J’ai vu un utilisateur de Lumière de niveau 200 traverser un raid pendant que tout le monde était encore en train de réapparaître. Vous avez ressenti cette tension — celle qui vous fait remettre en question votre reroll, votre route de grind, vos cinq prochaines heures. Je vais vous montrer quels choix font réellement bouger […]
Découvrez comment deux fruits ordinaires peuvent devenir vos alliés pour préserver votre jardin des intrusions félines. Une solution naturelle et économique qui séduit de plus en plus de jardiniers. Fini les massifs saccagés et les odeurs désagréables ! Voici comment transformer votre espace...
De minuscules virus se glissent à l'intérieur d'autres virus pour pénétrer et infecter une cellule. A leur grande surprise, des chercheurs viennent d'observer ce mécanisme jusqu'alors inédit.
"Les deltavirus se transmettent via un cheval de Troie viral", annonce une étude publiée vendredi dans Cell, l'une des plus prestigieuses revues de biologie, et dirigée par des chercheurs du CNRS.
L'hiver 2025-2026 n'a pas fait de cadeaux aux côtes tricolores. Entre les tempêtes Nils et Pedro, le littoral charentais a subi un assaut d'une violence rare, forçant les autorités à prendre des mesures radicales.
Vous atterrissez à Latte Landing et le bord de la tempête se rapproche déjà. J’ai vu une équipe ratisser les quais et laisser trois caisses de produits intactes. Vous pouvez toujours récupérer les trois aliments et terminer la quête d’Hope, si vous vous dépêchez. J’ai emprunté cet itinéraire suffisamment de fois pour savoir où se […]
Google effectue un repositionnement visuel de sa suite pour rapprocher l’apparence de Gmail et des autres outils. Le travail porte sur Docs, Sheets, Slides et ...
Établir une base permanente sur la Lune, c'est l'ambition affichée de la NASA avec le programme Artemis. Mais pour y vivre, il faudra manger sans pouvoir compter indéfiniment sur des livraisons depuis la Terre. Des chercheurs américains viennent de franchir une étape encourageante vers des cultures lunaires autonomes.
C'est l'un des temps forts de ce début d'année. Le rachat de Warner Bros. Discovery s'est transformé en véritable feuilleton avec les enchères entre Paramount et Netflix. Faisons le point sur la situation.
Les erreurs 404 surviennent quand un serveur ne trouve pas la ressource demandée par l’URL visitée, provoquant une page introuvable. Elles interrompent la navigation, réduisent ...
Notre Planète se réchauffe dangereusement. À quelle vitesse ? Les scientifiques pensaient le savoir. Mais de nouvelles analyses révèlent un emballement inédit qui fait déjà trembler le seuil des 1,5 °C.
L’erreur 504 Gateway Timeout survient lorsque la communication entre serveurs dépasse le délai imparti par la passerelle. Elle empêche le chargement d’une page, nuit à ...
Plateforme de référence pour les communautés, Discord facilite les échanges vocaux et les réunions informelles entre membres. Les salons vocaux jouent un rôle central dans ...
Quelques semaines après avoir reçu l'autorisation de déployer des sites 5G sur la bande de fréquences de 2,1 GHz, Free a activé ces antennes et propose pour la première fois la 5G sur trois bandes de fréquences différentes. Une étape importante dans l'évolution de son réseau mobile.
Chaque année, la SNCF propose un billet à prix réduit pour les congés annuels. Salariés, fonctionnaires, demandeurs d'emploi et même retraités peuvent en bénéficier. Le problème, c'est que presque personne ne connaît ce dispositif.
Les appels vocaux sur Discord peuvent basculer d’une conversation fluide à un échange frustrant lorsqu’un micro sonne trop bas, et cela arrive plus souvent que ...
Pour cette semaine du 2 mars : Une expérience scientifique relance sérieusement l'hypothèse que la vie pourrait voyager entre les planètes, un cas médical étonnant révèle qu'une passion soudaine pour un bruit d'avion peut être un symptôme précoce de démence, un oiseau migrateur bat un record...
Découvert fin 2024, l'astéroïde YR4 était au centre de nombreuses spéculations car sa trajectoire avait une faible possibilité de croiser celle de la Terre ou de la Lune. Finalement, de nouvelles observations révèlent que nous sommes bel et bien à l'abri de toute collision.
Le chiffrement complet du disque, tout le monde vous dit que c'est la base. LUKS sous Linux, BitLocker sous Windows, FileVault sous macOS... sauf que personne vous dit quoi faire quand votre serveur reboot à 3h du mat et qu'il attend sagement sa passphrase.
Là, vous êtes coincé !!!!
Parce que oui, le truc vicieux avec le chiffrement intégral, c'est qu'au démarrage, le système ne peut pas lire le disque tant que vous n'avez pas tapé le mot de passe. Du coup, si votre machine est dans un datacenter ou chez un hébergeur, ben... faut se déplacer physiquement. Et ça c'est bien relou !!!
La solution, c'est d'embarquer un serveur SSH directement dans l'
initramfs
(oui, le mini OS qui tourne AVANT votre vrai système, sur le port 22). En gros, votre machine boot, charge l'initramfs, lance un serveur SSH... et vous n'avez plus qu'à vous connecter à distance pour taper la passphrase. Comme ça le disque se déverrouille et le boot continue. Voilà quoi, c'est simple la vie quand on lit Korben.info !! loool
L'initramfs, c'est quoi exactement ?
Alors pour ceux qui débarquent, l'initramfs c'est une archive compressée dans /boot/initramfs-linux.img qui contient un système Linux minimal. Son boulot, c'est de préparer le terrain avant de passer la main au vrai OS, genre charger les modules noyau, détecter le matériel, monter les systèmes de fichiers... et dans notre cas, demander la passphrase LUKS. Genre un second OS, mais en version bonsaï !
Installer Dropbear dans l'initramfs
Dropbear
, c'est un serveur SSH ultra-léger (environ 110 Ko) parfait pour l'initramfs.
L'article de jyn qui m'a inspiré pour cet article
, recommande Arch Linux avec mkinitcpio, mais sachez que sous Debian/Ubuntu le paquet dropbear-initramfs fait le même boulot avec update-initramfs.
Sur Arch, vous installez mkinitcpio-systemd-extras puis vous modifiez /etc/mkinitcpio.conf pour ajouter les hooks réseau et Dropbear :
Attention, l'ordre des hooks compte. Le réseau doit être configuré AVANT Dropbear, sinon votre serveur SSH démarre sans interface réseau. Pas super utile donc !
Configurer le réseau dans l'initramfs
Ensuite faut créer un fichier de config réseau dans /etc/systemd/network-initramfs/. En fait, c'est du systemd-networkd classique, donc si vous avez déjà configuré ça, c'est pareil. Un simple fichier .network avec DHCP fait le job en Ethernet (et pour un serveur, c'est clairement recommandé). Pour les plus paranos, une IP statique marche aussi, sauf que faudra pas oublier de la mettre à jour si vous changez de réseau.
La touche Tailscale
Après si votre serveur est derrière un NAT ou un firewall, bah... le SSH classique ne passe pas. Du coup, jyn a eu la bonne l'idée d'embarquer
Tailscale
dans l'initramfs aussi. Comme ça, la machine rejoint votre réseau privé Tailscale dès le boot, même avant le déchiffrement du disque.
Vous lancez setup-initcpio-tailscale, ça vous donne un lien d'authentification sur login.tailscale.com et c'est réglé. Après faut penser à configurer les ACL Tailscale pour que SEULE votre machine d'admin puisse se connecter à l'initramfs car OUI ON NE LAISSE PAS UN PUTAIN DE SSH ouvert sur un système pré-boot sans protection, HEIN ?? HEIN ?? Donc faites ça !!
Les précautions de sécurité
Vous vous en doutez, y'a quand même quelques pièges à éviter. D'abord, les clés SSH de Dropbear dans l'initramfs (stockées dans /etc/dropbear/) doivent être DIFFÉRENTES de celles d'OpenSSH dans /etc/ssh/. Parce que l'initramfs n'est pas chiffré (bah oui, il doit tourner avant le déchiffrement), donc ces clés sont techniquement accessibles à quelqu'un qui a un accès physique au disque.
Ensuite, attention, limitez ce que Dropbear peut faire. Pas de shell complet, juste la commande systemd-tty-ask-password-agent qui sert uniquement à taper la passphrase. Comme ça, même si quelqu'un arrive à se connecter, il ne peut rien faire d'autre.
Et désactivez aussi l'expiration des clés Tailscale pour la machine initramfs via --auth-key avec un token non-éphémère, sinon votre serveur va se retrouver éjecté du réseau au pire moment.
Reconstruire et tester
Une fois tout configuré, un petit mkinitcpio -P pour reconstruire l'initramfs et c'est bon. Si ça ne marche pas du premier coup, vérifiez les logs avec journalctl -b. Mais attention, testez ça sur une VM ou une machine avec accès console (IPMI, iDRAC, KVM-over-IP) d'abord, parce que si le réseau de l'initramfs ne monte pas, votre serveur devient une brique inaccessible... et là, c'est le vrai drame de votre vie qui commence (et la découverte de France Travail) !
Au prochain reboot, votre serveur va donc démarrer, charger l'initramfs, se connecter à Tailscale, lancer Dropbear... et attendre patiemment que vous tapiez la passphrase depuis votre canapé.
Si vous gérez des serveurs chiffrés à distance, c'est le genre de setup un peu touchy à la base mais qui change la vie. Comme ça, plus besoin de supplier / soudoyer / menacer (chacun sa technique) le technicien du datacenter d'astreinte de brancher un clavier ^^.
Grammarly promet d’améliorer la qualité rédactionnelle grâce à l’intelligence artificielle et à des suggestions en temps réel. Les utilisateurs francophones s’interrogent cependant sur la précision ...
L'âne domestique cache un secret millénaire que les scientifiques viennent enfin de percer grâce à la génétique. Cette fidèle créature qui accompagne l'humanité depuis des temps immémoriaux dévoile aujourd'hui ses véritables racines africaines. Une découverte qui bouleverse notre compréhension...
Connexion
