Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Mot de passe admin oublié

Newbie67

Sur la console, après avoir loggé, ls -a me donne :

.    ..   Access-Your-Private-Data.desktop     .cache    .ecryptfs    .Private    README.txt

J'ai Ubuntu 12.10 avec Linux 3.5.0-26 generic. J'ai upgradé aujourd'hui via la console (sudo apt-get upgrade).

EDIT : et donc finalement, la question est de savoir comment réparer ce lien brisé entre mon nouveau mot de passe et la passphrase ?

maxire

C'est bien ce que je craignais, tout ton répertoire utilisateur est chiffré, c'est une épouvantable connerie de la part des gens de ubuntu d'avoir fait cela, c'est vraiment compliquer les choses en voulant les simplifier.

A mon sens, seuls les répertoires sensibles devraient être chiffrés, par exemple le répertoire Documents sous un utilisateur ou carrément un répertoire hors arborescence de l'utilisateur, disons un /user-data.
A charge pour l'utilisateur de conserver les documents sensibles dans ce répertoire, en s'assurant que les fichiers de travail utilisés par les applications ouvrant ces documents soient eux-mêmes protégés.
La méthode du chiffrage total, en cas de problème, met les utilisateurs de base dans une situation impossible

Monter la version de ton système n'était pas une bonne idée, cela risque d'ajouter de la confusion à la confusion.

Oui, la question est bien de réparer ce lien, mais comme les méthodes proposées dans la documentation ne fonctionnent pas et qu'en plus les informations sur ce sujet trouvées dans le site web de ecryptfs sont plutôt faibles ou pour le moins confuses, il va falloir improviser.

Je te propose de remettre un accès à l'interface graphique en créant un nouvel utilisateur, car à priori tu n'as créé qu'un seul utilisateur dans ton système.

Passe successivement les commandes suivantes, si toto est le nouvel utilisateur à créer ;

sudo adduser toto
sudo adduser toto sudo
groups toto

La première commande crée l'utilisateur toto.
La deuxième ajoute le groupe sudo aux groupes de l'utilisateur toto afin qu'il puisse remplir des tâches d'administration système.
La troisième vérifie que tout s'est bien passé et devrait répondre en donnant la liste des groupes de toto soit :

toto : toto sudo

Surtout, note le mot de passe de toto et si un stupide message te demande si tu veux chiffrer le dossier utilisateur de toto, tu réponds non (en espérant que ce chiffrage ne soit pas automatique).

Tu devrais, maintenant, sauf surprise, pouvoir te connecter à une session graphique avec l'utilisateur toto.
Comme tu n'es pas à l'aise en mode console, cela sera plus facile pour toi de réparer le système.

Dès que tu es connecté en mode graphique, va dans la gestion des utilisateurs, et fait en sorte que le compte de toto soit un compte administrateur.
Lorsque c'est fait, signale le.

J5012

la doc http://doc.ubuntu-fr.org/ecryptfs sur la section 5.1 soluce 2 est ok mais n'avertit pas sur les vieilles versions de libcrypt (ce que tu sembles avoir) ; pour ca il y a une astuce delivree par askubuntu : http://askubuntu.com/questions/36573/trying-to-mount-old-encrypted-home/36783#36783 , aussi donnee par ecrypt doc community : https://help.ubuntu.com/community/EncryptedPrivateDirectory , qui consiste a ajouter une passphrase pour obtenir le token d'autentification : avec, tu accedes finalement aux donnees chiffrees ...

comme dit maxire, tu ne devrais proteger que les quelques dossiers confidentiels et pas tout le home-user, la doc community donne suffisamment de details pour recuperer les donnees.

maxire

Newbie67,

J'ai compris tes problèmes en jouant moi-même avec ecryptfs, tu as fait des copier/coller de commandes sans les adapter à ta situation.
Les commandes données dans la doc.Ubuntu sont valables uniquement pour un dossier chiffré inclus dans le répertoire utilisateur en l'occurrence le fichier /home/user/Private.
Dans l'exemple, le reste du répertoire utilisateur n'est pas chiffré.

Fais tout de même ce que je t'ai proposé de faire, cela sera plus facile pour toi de corriger le problème.
Une fois que ce sera fait, je t'indiquerai précisément les commandes à passer.
Fournis moi juste l'utilisateur dont le répertoire est chiffré.

Newbie67

@J5012
Merci. Cependant j'avais déjà essayé ceci et j'avais un message d'erreur, si ma mémoire est bonne c'était file not found ou quelque chose du genre.

@maxire
Merci également pour le temps et la précieuse aide.

J'ai créé toto et il est bien admin. On ne m'a même pas demandé le mot de passe de l'actuel admin (mon autre compte). Cela veut-il dire que n'importe quel utilisateur normal peut se décréter admin ?

Bref, c'est fait. J'attend donc la suite de tes directives.

maxire

Là tu m'inquiètes,

As-tu accès à l'environnement graphique avec toto ?
Donne-moi la réponse à la commande

groups toto

En fait rien ne t'obligeait à appeler le nouvel utilisateur toto.

Quel est le nom de l'utilisateur dont le répertoire est chiffré ?

Newbie67

Bof je m'étais dit que ce serait plus simple avec Toto ! 😃

Oui j'ai bien accès à l'interface graphique (c'est justement dans la gestion des comptes utilisateurs qu'il m'a demandé le mot de passe de Toto pour modifier les infos de son compte, mais j'ai pu le mettre en admin en un clic, sans autre formalité).

Et oui à groups toto j'ai bien toto : toto sudo.

maxire

C'est bon, en rajoutant le groupe sudo tu es automatiquement administrateur, à condition d'utiliser sudo en préfixe de toute commande.
L'intérêt de te mettre administrateur via l'application ad hoc est de rajouter des compétences utilisateurs disponibles sans utiliser le préfixe sudo.

Pour l'instant, je sèche un peu, j'ai créé un utilisateur avec un répertoire chiffré, je l'ai planté en changeant son mot de passe et la solution 1 du chapitre 5

sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n

ne donne rien.

Il faut appliquer l'astuce de J5012, qui n'est pas si simple.
Je vais la tester et je te tiens au courant.

Newbie67

Merci beaucoup Maxire. T'es en train de sauver un mois de boulot environ... Je n'avais malheureusement pas fait de sauvegarde, pensant que l'ordi dans son carton ne risquait rien...

maxire

Yes, cela marche !

Mais ce n'est pas si évident à expliquer à un newbie ...
Mon cas de test n'est pas exactement le tien, car je n'ai chiffré qu'un sous-répertoire du répertoire $HOME,
Je vais créer un utilisateur avec un répertoire totalement chiffré, et je t'envoie une solution détaillée d'ici ce soir.

maxire

Mouais,

Bon finalement, tu devras attendre demain pour que je t'écrive la solution, j'ai d'autres obligations en cours et je n'arrive pas à chiffrer intégralement un répertoire utilisateur pour l'instant.

Question complémentaire, est-ce l'intégralité du répertoire /home que tu as chiffré ou simplement le /home/user de ton user initial ?
/home/toto n'est pas chiffré au moins !

Newbie67

Pour être franc je me souviens pas de la manière dont je l'ai fait... j'ai dû cocher une option lors de l'installation.

Comment puis-je faire pour répondre à tes deux questions ? Comment vérifier si tout mon répertoire home ou juste le user, ainsi que toto sont chiffrés ?

J5012

le plus simple pour t'en sortir :
- recuperer les donnees chiffrees avec la methode recovery de la doc community
- refaire un home-user non chiffre
- ne (re)chiffrer que les dossiers necessaires

maxire

@J5012

C'est ce que nous allons faire, il faut juste guider newbie67, il est réellement débutant en mode commande de linux.
Je vais lui écrire un tuto, j'ai réussi à mettre un /home/user dans la même état que le sien.

maxire

Salut newbie67,

Voici la solution, elle est inspirée de cette méthode Ecryptfs Recovery proposée par J5012.

Objectif : Reconstruire un /home/user non chiffré accessible avec le nouveau mot de passe

Etapes de reconstruction :

1 - Extraire les données chiffrées vers un répertoire de sauvegarde

2 - Nettoyer le répertoire /home/user de toutes ses scories

3 - Restaurer les données de /home/user mais cette fois non chiffrées

Note : Dans toutes les commandes qui suivent je considère que ton identifiant utilisateur planté est "user", le remplacer par sa valeur réelle.
Ces commandes seront passées dans un terminal (application gnome-terminal) dans l'environnement graphique de l'utilisateur toto.

Conditions préalables à la reconstruction :

1 - Vérifier si tu as suffisamment d'espace disque sur ton laptop en passant les commandes

df -h

Tu obtiendras quelque chose ressemblant à cela :

Sys. de fichiers         Taille Utilisé Dispo Uti% Monté sur
/dev/sda1                  197G     72G  116G  39% /
udev                       1,7G    4,0K  1,7G   1% /dev
tmpfs                      690M    992K  689M   1% /run
none                       5,0M       0  5,0M   0% /run/lock
none                       1,7G    216K  1,7G   1% /run/shm
/dev/sda2                  259G    139G  107G  57% /home

Note l'espace disque disponible indiqué sur la ligne avec "/" dans la colonne "Monté sur", dans cet exemple 116G

Puis la commande :

sudo du -ch -d 0 /home/.ecryptfs/user

Tu obtiendras quelque chose ressemblant à cela :

19M	/home/.ecryptfs/user
19M	total

Pour que tu puisses travailler, il faut que l'espace disque disponible soit supérieur à 2 x l'espace disque de /home/.ecryptfs/user, dans cet exemple il faut au moins 2 x 19M soit 38M de disponible.
Le répertoire /home/.ecryptfs/user est l'emplacement réel de tes données chiffrées, il faudra conserver ce répertoire jusqu'à la fin du processus de réparation.

Si tu n'as pas suffisamment de place disque, il faudra utiliser un disque USB de manoeuvre, et dans ce cas adapter certaines des commandes qui suivent.

2 - Installer, si ce n'est pas déjà fait, un utilitaire pour sauvegarder/restaurer les données soit rsync, donc commande :

sudo apt-get install rsync

Si rsync est déjà installé, un message te le confirmera, sinon installe le paquet.

Réalisation des différentes étapes de reconstruction

1 - Extraire les données chiffrées vers un répertoire de sauvegarde

Nous allons suivre la méthode préconisée par J5012, soit :

1-1 Rendre utilisable la fameuse passphrase que tu as si bien notée voici quelques mois (espérons) pour cela :

sudo ecryptfs-add-passphrase --fnek

au prompt

Passphrase :

entre la passphrase et non la "login passphrase" (user password)
Tu obtiendras 2 lignes telles que celles-ci

Inserted auth tok with sig [9986ad986f986af7] into the user session keyring 

Inserted auth tok with sig [76a9f69af69a86fa] into the user session keyring

Note la valeur obtenue entre crochets de la deuxième ligne, dans cet exemple 76a9f69af69a86fa.

1 - 2 Accéder aux données chiffrées

sudo mount -t ecryptfs /home/.ecryptfs/user/.Private /home/user

Accepter la proposition par défaut proposée, entrer la passphrase (toujours la même) puis accepter toutes les propositions par défaut jusqu'à :

Enable filename encryption:

où tu réponds y et à la demande suivante :

Filename Encryption Key (FNEK) Signature:

Entrer la valeur notée précédemment (point 1-1).

Réponds yes à toutes les propositions suivantes.

Au final, tes données doivent être visibles en /home/user, vérifie avec le gestionnaire de fichiers (nautilus quoi).

1 - 3 Sauvegarder les données de /home/user non chiffrées

a- Créer un répertoire de sauvegarde

sudo mkdir /user-sauvegarde

b - Transférer les données non chiffrées de /home/user/ vers la sauvegarde

sudo rsync -av /home/user/ /user-sauvegarde &

Le / en fin de /home/user est très important pour le bon fonctionnement de la sauvegarde, ne pas l'oublier.

Cette opération peut durer un certain temps en fonction des données à transférer, si tu as quelques Giga à déplacer, tu as le temps de boire un café, une bière, lire le journal, promener ton chien.

c - Nettoyer les données non chiffrées des répertoires de chiffrage

sudo rm -r /user-sauvegarde/.ecryptfs
sudo rm -r /user-sauvegarde/.Private

2- Nettoyage du répertoire /home/user

2 -1 Vérifier que tes données non chiffrées sont disponibles dans le répertoire /user-sauvegarde (nautilus ou commande ls -al /user-sauvegarde)

2 -2 Si tes données sont bien sauvegardées passer les commandes qui tuent :

sudo umount /home/user
sudo rm -r /home/user/*
sudo rm -r /home/user/.ecryptfs
sudo rm -r /home/user/.Private

Le répertoire /home/user doit maintenant être vide.

3 - Restauration des données de /home/user

sudo rsync -av /user-sauvegarde/ /home/user

Fin de l'aventure :

Tu devrais maintenant pouvoir te connecter de nouveau dans l'environnement de user, mais cette fois-ci plus rien n'est chiffré, si tu dois vraiment protéger certaines données, utilise un répertoire spécifique, hors d'un environnement utilisateur.

Si tout est bon, tu peux supprimer la sauvegarde par :

sudo rm -r /user-sauvegarde

et les données chiffrées par :

sudo rm -r /home/.ecryptfs

Newbie67

Salut Maxire,

merci beaucoup pour ton (inestimable) aide ! C'est vraiment sympa de me faire un étape-par-étape clair et simple. 🙂

Je bloque à la fin du 1-2. J'utilise Nautilus pour ouvrir le dossier de user et... Ubuntu me dit que je n'ai pas les permissions requises ! J'ai tout de même fait les points 2 et 3. Ca me sauvegarde bien les données, j'ai même pu voir les nom de fichiers copiés (et ceci en clair, non-chiffré). Et quand ensuite je tente d'ouvrir le dossier user-sauvegarde, pareil, on me dit que je n'ai pas les permissions. Quand je regarde les propriétés du fichier j'ai ces infos :
- contenus : impossible à lire
- volume : inconnu
- propriétaire : user (accès : création et suppression des fichiers)
- groupe : user (accès : aucun)

Je pense que c'est lié à Toto. Alors je suis allé vérifié dans les paramètres système / comptes utilisateurs et il est bien administrateur...

Est-ce que la solution serait de retourner à l'écran de démarrage, de lancer le terminal (ctrl+alt+1), d'ouvrir la session de user, puis de changer avec sudo les permissions de user-sauvegarde ?

Les noms des fichiers transférés n'étant pas chiffrés, j'ai bien l'impression que c'est juste un problème de permissions. En effet, sur d'autres forums j'avais lu les expériences de personnes qui copient un tel dossier chiffré, mais dont les noms sont justement illisibles.

Qu'en penses-tu ?

Newbie67

Je suis retourné sur l'écran de démarrage, lancé le terminal en me loggant avec user et j'ai écrit :

chmod 777 /user-sauvegarde/

Ensuite je suis retourné sur la session de toto et, miracle, le dossier s'ouvre, tout est dedans, tout est lisible....... 🙂

Un immense merci à tous et plus particulièrement à Maxire !

Je vais sauvegarder ces données sur un support externe et je vais continuer ton tuto pour accéder normalement à mon ancienne session. Ca ne presse pas, je le ferai prochainement et je reviendrai sur ce fil que ça fonctionne ou pas. 🙂

maxire

Bonne nouvelle !

En fait il y a plus simple pour visualiser la sauvegarde.

toto est administrateur oui, mais administrateur ne veut pas dire accéder à tous les fichiers de tous les utilisateurs.

Administrateur, veut dire, par exemple, autorisé à connecter l'ordinateur au réseau, à monter certains périphériques, à lancer certains services ...
Cette notion d'administrateur est en fait assez vague et assez variable en fonction des distributions.

Pour accéder à tout l'ordinateur il faut travailler en mode "super utilisateur" ce que permet la commande sudo utilisée en préfixe des commandes administrateur.
Tous les utilisateurs ne sont pas autorisés à utiliser sudo.

Je te conseille de lire "linux pour les nuls" ou les livres sur unix/linux de l'éditeur américain O'Reilly (disponibles en version électronique sur le web), malheureusement devenus difficiles à trouve en version papier en France ou à des prix vraiment élevés.

Quoi que je ne sais pas vraiment où tu résides

De mémoire, le titre de l'ouvrage d'introduction à linux est "Linux in a nutshell", éd. O'Reilly tu y trouveras les bases des systèmes unix/linux.

Pour visualiser les fichiers en tant que toto tu aurais pu passer la commande

gksudo nautilus /user-sauvegarde

gksudo est une "extension" de sudo permettant de lancer des applications graphiques en mode superutilisateur.

PS : chmod 777 c'est un peu excessif, pour ce genre de répertoire chmod 644 eût été préférable.

Ana_Paris

Bonjour 🙂

J'ai un souci avec le mot de passe administrateur:
dans les faits, je me connectais et me connecte toujours avec ce que je croyais être mon mot de passe administrateur

Or, suite à un problème, j'ai voulu accéder à la console, et là, cascade de problèmes: d'abord, le mot de passe n'est pas reconnu - celui qui ouvre ma session "normale" administrateur ( quand je veux avoir accès à mon bureau - je souligne que j'ai bien accès à mon bureau en mode admi et pas invité) ne semble pas être le même que celui en mode console ( en mode normal mon mot de passe doit avoir une dizaine de caractères; or, il semblerait que le mode admi en console ou quand je veux aller dans le Bios ne fasse que 5 caractères -car après , je ne peux ajouter la suite des caractères ?!?!)

-deuxièmement: en mode console, je ne peux pas mettre de majuscule, ( ça ne marche pas ; et il semble que les minuscules deviennent des majuscules , je ne comprends pas parce que quand je reviens en mode normal, mon clavier marche normalement)

- troisièmement, j'ai malgré tout essayé de mettre l'identifiant et le mot de passe que je mets pour avoir accès à mon bureau mais ça ne marche pas

J'ai essayé aussi d ouvrir en mode dépannage , d avoir accès au root etc de suivre ce qui a été dit plus haut, mais ça ne marche pas; ça reste bloqué ou alors , il y a plein de trucs qui défilent et ça ne marche pas

J'ai aussi tenté d'accéder au Bios ( au début qd l ordi s allume il propose d'y accéder et je me disais, que peut-être je pourrais y accéder... un très vague souvenir me fait dire que j'ai effectivement , au début , quand j ai reçu mon ordi dû mettre un mot de passe spécifique, mais malheureusement je ne m en rappelle plus vu que je n'avais jamais eu besoin d aller ds le bios )

Et enfin,ce qui vient compliquer le tout, c'est que j'ai , maintenant depuis avant-hier, le fameux message " the system is l'écran, ne répond pas, et donc j'éteins en appuyant sur le bouton "on"
Et je rallume et je ré-éteins jusqu'à ce que l'écran me permette d'accéder à ma session "normale" ( 1 fois sur 10)

Je profite d'ailleurs de cette fenêtre de fonctionnement où j'ai enfin accès à mon bureau sans avoir ce damné message "the system is running etc" pour lancer mon appel à l'aide

Mes problèmes sont arrivés après une mise à jour de plein de programmes et notamment aussi je crois d'Ubuntu qui est sous 12.04

ESt-ce qu'il y a des solutions sachant , et je le répète, et c'est très bizarre,que, en mode console, les touches de mon clavier ne semblent pas fonctionner correctement ; par exemple impossible d'avoir le tiret ou dois-je envisager de sauvegarder tous mes docs et fichiers sur un Disque Dur et tout réinstaller???

Ah et est-ce que quelqu'un peut me dire , parce que j'ai lu plus haut qu'on pouvait passer du mode normal en mode console en faisant crtl/alt/F1 comment on fait pour revenir en mode normal ?

Merci d'avance pour votre aide 🙂

maxire

Bonjour,

Je t'invite à ouvrir un nouveau fil de discussion plutôt que celui-ci déjà ancien et qui aurait dû être marqué [Résolu].

Ton problème semble totalement différent de celui abordé dans ce fil, ce serait plutôt une mauvaise configuration système.
Tu pourrais ouvrir une nouvelle discussion avec un titre du genre "Connexion en mode console impossible" et faire un copier/coller de ton message dans ce nouveau fil à créer dans "Autres logiciels et problèmes généraux", car je ne pense pas que ton problème soit lié à la sécurité (comme le présent fil d'ailleurs).

« Page précédente Page suivante »