Il n’y a pas de problème à verrouiller le bootloader d’un smartphone qui le supporte avec une clé personnelle pour n’importe quelle ROM. Encore faut-il que le smartphone le supporte… À ma connaissance, dans les grandes marques de smartphone seul la gamme Pixel de Google le permet. C’est d’ailleurs pour ça que GrapheneOS ne supporte officiellement que cette gamme de téléphone.
Autant le SecureBoot sur PC a fait couler beaucoup d’encre sur le contrôle par MS de la chaîne de certification, autant sur smartphone, pas grand-chose…
Du coup pour Dé-GAFAM-isé son smartphone en toute sécurité, il faut donner son argent à Google.
Dans l'article, je présente comment signer automatiquement les fichiers initramfs avec le fichier 99-sbctl pour sécuriser le démarrage.
C'est le point qui m'a fait me poser la question si l'outil ne faisait pas un UKI (Noyau + initramfs + EFI Stub) pour le signer.
Est-ce que tu disposes des lignes linux et initrd dans ton fichier de configuration systemd-boot ou d'une seule ligne linux ?
J'avais compris que UKI remplace le couple "initramfs et noyau". Ce n'est pas ça ?
L'UKI peut contenir beaucoup de chose :
- Noyau
- Initramfs
- Cmdline
- SplashImage
- DTB (majoritairement pour ARM/Risc-V)
- Metadonnées OS-Release
- EFIStub (pour être compatible UEFI)
Mais en effet la grosse plus-value est de pouvoir s'assurer de l'intégrité de l'initramfs et de la cmdline en plus de celle du noyau.
Avec l'utilisation d'un couple noyau et image initramfs avec Grub ou systemd-boot, tu ne t'assures de l'intégrité de ton démarrage que sur le noyau. L'initramfs n'étant pas signé, celui-ci peut être modifié.
Avec une image UKI tu signes l'image complète (noyau, initramfs et cmdline). Ça fonctionne très bien avec systemd-boot car il sait nativement exécuter un binaire UEFI.
Merci pour l'article, ce que tu appelles "image initramfs" c'est un UKI (Universal Kernel Image) contenant le noyau, l'initramfs et la ligne de commande du noyau ?
Je n'utilise pas le bridge Whatsapp, mais celui-ci dépend de la version ordinateur de whatsapp qui ne fonctionne que liée avec l'application android/ios. La solution la plus couramment utilisée est de lancer une machine virtuelle android et d'y installer whatsapp.
Par contre j'utilise le bridge Signal avec Signald, du coup pas besoin d'android pour lancer l'application (mais c'est contre les CGU de Signal, possibilité d'être banni… etc ). Ça marche plutôt bien, par contre uniquement les messages et pièces-jointes, il n'est pas encore possible de faire de la téléphonie/visio via le bridge.
Tu as peut-être la chance d’avoir un modèle de téléphone compatible avec postmarketOS. C’est une distribution linux pour téléphone basé sur AlpineLinux.
Si tu es sous KDE (ce qui semble être le cas), il faut changer les associations par défaut. Dans le menu KDE, onglet ordinateur, exécute "Configuration du Système" (ou lance systemsettings dans un terminal). Tu devrais trouver un lanceur nommée "Application par défaut", il y a de quoi spécifier le client mail.
Si tu utilise KDE ou au moins Kontact, KAlarm permet de mettre des alarmes à une heure précise ou après un delais. La notification peut se faire soit par une popup t'affichant un message défini, soit par mail et d'autre (lancement d'une commande, retour sonore)
J'ai trouvé il y a quelque temps en fouillant les paquets de debian ms-sys ( sous debian apt-get install ms-sys ) sinon direction -> http://ms-sys.sourceforge.net/
Ça peux aussi permettre de créer des images de disquettes booteble ou pour des cd.
derien. Je viens de trouver ça du coup je peux mettre mon écran en 1280x1024 aussi ^_^, suffit de fouiller la doc nvidia:
/usr/share/doc/NVIDIA_GLX-1.0/README
le driver nvidia va chercher les modeline grace à l'EDID de ton écran. Dans ton XF86Config rajoute cette option au driver nvidia
Option "IgnoreEDID" "off"
j'ai utilisé ce depot de paquet et pour satisfaire les dépendances j'ai utiliser equivs pour creer le faux paquets shared-mime-info. Et ça marche sans problème. donc :
apt-get install equivs
man equivs-control
man equivs-build
-----------------
1 er post ça se fête non ?
Ebola
# Smartphone et Bootloader
Posté par Ebola . En réponse au journal La mort annoncée de E/OS - LineageOS et F-Droid : Il est temps d’ouvrir les yeux. Évalué à 10 (+14/-0).
Il n’y a pas de problème à verrouiller le bootloader d’un smartphone qui le supporte avec une clé personnelle pour n’importe quelle ROM. Encore faut-il que le smartphone le supporte… À ma connaissance, dans les grandes marques de smartphone seul la gamme Pixel de Google le permet. C’est d’ailleurs pour ça que GrapheneOS ne supporte officiellement que cette gamme de téléphone.
Autant le SecureBoot sur PC a fait couler beaucoup d’encre sur le contrôle par MS de la chaîne de certification, autant sur smartphone, pas grand-chose…
Du coup pour Dé-GAFAM-isé son smartphone en toute sécurité, il faut donner son argent à Google.
[^] # Re: Image Initramfs ? UKI ?
Posté par Ebola . En réponse au journal Installation personnalisée de Debian avec LUKS v2, volumes Btrfs, systemd-boot et Secure Boot. Évalué à 2.
[^] # Re: Image Initramfs ? UKI ?
Posté par Ebola . En réponse au journal Installation personnalisée de Debian avec LUKS v2, volumes Btrfs, systemd-boot et Secure Boot. Évalué à 1.
Avec l'utilisation d'un couple noyau et image initramfs avec Grub ou systemd-boot, tu ne t'assures de l'intégrité de ton démarrage que sur le noyau. L'initramfs n'étant pas signé, celui-ci peut être modifié.
Avec une image UKI tu signes l'image complète (noyau, initramfs et cmdline). Ça fonctionne très bien avec systemd-boot car il sait nativement exécuter un binaire UEFI.
# Image Initramfs ? UKI ?
Posté par Ebola . En réponse au journal Installation personnalisée de Debian avec LUKS v2, volumes Btrfs, systemd-boot et Secure Boot. Évalué à 2.
Merci pour l'article, ce que tu appelles "image initramfs" c'est un UKI (Universal Kernel Image) contenant le noyau, l'initramfs et la ligne de commande du noyau ?
# Signal & Whatsapp
Posté par Ebola . En réponse au message Matrix : Bridge What's app / Signal app. Évalué à 1.
Je n'utilise pas le bridge Whatsapp, mais celui-ci dépend de la version ordinateur de whatsapp qui ne fonctionne que liée avec l'application android/ios. La solution la plus couramment utilisée est de lancer une machine virtuelle android et d'y installer whatsapp.
Par contre j'utilise le bridge Signal avec Signald, du coup pas besoin d'android pour lancer l'application (mais c'est contre les CGU de Signal, possibilité d'être banni… etc ). Ça marche plutôt bien, par contre uniquement les messages et pièces-jointes, il n'est pas encore possible de faire de la téléphonie/visio via le bridge.
# postmarketOS
Posté par Ebola . En réponse au message système d'opération mobile indépendant, sans achat spécifique. Évalué à 5.
Tu as peut-être la chance d’avoir un modèle de téléphone compatible avec postmarketOS. C’est une distribution linux pour téléphone basé sur AlpineLinux.
# Proxychains
Posté par Ebola . En réponse au message Rediriger les communications réseau d'un processus. Évalué à 3.
http://proxychains.sourceforge.net
Il supporte les proxy SOCKS 4/5 et HTTP.
# Application par défaut
Posté par Ebola . En réponse au message Thunderbird par défaut sur Firefox. Évalué à 5.
# KAlarm
Posté par Ebola . En réponse au message un petit outil pour signaler graphiquement l'expiration d'un délai. Évalué à 4.
# pourquoi pas.
Posté par Ebola . En réponse au message Vends Asus eeePC 701. Évalué à 1.
# evtouch
Posté par Ebola . En réponse au journal Nouveau pilote xorg pour les écrans tactiles USB/HID. Évalué à 4.
[^] # Re: KHTML
Posté par Ebola . En réponse au journal Navigateurs webs et machines lentes. Évalué à 9.
# Psp
Posté par Ebola . En réponse au journal Adaptateur secteur / Chargeur iRiver H1xx. Évalué à 1.
si il s'agit du meme chargeur que pour l'H3xx tu peux utiliser un chargeur pour psp. C'est plus facile a trouver je pense.
# ms-sys
Posté par Ebola . En réponse au message Restaurer le MBR originel a partir de linux. Évalué à 1.
Ça peux aussi permettre de créer des images de disquettes booteble ou pour des cd.
# Re: Ressusiter un serveur debian
Posté par Ebola . En réponse au journal Ressusiter un serveur debian. Évalué à 1.
tune2fs -j /dev/hdxx
pour les fichiers réinstalle simplement les paquets normalement il change pas les fichiers de config
bon courage
# Re: Quel wm pour du dual screen ?
Posté par Ebola . En réponse au journal Quel wm pour du dual screen ?. Évalué à 2.
[^] # Re: Système de notation sur LinuxFr
Posté par Ebola . En réponse à la dépêche Système de notation sur LinuxFr. Évalué à -1.
[^] # Re: Driver NVidia et X-Window récalcitrant
Posté par Ebola . En réponse au journal Driver NVidia et X-Window récalcitrant. Évalué à 1.
/usr/share/doc/NVIDIA_GLX-1.0/README
[^] # Re: Driver NVidia et X-Window récalcitrant
Posté par Ebola . En réponse au journal Driver NVidia et X-Window récalcitrant. Évalué à 4.
Option "IgnoreEDID" "off"
[^] # Re: Sondage: slip ou caleçon ?
Posté par Ebola . En réponse au journal Sondage: slip ou caleçon ?. Évalué à 1.
[^] # Re: XFce 4.0 est disponible !
Posté par Ebola . En réponse à la dépêche XFce 4.0 est disponible !. Évalué à 1.
[^] # Re: XFce 4.0 est disponible !
Posté par Ebola . En réponse à la dépêche XFce 4.0 est disponible !. Évalué à 2.
apt-get install equivs
man equivs-control
man equivs-build
-----------------
1 er post ça se fête non ?
Ebola