Déchiffrer un système Archlinux avec un initramfs Systemd via SSH

Publié le 06/11/2025, dans linux, systemd, chiffrement, ssh

Oui le titre vend du rêve hein ! Dans cet article je vais expliquer comment sont mis en place mes mécanismes de démarrage sur Archlinux pour déchiffrer mes disques à distance via SSH (avec toutes mes partitions chiffrées à l'exception de la partition de boot). Mais avant tout, mettons un peu de contexte et racontons la petite histoire qui m'a menée à l'écriture de cet article…

En faisant aujourd'hui ma mise à jour Archlinux habituelle je constate une erreur lors de la phase mkinitcpio, un fichier est introuvable :

ERROR: file not found: '/usr/lib/initcpio/udev/11-dm-initramfs.rules'

En testant un …

Créer son propre dépôt de paquets Archlinux

Publié le 23/03/2025, dans informatique, linux, archlinux

Depuis peu j'ai créé mon propre dépôt de paquets précompilés pour Archlinux. J'ai appris à le faire via des articles de blogs anglais, mais je n'ai pas trouvé grand-chose en français qui se fasse via un script pratique, ni qui prenne en compte la sécurité. Du coup voici mon petit article/tutoriel pour le faire.

Pourquoi ?

La première chose que me demandent les personnes à qui j'en parle c'est « à quoi ça sert ? ».

Vous voyez, sous Archlinux il existe 2 grandes catégories de dépôts :

S'amuser avec le DNS : Video over DNS

Publié le 04/09/2024, dans informatique, linux, dns, video, hack

Je viens de regarder cette conférence express « Bizarre and Unusual Uses of DNS » durant le FOSDEM 2023. Du coup je me suis souvenu qu'il y a quelques années j'étais tombé sur le oneliner Bash qu'il montre à la fin et qui permet de lire une vidéo depuis le DNS. Ça m'avait donné envie de faire pareil : je l'avais fait et en avait parlé dans ce partage d'un article sur « (ab)using DNS as a CDN ». Du coup voici un petit article vite fait pour parler de comment j'ai construit le fichier de zone qui sert cette vidéo.

Principe

Quand on …

Remplacement de KSK et changement d'algorithme avec OpenDNSSEC

Publié le 03/01/2024, dans informatique, infrastructure, dns, dnssec, security

Dans un précédent article j'expliquai comment mettre en place DNSSEC sur ses zones DNS. Je disai aussi dans la conclusion que les KSK rollover et changements d'algorithmes feraient peut-être l'objet d'un futur article, eh bien le voici.

Nous allons voir comment faire ça avec OpenDNSSEC, sur des zones déjà configurées. Je l'ai fait ces derniers jours sur ma zone lithio.fr : je signai jusqu'à présent cette zone avec une KSK et une ZSK (regardez mon article précédent sur le sujet si un rappel des termes est nécessaire) utilisant l'algorithme 8 (RSA-SHA256). J'ai décidé de passer à l'algorithme 13 (ECDSAP256SHA256) qui …

Mettre en place DANE TLSA

Publié le 22/12/2023, dans informatique, infrastructure, système, dns, tls

J'avais déjà des enregistrements TLSA en place, mais ils étaient tous DANE-TA, j'ai donc décidé de faire ça un peu plus sérieusement en passant à DANE-EE. Pas de panique si cette phrase ne vous dit rien, je vais tout expliquer dans la suite de cet article.

DANE TLSA, c'est quoi ?

DANE (DNS based Authentication of Named Entities) est un protocole qui s'appuie sur le DNS pour authentifier des certificats X.509. Il est standardisé par les RFC 6698, 7671, 7672 et 7673.

Pour faire simple, le but est de stocker le hash de notre certificat TLS dans un enregistrement DNS …