <emphasis>&architecture;</emphasis> -reconnues : PMac (Power-Macintosh), PReP, APUS (Amiga Power-UP System) et +reconnues : PMac (Power-Macintosh ou PowerMac ), PReP, APUS (Amiga Power-UP System) et CHRP. Chacune de ces sous-architectures possède sa méthode d'amorçage. Les différents processeurs sont associés à quatre noyaux différents. </para> <para> Des portages d'autres architectures <emphasis>&architecture;</emphasis>, telles que Be-Box et MBX sont en cours, mais pas encore faits. Nous aurons -peut-être aussi un portage 64 bits (Power3). +peut-être aussi un portage 64 bits. </para> @@ -30,32 +30,41 @@ processeur : <listitem><para> La plupart des systèmes utilisent cette variante qui reconnaît les processeurs -PowerPC 601, 603, 604, 740, 750 et 7400. Tous les systèmes Apple Power -Macintosh jusqu'au G4 utilisent l'un de ces processeurs. +PowerPC 601, 603, 604, 740, 750 et 7400. Toutes les machines Apple PowerMac +jusqu'à G4 utilisent l'un de ces processeurs. </para></listitem> </varlistentry> <varlistentry> -<term>power3</term> +<term>power64</term> <listitem><para> +La variante power64 acceptent les processeurs suivants : + +</para><para> + Le processeur POWER3 est utilisé par les anciens systèmes IBM 64 bits. On trouve les machines IntelliStation POWER Model 265, les pSeries 610 et 640 et les RS/6000 7044-170, 7043-260, 7044-270. -</para></listitem> -</varlistentry> -<varlistentry> -<term>power4</term> -<listitem><para> +</para><para> Le processeur POWER4 est utilisé par les nouveaux systèmes IBM 64 bits. On trouve les machines pSeries 615, 630, 650, 655, 670 et 690. </para> <para> -L'Apple G5 est aussi basé sur l'architecture POWER4 et utilise cette variante -du noyau. +L'Apple G5 (processeur PPC970FX) est aussi basé sur l'architecture POWER4 +et utilise cette variante du noyau. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>prep</term> +<listitem><para> + +Cette variante du noyau est destiné à la sous-architecture PReP. </para></listitem> </varlistentry> @@ -64,7 +73,8 @@ du noyau. <term>apus</term> <listitem><para> -Cette variante est destinée au système Amiga Power-UP. +Cette variante est destinée au système Amiga Power-UP. Elle est actuellement +désactivée. </para></listitem> @@ -78,81 +88,33 @@ Cette variante est destinée au système Amiga Power-UP. <para> Apple (et quelques autres constructeurs, Power Computing, par -exemple), produit une série d'ordinateurs Macintosh basés sur le processeur -PowerPC. On distingue trois catégories : Nubus, OldWorld PCI et NewWorld. -</para> - -<para> -Les ordinateurs Macintosh utilisant la série des microprocesseurs 680x0 ne -font pas partie de la famille des PowerPC mais de celle des machines m68k. -Ces modèles commencent avec les <quote>Mac II</quote> ou bien ont un -numéro de modèle à trois chiffres comme « Centris 650 » ou -« Quadra 950 ». Les numéros de modèles PowerPC pré-iMac de chez -Apple ont quatre chiffres. +exemple), a produit une série d'ordinateurs Macintosh basés sur le processeur +PowerPC. On distingue trois catégories : Nubus (non gérée par Debian), OldWorld PCI +et NewWorld. </para> <para> -Les systèmes Nubus ne sont pas reconnus par debian/powerpc -pour le moment. L'architecture monolithique du noyau -Linux/PPC n'accepte pas ces machines ; à la place, il faut -utiliser le micronoyau MkLinux Mach, que Debian ne gère pas encore. -Cela inclut les modèles suivants : - -<itemizedlist> -<listitem><para> - -Power Macintosh 6100, 7100, 8100 - - -</para></listitem> -<listitem><para> - -Performa 5200, 6200, 6300 - -</para></listitem> -<listitem><para> - -Powerbook 1400, 2300 et 5300 - -</para></listitem> -<listitem><para> - -Workgroup Server 6150, 8150, 9150 - -</para></listitem> - -</itemizedlist> - -Il existe un noyau Linux pour ces machines et on trouve un support limité -sur la <ulink url="http://nubus-pmac.sourceforge.net/">page</ulink>. - - -</para> +Les systèmes OldWorld représentent la plupart des PowerMacintosh +qui possèdent un lecteur de disquettes et un bus PCI. La plupart des Power Macintosh +603,603e,604 et 604e sont des machines OldWorld. Les numéros de modèles PowerPC pré-iMac +de chez Apple ont quatre chiffres, sauf les systèmes G3 de couleur beige qui sont aussi +des OldWorld. -<para> -Les systèmes OldWorld représentent la plupart des Power -Macintosh qui possèdent un lecteur de disquettes et un bus -PCI. La plupart des Power Macintoshs 603,603e,604 et 604e, -en incluant les 7200, 7300, 7500, 7600, 8500, 8600, 9500 et -9600 sont des machines OldWorld. Les systèmes G3 de couleur -beige sont aussi des OldWorld. </para> - <para> Les machines appelées PowerMacs NewWorld sont les PowerMacs -avec un boîtier en plastique de couleur translucide : +avec un boîtier en plastique de couleur translucide : tous les iMacs, iBooks, G4, G3 de couleur bleue et la plupart des PowerBooks fabriqués à partir de 1999. Les PowerMacs NewWorld sont aussi connus pour utiliser le système <quote>Rom en Ram</quote> de MacOS et ont commencé -à être fabriqués à partir de mi-1998. -</para> +à être fabriqués à partir de 1998. +</para> <para> - Les spécifications pour le matériel Apple sont disponibles sur <ulink url="http://www.info.apple.com/support/applespec.html">AppleSpec</ulink>, -et pour le matériel plus ancien, +et pour le matériel plus ancien, <ulink url="http://www.info.apple.com/support/applespec.legacy/index.html">AppleSpec Legacy</ulink>. </para> @@ -172,7 +134,7 @@ et pour le matériel plus ancien, <tbody> <row> - <entry morerows="22">Apple</entry> + <entry morerows="27">Apple</entry> <entry>iMac Bondi Blue, 5 Flavors, Slot Loading</entry> <entry>NewWorld</entry> </row><row> @@ -290,7 +252,7 @@ et pour le matériel plus ancien, </sect3> -<sect3><title>La sous-subarchitecture PReP</title> +<sect3><title>La sous-architecture PReP</title> <para> @@ -381,4 +343,67 @@ et pour le matériel plus ancien, </para> </sect3> + +<sect3><title>Sous-architecture Nubus PowerMac (non gérée)</title> + +<para> +Les systèmes Nubus ne sont pas reconnus par Debian/powerpc +pour le moment. L'architecture monolithique du noyau +Linux/PPC n'accepte pas ces machines ; à la place, il faut +utiliser le micronoyau MkLinux Mach, que Debian ne gère pas encore. +Cela inclut les modèles suivants : + +<itemizedlist> +<listitem><para> + +Power Macintosh 6100, 7100, 8100 + +</para></listitem> +<listitem><para> + +Performa 5200, 6200, 6300 + +</para></listitem> +<listitem><para> + +Powerbook 1400, 2300, et 5300 + +</para></listitem> +<listitem><para> + +Workgroup Server 6150, 8150, 9150 + +</para></listitem> +</itemizedlist> + +Il existe un noyau Linux pour ces machines et on trouve un support limité sur +<ulink url="http://nubus-pmac.sourceforge.net/"></ulink>. + +</para> +</sect3> + +<sect3><title>Mac non PowerPC</title> + +<para> + +Les ordinateurs Macintosh utilisant la série des microprocesseurs 680x0 ne +font pas partie de la famille des PowerPC mais de celle des machines m68k. +Ces modèles commencent avec les <quote>Mac II</quote>, continuent avec les +<quote>LC</quote>, puis les <quote>Centris</quote> et les <quote>Quadras</quote> +et <quote>Performas</quote>.Ces modèles ont un numéro à trois chiffres comme +Mac IIcx, LCIII ou Quadra 950. +</para> +<para> +Ces modèles commencent avec les Mac II (Mac II, IIx, IIcx, IIci, +IIsi, IIvi, IIvx, IIfx), then the LC (LC, LCII, III, III+, 475, 520, +550, 575, 580, 630), puis les Mac TV, puis les Centris (610, 650, +660AV), les Quadra (605, 610, 630, 650, 660AV, 700, 800, 840AV, 900, +950), et en fin Performa 200-640CD. +</para> +<para> +Pour les portables, ces modèles commencent avec le Mac Portable, puis +les PowerBook 100-190cs et les PowerBook Duo 210-550c (en excluant le +PowerBook 500, qui est de type Nubus, voyez la section ci-dessus. +</para> +</sect3> </sect2>
\ No newline at end of file diff --git a/fr/using-d-i/components.xml b/fr/using-d-i/components.xml index 6e94b5366..cb6a111b4 100644 --- a/fr/using-d-i/components.xml +++ b/fr/using-d-i/components.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 37253 --> +<!-- original version: 38703 --> <sect1 id="module-details"> <title>Utilisation des composants</title> @@ -73,6 +73,8 @@ périphériques LVM ou RAID, peuvent aussi être menées à bien. &module-partconf.xml; &module-lvmcfg.xml; &module-mdcfg.xml; +&module-partman-crypto.xml; + </sect2> diff --git a/fr/using-d-i/modules/mdcfg.xml b/fr/using-d-i/modules/mdcfg.xml index f5d68d2ee..88e5f5e0f 100644 --- a/fr/using-d-i/modules/mdcfg.xml +++ b/fr/using-d-i/modules/mdcfg.xml @@ -1,5 +1,5 @@ <?xml version="1.0" encoding="ISO-8859-1"?> -<!-- original version: 33725 --> +<!-- original version: 38703 --> <sect3 id="mdcfg"> <title>Configuration d'un périphérique à plusieurs disques (RAID logiciel)</title> @@ -152,8 +152,10 @@ configuration ou d'installation dans un shell. </para></warning> <para> Ensuite, vous choisissez <guimenuitem>Configurer le RAID logiciel</guimenuitem> -dans le menu principal de <command>partman</command>. Dans le premier écran -de <command>mdcfg</command>, sélectionnez +dans le menu principal de <command>partman</command>. +Le menu n'apparaît que si vous avez sélectionné au moins une partition à +utiliser comme <guimenuitem>volume physique pour RAID</guimenuitem>. +Dans le premier écran de <command>mdcfg</command>, sélectionnez <guimenuitem>Créer un périphérique à plusieurs disques</guimenuitem>. Une liste des types acceptés pour ces périphériques est affichée et vous pouvez en choisir un, par exemple RAID1. La suite dépend du type que vous avez choisi. diff --git a/fr/using-d-i/modules/partman-crypto.xml b/fr/using-d-i/modules/partman-crypto.xml new file mode 100644 index 000000000..bf9dec1b6 --- /dev/null +++ b/fr/using-d-i/modules/partman-crypto.xml @@ -0,0 +1,341 @@ +<?xml version="1.0" encoding="ISO-8859-1"?> +<!-- original version: 38703 --> + + <sect3 id="partman-crypto"> + <title>Configuration des volumes chiffrés</title> +<para> + +L'installateur Debian permet le chiffrement des partitions. Tout fichier +destiné à une partition chiffrée est sauvegardé sur le périphérique sous +une forme chiffrée. L'accès aux données chiffrées n'est autorisé qu'après +avoir fourni la <firstterm>phrase de passe</firstterm> qui avait été donnée +lors de la création de la partition chiffrée. Ce mécanisme est utile pour +protéger des données sensibles en cas de vol du portable ou du disque +dur. Le voleur a bien un accès physique au disque dur mais, sans la phrase +de passe, les données ne sont qu'une suite inintelligible de caractères. + +</para><para> + +Le chiffrement est particulièrement important pour deux partitions, la +partition /home avec les données privées et la partition d'échange où +peuvent se trouver stockées temporairement des données sensibles. Bien sûr, +vous pouvez chiffrer n'importe quelle partition, par exemple <filename>/var</filename> +où se trouvent les données des serveurs de base de données, des serveurs de +courrier ou d'impression, <filename>/tmp</filename> avec ses fichiers temporaires, etc. Vous +pouvez même chiffrer le système complet. La seule exception est qu'on ne +peut pas chiffrer la partition <filename>/boot</filename> car il n'existe actuellement aucun +moyen de charger le noyau à partir d'une partition chiffrée. + +</para><note><para> + +Il faut noter que la performance d'une machine avec partitions chiffrées +sera inférieure à celle d'un machine sans. En effet les données doivent être +chiffrées ou déchiffrées à chaque lecture ou écriture. L'impact sur la +performance dépend de la vitesse du processeur, de l'algorithme choisi et de +la longueur de la clé. + +</para></note><para> + +Pour chiffrer une partition, vous devez d'abord la créer, dans le menu de +partitionnement. Une autre possibilité est d'utiliser une partition +existante, par exemple, une partition ordinaire, un volume logique (LVM) ou +un volume RAID. Dans le menu <guimenu>Caractéristiques de la partition</guimenu>, +vous devez modifier la première option pour qu'elle +affiche <menuchoice> <guimenu>Utiliser comme :</guimenu> <guimenuitem>volume +physique à chiffrer</guimenuitem></menuchoice>. Le menu affichera alors +différentes options de chiffrement pour la partition. + +</para><para> + +L'installateur debian propose plusieurs méthodes de chiffrement. Par défaut, +la méthode est <firstterm>dm-crypt</firstterm>, qui fait partie des noyaux +linux récents, et qui peut gérer les volumes LVM. Un autre méthode est +<firstterm>loop-AES</firstterm>, plus ancienne et maintenue en marge du + +<!-- TODO: link to the "Debian block device encryption guide" + once Max writes it :-) --> + +</para><para> + +Voyons tout d'abord les options disponibles quand on a sélectionné la +méthode de chiffrement <userinput>Device-mapper (dm-crypt)</userinput>. Et +bien sûr, en cas de doute, il faut utiliser les options par défaut car elles +ont été choisies en visant la sécurité. + +<variablelist> + +<varlistentry> +<term>Chiffrement : <userinput>aes</userinput</term> + +<listitem><para> + +Cette option permet de choisir l'algorithme de chiffrement +(<firstterm>cipher</firstterm>) qui servira à chiffrer les données de la +partition. Actuellement l'installateur debian accepte les algorithmes de type +bloc suivants : <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>, +<firstterm>serpent</firstterm> et <firstterm>twofish</firstterm>. Nous ne +discuterons pas ici de la qualité de ces différents algorithmes. Cependant, +il peut être utile de savoir que l'algorithme <emphasis>AES</emphasis> a été +choisi en 2000 par l'<quote>American National Institute of Standards and +Technology</quote> pour la protection des données sensibles au 21e siècle. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Taille de clé : <userinput>256</userinput></term> + +<listitem><para> + +Vous pouvez choisir ici la taille de la clé de chiffrement. Plus la taille +de la clé est grande, plus la force du chiffrement est augmentée. Cependant +la taille de la clé a un impact négatif sur la performance. Les différentes +tailles de clé dépendent de l'algorithme de chiffrement. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Algorithme IV : <userinput>cbc-essiv:sha256</userinput></term> + +<listitem><para> + +L'algorithme de type <firstterm>Initialization Vector</firstterm> ou +<firstterm>IV</firstterm> assure que si l'on applique l'algorithme sur le +même <firstterm>texte en clair</firstterm> avec la même clé, on obtiendra +toujours un seul <firstterm>texte chiffré</firstterm>. L'idée est d'empêcher +la déduction d'information à partir de motifs répétés dans les données +chiffrées. + +</para><para> + +De toutes ces alternatives, l'option par défaut +<userinput>cbc-essiv:sha256</userinput> est actuellement la moins vulnérable +aux attaques connues. Ne choisissez les autres options que pour assurer la +compatibilité avec des systèmes déjà installées qui ne reconnaissent pas les +nouveaux algorithmes. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Clé de chiffrement : <userinput>Phrase de passe</userinput></term> + +<listitem><para> + +Vous pouvez choisir ici le type de la clé de chiffrement pour cette partition. + + <variablelist> + <varlistentry> + <term>Phrase de passe</term> + <listitem><para> + +La clé de chiffrement sera calculée <footnote> +<para> + +L'utilisation d'une phrase comme clé signifie que la partition sera créée +avec <ulink url="&url-luks;">LUKS</ulink>. + +</para></footnote>à partir d'une phrase que vous pourrez saisir plus tard dans le +processus. + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Clé aléatoire</term> + <listitem><para> + +Une nouvelle clé est calculée avec des données aléatoires chaque fois que la +partition chiffrée est montée. En d'autres termes, à chaque arrêt de la +machine le contenu de la partition est perdu car la clé est supprimée de la +mémoire. On pourrait essayer de deviner la clé au moyen d'une attaque de +type force brute, mais, à moins d'une faiblesse non connue de l'algorithme, +une vie entière n'y suffirait pas. + + </para><para> + +Les clés aléatoires vont bien avec les partitions d'échange car vous n'avez +pas besoin de vous embêter à mémoriser une phrase de passe ou à effacer des +données sensibles de la partition d'échange avant d'éteindre la +machine. Cependant cela signifie que vous ne pourrez pas utiliser la +fonctionnalité <quote>suspend-to-disk</quote> qu'offrent les noyaux linux +récents. Il est en effet impossible (pendant le redémarrage) de récupérer +les données écrites sur la partition d'échange. + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Effacer les données : <userinput>oui</userinput></term> + +<listitem><para> + +Cette option détermine si le contenu de la partition doit être rempli de +données aléatoires avant le début du chiffrement. Cette opération est +recommandée car un attaquant pourrait sinon discerner quelles parties de la +partition sont actives et lesquelles ne le sont pas. De plus cela rendra plus +difficile de récupérer des données laissées par des installations +précédentes <footnote><para> + +Nous pensons cependant que certains types appartenant aux agences spécialisées comme la +CIA peuvent récupérer des données même après plusieurs écritures d'un +support magnétooptique. + +</para></footnote>. + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><para> + +Si vous choisissez <menuchoice> <guimenu>Méthode de chiffrement :</guimenu> +<guimenuitem>Loopback (loop-AES)</guimenuitem> </menuchoice>, le menu offre +alors les options suivantes : + + +<variablelist> +<varlistentry> +<term>Chiffrement : <userinput>AES256</userinput></term> + +<listitem><para> + +Pour loop-AES, contrairement à dm-crypt, les options algorithme et clé sont +combinées et vous pouvez les choisir en même temps. Veuillez consulter les +sections suivantes sur les algorithmes et les clés pour d'autres +informations. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Clé de chiffrement : <userinput>Keyfile (GnuPG)</userinput></term> + +<listitem><para> + +Vous pouvez choisir ici le type de la clé pour cette partition. + + <variablelist> + <varlistentry> + <term>Keyfile (GnuPG)</term> + <listitem><para> + +La clé de chiffrement sera créée avec des données aléatoires pendant +l'installation. Cette clé sera chiffrée avec +<application>GnuPG</application>, et pour l'utiliser, vous devrez saisir +votre phrase de passe (elle vous sera demandée plus tard dans le processus). + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Clé aléatoire</term> + <listitem><para> + +Veuillez consulter la section sur les clés aléatoires ci-dessus. + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Effacer les données : <userinput>oui</userinput></term> + +<listitem><para> + +Veuillez consulter la section sur la suppression des données ci-dessous. + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><note><para> + +L'installateur en version <emphasis>graphique</emphasis> est plus limité que +l'installateur standard en mode texte. En ce qui concerne la cryptographie, vous ne pouvez +configurer de volumes qu'en utilisant une <emphasis>phrase de +passe</emphasis> comme clé de chiffrement. + +</para></note><para> + + +Après avoir choisi les paramètres des partitions chiffrées, vous pouvez +revenir dans le menu de partitionnement. Une entrée <guimenu>Configuration +des volumes chiffrés</guimenu> devrait être présente. Quand vous la +sélectionnez, on vous demande de confirmer la suppression des données sur +les partitions à supprimer ainsi que d'autres actions comme l'écriture d'une +nouvelle table des partitions. Pour les grandes partitions, cela peut +prendre du temps. + +</para><para> + +On vous demandera ensuite de saisir une phrase pour les partitions qui en +utilisent. Une bonne phrase doit contenir plus de huit caractères, mélanger +les lettres, les chiffres et les autres caractères, ne pas comporter des mots +du dictionnaire ou des informations personnelles (comme dates de naissance, +loisirs, petits noms, noms des membres de la famille ou des amis, etc.). + +</para><warning><para> + +Avant de saisir une phrase, vous devez être sûr que le clavier est +correctement configuré et affiche bien les caractères attendus. Si ce n'est +pas le cas, vous pouvez passer sur la deuxième console et saisir quelques +caractères. Cela vous évitera de saisir une phrase avec un clavier configuré +en <quote>qwerty</quote> alors qu'à l'installation vous l'aviez configuré en +<quote>azerty</quote>. Cette situation peut avoir plusieurs causes. Vous +avez changé de carte clavier pendant l'installation ou bien la carte clavier +n'est pas encore configurée au moment où vous saisissez la phrase de passe +pour le système de fichiers racine. + +</para></warning><para> + +Si vous avez choisi une méthode sans phrase de passe pour créer une clé de +chiffrement, la clé sera créée maintenant. Comme le noyau, à ce stade de +l'installation, peut manquer d'entropie, cela peut prendre du temps. Vous +pouvez accélérer le processus en pressant des touches au hasard ou en +passant sur la deuxième console et en créant du trafic réseau ou disque +(télécharger des fichiers, envoyer des fichiers sur /dev/null, etc.). +L'opération est répétée pour chaque partition à chiffrer. + +</para><para> + +De retour dans le menu principal de partitionnement, vous pourrez voir tous +les volumes chiffrés listés comme partitions supplémentaires que vous pouvez +configurer de la même façon que des partitions ordinaires. L'exemple suivant +montre deux volumes différents, l'un chiffré avec dm-cript, l'autre avec +loop-AES. +<informalexample><screen> +Volume chiffré (<replaceable>crypt0</replaceable>) - 115.1 Go Linux device-mapper + #1 115.1 Go F ext3 + +Loopback (<replaceable>loop0</replaceable>) - 515.2 Mo AES256 keyfile + #1 515.2 Mo F ext3 +</screen></informalexample> C'est le moment d'affecter des points de montages aux +volumes et de modifier le type des systèmes de fichiers si le type par +défaut ne vous convient pas. + +</para><para> + +Notez bien les identifiants entre parenthèses +(<replaceable>crypt0</replaceable> et <replaceable>loop0</replaceable> dans +ce cas) et le point de montage affecté à chaque volume chiffré. Vous aurez +besoin de ces informations quand vous amorcerez le nouveau système. Les +différences entre un processus de démarrage ordinaire et un processus impliquant +des questions de chiffrement seront abordées dans <xref linkend="mount-encrypted-volumes"/>. + +</para><para> + +Une fois satisfait du schéma de partitionnement, vous pouvez poursuivre l'installation. + +</para> + </sect3> |