From 7e1c03ff309d92a78c1061875b088f68e59fd552 Mon Sep 17 00:00:00 2001 From: Philippe Batailler Date: Tue, 11 Jul 2006 19:41:28 +0000 Subject: French update --- fr/appendix/preseed.xml | 18 +- fr/boot-new/boot-new.xml | 140 ++++++++++++- fr/hardware/hardware-supported.xml | 14 +- fr/hardware/supported/powerpc.xml | 177 ++++++++++------- fr/using-d-i/components.xml | 4 +- fr/using-d-i/modules/mdcfg.xml | 8 +- fr/using-d-i/modules/partman-crypto.xml | 341 ++++++++++++++++++++++++++++++++ 7 files changed, 610 insertions(+), 92 deletions(-) create mode 100644 fr/using-d-i/modules/partman-crypto.xml (limited to 'fr') diff --git a/fr/appendix/preseed.xml b/fr/appendix/preseed.xml index 12c601ec5..67074caa7 100644 --- a/fr/appendix/preseed.xml +++ b/fr/appendix/preseed.xml @@ -1,5 +1,5 @@ - + + Démarrer votre nouveau système Debian @@ -178,12 +178,148 @@ d'autres syst dans le fichier /etc/yaboot.conf et démarrer ybin pour mettre à jour votre partition de démarrage avec la nouvelle configuration. Lisez le -yaboot HOWTO. +HOWTO sur yaboot. + + Le montage des volumes chiffrés + + + +Si vous avez créé des volumes chiffrés et leurs points de montage pendant l'installation, +vous devrez fournir pendant le démarrage la phrase de passe pour chaque volume. +La procédure diffère légèrement pour les méthodes dm-crypt et loop-AES. + + + + + loop-AES + + + +Pour les partitions chiffrées avec loop-AES, l'invite pendant l'amorçage +sera : + + +mount: going to use loop device /dev/loopX +Password: + + +Le X sur la première ligne de l'invite +est le chiffre du périphérique. Vous vous demandez probablement +pour quel volume vous saisissez la phrase de passe. +Est-ce pour /home, pour /var ? +Bien sûr si vous n'avez chiffré qu'un seul volume, c'est facile et vous n'avez +qu'à saisir la phrase utilisée. Si vous avez chiffré plusieurs volumes, les notes +que vous avez prises pendant l'installation (étape ) +vous serviront bien. Si vous n'avez pas noté la correspondance entre +loopX et les points de montage, +vous pouvez les trouver dans le fichier /etc/fstab de votre +nouveau système. + + + + +Quand vous saisissez la phrase, aucun caractère (même pas l'astérisque) n'est montré. +Faites attention, vous n'avez qu'un seul essai. Si vous +saisissez une mauvaise phrase, un message d'erreur apparaîtra et le processus de démarrage +sautera ce volume et continuera avec les autres volumes. Veuillez consulter + pour d'autres informations. + + + +Une fois toutes les phrases saisies, le processus de démarrage se poursuit +normalement. + + + + + dm-crypt + + + +TODO: write something once it works. + + + + + En cas de problèmes + + + + +Quand vous n'avez pas pu monter certains volumes à cause d'une mauvaise +phrase de passe, vous devez les monter après le démarrage. Il y a plusieurs cas. + + + + + + +Le premier cas concerne la partition racine. Si elle n'est pas montée +correctement, le processus de démarrage s'arrête et vous devez réamorcer la machine. + + + + +Le cas le plus simple concerne les volumes contenant des données comme +/home ou /srv. Vous pouvez +les monter après le démarrage. Avec loop-AES, une seule opération est nécessaire : + + +# mount /mount_point +Password: + + +où /mount_point doit être remplacé par un répertoire +(par exemple, /home). La différence avec le montage d'une partition +ordinaire est qu'on vous demandera de saisir la phrase de passe. + + + +Avec dm-crypt, c'est un peu plus compliqué. Vous devez d'abord enregistrer +les volumes avec device mapper de cette façon : + + +# /etc/init.d/cryptdisks start + + +Tous les volumes listés dans /etc/crypttab seront examinés +et les périhériques seront créés dans le répertoire /dev +après avoir entré les bonnes phrases de passe. Les volumes déjà enregistrés sont +sautés et vous pouvez répéter cette commande sans souci. Quand l'enregistrement +des volumes sera terminé, vous pouvez simplement les monter de la façon habituelle : + + +# mount /mount_point + + + + + +Quand des volumes contenant des systèmes de fichiers non critiques +(/usr ou /var) n'ont pas été montés, le +système doit s'amorcer malgé tout et vous pouvez monter ces volumes +comme dans le cas précédent. Mais vous aurez besoin de (re)lancer les +services qui fonctionnent habituellement car il est probable qu'ils n'auront pas été +lancés. Le plus simple est de passer sur le premier niveau de fonctionnement +(runlevel) en entrant : + + +# init 1 + + +et en pressant les touches ControlD +quand le mot de passe du superutilisateur est demandé. + + + + + + Se connecter diff --git a/fr/hardware/hardware-supported.xml b/fr/hardware/hardware-supported.xml index e78adf2a1..7d184c051 100644 --- a/fr/hardware/hardware-supported.xml +++ b/fr/hardware/hardware-supported.xml @@ -1,5 +1,5 @@ - + Matériel reconnu @@ -97,9 +97,7 @@ appel nslu2 RiscPC - riscpc - - lart + rpc @@ -136,12 +134,10 @@ appel - MIPS (grand boutien) - mips - SGI IP22 (Indy/Indigo 2) + MIPS (grand boutien) + mips + SGI IP22 (Indy/Indigo 2) r4k-ip22 - - r5k-ip22 SGI IP32 (O2) r5k-ip32 diff --git a/fr/hardware/supported/powerpc.xml b/fr/hardware/supported/powerpc.xml index 160dec628..cbf2eb58b 100644 --- a/fr/hardware/supported/powerpc.xml +++ b/fr/hardware/supported/powerpc.xml @@ -1,5 +1,5 @@ - + Microprocesseurs, cartes mère et cartes vidéo @@ -7,14 +7,14 @@ Il y a quatre variantes principales de &architecture; -reconnues : PMac (Power-Macintosh), PReP, APUS (Amiga Power-UP System) et +reconnues : PMac (Power-Macintosh ou PowerMac ), PReP, APUS (Amiga Power-UP System) et CHRP. Chacune de ces sous-architectures possède sa méthode d'amorçage. Les différents processeurs sont associés à quatre noyaux différents. Des portages d'autres architectures &architecture;, telles que Be-Box et MBX sont en cours, mais pas encore faits. Nous aurons -peut-être aussi un portage 64 bits (Power3). +peut-être aussi un portage 64 bits. @@ -30,32 +30,41 @@ processeur : La plupart des systèmes utilisent cette variante qui reconnaît les processeurs -PowerPC 601, 603, 604, 740, 750 et 7400. Tous les systèmes Apple Power -Macintosh jusqu'au G4 utilisent l'un de ces processeurs. +PowerPC 601, 603, 604, 740, 750 et 7400. Toutes les machines Apple PowerMac +jusqu'à G4 utilisent l'un de ces processeurs. -power3 +power64 +La variante power64 acceptent les processeurs suivants : + + + Le processeur POWER3 est utilisé par les anciens systèmes IBM 64 bits. On trouve les machines IntelliStation POWER Model 265, les pSeries 610 et 640 et les RS/6000 7044-170, 7043-260, 7044-270. - - - -power4 - + Le processeur POWER4 est utilisé par les nouveaux systèmes IBM 64 bits. On trouve les machines pSeries 615, 630, 650, 655, 670 et 690. -L'Apple G5 est aussi basé sur l'architecture POWER4 et utilise cette variante -du noyau. +L'Apple G5 (processeur PPC970FX) est aussi basé sur l'architecture POWER4 +et utilise cette variante du noyau. + + + + + +prep + + +Cette variante du noyau est destiné à la sous-architecture PReP. @@ -64,7 +73,8 @@ du noyau. apus -Cette variante est destinée au système Amiga Power-UP. +Cette variante est destinée au système Amiga Power-UP. Elle est actuellement +désactivée. @@ -78,81 +88,33 @@ Cette variante est destin Apple (et quelques autres constructeurs, Power Computing, par -exemple), produit une série d'ordinateurs Macintosh basés sur le processeur -PowerPC. On distingue trois catégories : Nubus, OldWorld PCI et NewWorld. - - - -Les ordinateurs Macintosh utilisant la série des microprocesseurs 680x0 ne -font pas partie de la famille des PowerPC mais de celle des machines m68k. -Ces modèles commencent avec les Mac II ou bien ont un -numéro de modèle à trois chiffres comme « Centris 650 » ou -« Quadra 950 ». Les numéros de modèles PowerPC pré-iMac de chez -Apple ont quatre chiffres. +exemple), a produit une série d'ordinateurs Macintosh basés sur le processeur +PowerPC. On distingue trois catégories : Nubus (non gérée par Debian), OldWorld PCI +et NewWorld. -Les systèmes Nubus ne sont pas reconnus par debian/powerpc -pour le moment. L'architecture monolithique du noyau -Linux/PPC n'accepte pas ces machines ; à la place, il faut -utiliser le micronoyau MkLinux Mach, que Debian ne gère pas encore. -Cela inclut les modèles suivants : - - - - -Power Macintosh 6100, 7100, 8100 - - - - - -Performa 5200, 6200, 6300 - - - - -Powerbook 1400, 2300 et 5300 - - - - -Workgroup Server 6150, 8150, 9150 - - - - - -Il existe un noyau Linux pour ces machines et on trouve un support limité -sur la page. - - - +Les systèmes OldWorld représentent la plupart des PowerMacintosh +qui possèdent un lecteur de disquettes et un bus PCI. La plupart des Power Macintosh +603,603e,604 et 604e sont des machines OldWorld. Les numéros de modèles PowerPC pré-iMac +de chez Apple ont quatre chiffres, sauf les systèmes G3 de couleur beige qui sont aussi +des OldWorld. - -Les systèmes OldWorld représentent la plupart des Power -Macintosh qui possèdent un lecteur de disquettes et un bus -PCI. La plupart des Power Macintoshs 603,603e,604 et 604e, -en incluant les 7200, 7300, 7500, 7600, 8500, 8600, 9500 et -9600 sont des machines OldWorld. Les systèmes G3 de couleur -beige sont aussi des OldWorld. - Les machines appelées PowerMacs NewWorld sont les PowerMacs -avec un boîtier en plastique de couleur translucide : +avec un boîtier en plastique de couleur translucide : tous les iMacs, iBooks, G4, G3 de couleur bleue et la plupart des PowerBooks fabriqués à partir de 1999. Les PowerMacs NewWorld sont aussi connus pour utiliser le système Rom en Ram de MacOS et ont commencé -à être fabriqués à partir de mi-1998. - +à être fabriqués à partir de 1998. + - Les spécifications pour le matériel Apple sont disponibles sur AppleSpec, -et pour le matériel plus ancien, +et pour le matériel plus ancien, AppleSpec Legacy. @@ -172,7 +134,7 @@ et pour le mat - Apple + Apple iMac Bondi Blue, 5 Flavors, Slot Loading NewWorld @@ -290,7 +252,7 @@ et pour le mat -La sous-subarchitecture PReP +La sous-architecture PReP @@ -380,5 +342,68 @@ et pour le mat + + +Sous-architecture Nubus PowerMac (non gérée) + + +Les systèmes Nubus ne sont pas reconnus par Debian/powerpc +pour le moment. L'architecture monolithique du noyau +Linux/PPC n'accepte pas ces machines ; à la place, il faut +utiliser le micronoyau MkLinux Mach, que Debian ne gère pas encore. +Cela inclut les modèles suivants : + + + + +Power Macintosh 6100, 7100, 8100 + + + + +Performa 5200, 6200, 6300 + + + + +Powerbook 1400, 2300, et 5300 + + + + +Workgroup Server 6150, 8150, 9150 + + + + +Il existe un noyau Linux pour ces machines et on trouve un support limité sur +. + + + + +Mac non PowerPC + + + +Les ordinateurs Macintosh utilisant la série des microprocesseurs 680x0 ne +font pas partie de la famille des PowerPC mais de celle des machines m68k. +Ces modèles commencent avec les Mac II, continuent avec les +LC, puis les Centris et les Quadras +et Performas.Ces modèles ont un numéro à trois chiffres comme +Mac IIcx, LCIII ou Quadra 950. + + +Ces modèles commencent avec les Mac II (Mac II, IIx, IIcx, IIci, +IIsi, IIvi, IIvx, IIfx), then the LC (LC, LCII, III, III+, 475, 520, +550, 575, 580, 630), puis les Mac TV, puis les Centris (610, 650, +660AV), les Quadra (605, 610, 630, 650, 660AV, 700, 800, 840AV, 900, +950), et en fin Performa 200-640CD. + + +Pour les portables, ces modèles commencent avec le Mac Portable, puis +les PowerBook 100-190cs et les PowerBook Duo 210-550c (en excluant le +PowerBook 500, qui est de type Nubus, voyez la section ci-dessus. + \ No newline at end of file diff --git a/fr/using-d-i/components.xml b/fr/using-d-i/components.xml index 6e94b5366..cb6a111b4 100644 --- a/fr/using-d-i/components.xml +++ b/fr/using-d-i/components.xml @@ -1,5 +1,5 @@ - + Utilisation des composants @@ -73,6 +73,8 @@ p &module-partconf.xml; &module-lvmcfg.xml; &module-mdcfg.xml; +&module-partman-crypto.xml; + diff --git a/fr/using-d-i/modules/mdcfg.xml b/fr/using-d-i/modules/mdcfg.xml index f5d68d2ee..88e5f5e0f 100644 --- a/fr/using-d-i/modules/mdcfg.xml +++ b/fr/using-d-i/modules/mdcfg.xml @@ -1,5 +1,5 @@ - + Configuration d'un périphérique à plusieurs disques (RAID logiciel) @@ -152,8 +152,10 @@ configuration ou d'installation dans un shell. Ensuite, vous choisissez Configurer le RAID logiciel -dans le menu principal de partman. Dans le premier écran -de mdcfg, sélectionnez +dans le menu principal de partman. +Le menu n'apparaît que si vous avez sélectionné au moins une partition à +utiliser comme volume physique pour RAID. +Dans le premier écran de mdcfg, sélectionnez Créer un périphérique à plusieurs disques. Une liste des types acceptés pour ces périphériques est affichée et vous pouvez en choisir un, par exemple RAID1. La suite dépend du type que vous avez choisi. diff --git a/fr/using-d-i/modules/partman-crypto.xml b/fr/using-d-i/modules/partman-crypto.xml new file mode 100644 index 000000000..bf9dec1b6 --- /dev/null +++ b/fr/using-d-i/modules/partman-crypto.xml @@ -0,0 +1,341 @@ + + + + + Configuration des volumes chiffrés + + +L'installateur Debian permet le chiffrement des partitions. Tout fichier +destiné à une partition chiffrée est sauvegardé sur le périphérique sous +une forme chiffrée. L'accès aux données chiffrées n'est autorisé qu'après +avoir fourni la phrase de passe qui avait été donnée +lors de la création de la partition chiffrée. Ce mécanisme est utile pour +protéger des données sensibles en cas de vol du portable ou du disque +dur. Le voleur a bien un accès physique au disque dur mais, sans la phrase +de passe, les données ne sont qu'une suite inintelligible de caractères. + + + +Le chiffrement est particulièrement important pour deux partitions, la +partition /home avec les données privées et la partition d'échange où +peuvent se trouver stockées temporairement des données sensibles. Bien sûr, +vous pouvez chiffrer n'importe quelle partition, par exemple /var +où se trouvent les données des serveurs de base de données, des serveurs de +courrier ou d'impression, /tmp avec ses fichiers temporaires, etc. Vous +pouvez même chiffrer le système complet. La seule exception est qu'on ne +peut pas chiffrer la partition /boot car il n'existe actuellement aucun +moyen de charger le noyau à partir d'une partition chiffrée. + + + +Il faut noter que la performance d'une machine avec partitions chiffrées +sera inférieure à celle d'un machine sans. En effet les données doivent être +chiffrées ou déchiffrées à chaque lecture ou écriture. L'impact sur la +performance dépend de la vitesse du processeur, de l'algorithme choisi et de +la longueur de la clé. + + + +Pour chiffrer une partition, vous devez d'abord la créer, dans le menu de +partitionnement. Une autre possibilité est d'utiliser une partition +existante, par exemple, une partition ordinaire, un volume logique (LVM) ou +un volume RAID. Dans le menu Caractéristiques de la partition, +vous devez modifier la première option pour qu'elle +affiche Utiliser comme : volume +physique à chiffrer. Le menu affichera alors +différentes options de chiffrement pour la partition. + + + +L'installateur debian propose plusieurs méthodes de chiffrement. Par défaut, +la méthode est dm-crypt, qui fait partie des noyaux +linux récents, et qui peut gérer les volumes LVM. Un autre méthode est +loop-AES, plus ancienne et maintenue en marge du + + + + + +Voyons tout d'abord les options disponibles quand on a sélectionné la +méthode de chiffrement Device-mapper (dm-crypt). Et +bien sûr, en cas de doute, il faut utiliser les options par défaut car elles +ont été choisies en visant la sécurité. + + + + +Chiffrement : aes + + + +Cette option permet de choisir l'algorithme de chiffrement +(cipher) qui servira à chiffrer les données de la +partition. Actuellement l'installateur debian accepte les algorithmes de type +bloc suivants : aes, blowfish, +serpent et twofish. Nous ne +discuterons pas ici de la qualité de ces différents algorithmes. Cependant, +il peut être utile de savoir que l'algorithme AES a été +choisi en 2000 par l'American National Institute of Standards and +Technology pour la protection des données sensibles au 21e siècle. + + + + + +Taille de clé : 256 + + + +Vous pouvez choisir ici la taille de la clé de chiffrement. Plus la taille +de la clé est grande, plus la force du chiffrement est augmentée. Cependant +la taille de la clé a un impact négatif sur la performance. Les différentes +tailles de clé dépendent de l'algorithme de chiffrement. + + + + + +Algorithme IV : cbc-essiv:sha256 + + + +L'algorithme de type Initialization Vector ou +IV assure que si l'on applique l'algorithme sur le +même texte en clair avec la même clé, on obtiendra +toujours un seul texte chiffré. L'idée est d'empêcher +la déduction d'information à partir de motifs répétés dans les données +chiffrées. + + + +De toutes ces alternatives, l'option par défaut +cbc-essiv:sha256 est actuellement la moins vulnérable +aux attaques connues. Ne choisissez les autres options que pour assurer la +compatibilité avec des systèmes déjà installées qui ne reconnaissent pas les +nouveaux algorithmes. + + + + + +Clé de chiffrement : Phrase de passe + + + +Vous pouvez choisir ici le type de la clé de chiffrement pour cette partition. + + + + Phrase de passe + + +La clé de chiffrement sera calculée + + +L'utilisation d'une phrase comme clé signifie que la partition sera créée +avec LUKS. + +à partir d'une phrase que vous pourrez saisir plus tard dans le +processus. + + + + + + Clé aléatoire + + +Une nouvelle clé est calculée avec des données aléatoires chaque fois que la +partition chiffrée est montée. En d'autres termes, à chaque arrêt de la +machine le contenu de la partition est perdu car la clé est supprimée de la +mémoire. On pourrait essayer de deviner la clé au moyen d'une attaque de +type force brute, mais, à moins d'une faiblesse non connue de l'algorithme, +une vie entière n'y suffirait pas. + + + +Les clés aléatoires vont bien avec les partitions d'échange car vous n'avez +pas besoin de vous embêter à mémoriser une phrase de passe ou à effacer des +données sensibles de la partition d'échange avant d'éteindre la +machine. Cependant cela signifie que vous ne pourrez pas utiliser la +fonctionnalité suspend-to-disk qu'offrent les noyaux linux +récents. Il est en effet impossible (pendant le redémarrage) de récupérer +les données écrites sur la partition d'échange. + + + + + + + + + +Effacer les données : oui + + + +Cette option détermine si le contenu de la partition doit être rempli de +données aléatoires avant le début du chiffrement. Cette opération est +recommandée car un attaquant pourrait sinon discerner quelles parties de la +partition sont actives et lesquelles ne le sont pas. De plus cela rendra plus +difficile de récupérer des données laissées par des installations +précédentes + +Nous pensons cependant que certains types appartenant aux agences spécialisées comme la +CIA peuvent récupérer des données même après plusieurs écritures d'un +support magnétooptique. + +. + + + + + + + + +Si vous choisissez Méthode de chiffrement : +Loopback (loop-AES) , le menu offre +alors les options suivantes : + + + + +Chiffrement : AES256 + + + +Pour loop-AES, contrairement à dm-crypt, les options algorithme et clé sont +combinées et vous pouvez les choisir en même temps. Veuillez consulter les +sections suivantes sur les algorithmes et les clés pour d'autres +informations. + + + + + +Clé de chiffrement : Keyfile (GnuPG) + + + +Vous pouvez choisir ici le type de la clé pour cette partition. + + + + Keyfile (GnuPG) + + +La clé de chiffrement sera créée avec des données aléatoires pendant +l'installation. Cette clé sera chiffrée avec +GnuPG, et pour l'utiliser, vous devrez saisir +votre phrase de passe (elle vous sera demandée plus tard dans le processus). + + + + + + Clé aléatoire + + +Veuillez consulter la section sur les clés aléatoires ci-dessus. + + + + + + + + + +Effacer les données : oui + + + +Veuillez consulter la section sur la suppression des données ci-dessous. + + + + + + + + +L'installateur en version graphique est plus limité que +l'installateur standard en mode texte. En ce qui concerne la cryptographie, vous ne pouvez +configurer de volumes qu'en utilisant une phrase de +passe comme clé de chiffrement. + + + + +Après avoir choisi les paramètres des partitions chiffrées, vous pouvez +revenir dans le menu de partitionnement. Une entrée Configuration +des volumes chiffrés devrait être présente. Quand vous la +sélectionnez, on vous demande de confirmer la suppression des données sur +les partitions à supprimer ainsi que d'autres actions comme l'écriture d'une +nouvelle table des partitions. Pour les grandes partitions, cela peut +prendre du temps. + + + +On vous demandera ensuite de saisir une phrase pour les partitions qui en +utilisent. Une bonne phrase doit contenir plus de huit caractères, mélanger +les lettres, les chiffres et les autres caractères, ne pas comporter des mots +du dictionnaire ou des informations personnelles (comme dates de naissance, +loisirs, petits noms, noms des membres de la famille ou des amis, etc.). + + + +Avant de saisir une phrase, vous devez être sûr que le clavier est +correctement configuré et affiche bien les caractères attendus. Si ce n'est +pas le cas, vous pouvez passer sur la deuxième console et saisir quelques +caractères. Cela vous évitera de saisir une phrase avec un clavier configuré +en qwerty alors qu'à l'installation vous l'aviez configuré en +azerty. Cette situation peut avoir plusieurs causes. Vous +avez changé de carte clavier pendant l'installation ou bien la carte clavier +n'est pas encore configurée au moment où vous saisissez la phrase de passe +pour le système de fichiers racine. + + + +Si vous avez choisi une méthode sans phrase de passe pour créer une clé de +chiffrement, la clé sera créée maintenant. Comme le noyau, à ce stade de +l'installation, peut manquer d'entropie, cela peut prendre du temps. Vous +pouvez accélérer le processus en pressant des touches au hasard ou en +passant sur la deuxième console et en créant du trafic réseau ou disque +(télécharger des fichiers, envoyer des fichiers sur /dev/null, etc.). +L'opération est répétée pour chaque partition à chiffrer. + + + +De retour dans le menu principal de partitionnement, vous pourrez voir tous +les volumes chiffrés listés comme partitions supplémentaires que vous pouvez +configurer de la même façon que des partitions ordinaires. L'exemple suivant +montre deux volumes différents, l'un chiffré avec dm-cript, l'autre avec +loop-AES. + +Volume chiffré (crypt0) - 115.1 Go Linux device-mapper + #1 115.1 Go F ext3 + +Loopback (loop0) - 515.2 Mo AES256 keyfile + #1 515.2 Mo F ext3 + C'est le moment d'affecter des points de montages aux +volumes et de modifier le type des systèmes de fichiers si le type par +défaut ne vous convient pas. + + + +Notez bien les identifiants entre parenthèses +(crypt0 et loop0 dans +ce cas) et le point de montage affecté à chaque volume chiffré. Vous aurez +besoin de ces informations quand vous amorcerez le nouveau système. Les +différences entre un processus de démarrage ordinaire et un processus impliquant +des questions de chiffrement seront abordées dans . + + + +Une fois satisfait du schéma de partitionnement, vous pouvez poursuivre l'installation. + + + -- cgit v1.2.3