Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
ecryptfs [Le 29/12/2017, 12:25] – [Préalable pour pouvoir se relogger facilement avec le gestionnaire de connexion et l'authentification PAM :] 88.182.40.86 | ecryptfs [Le 10/05/2020, 15:31] (Version actuelle) – [Configuration] fran¢ais Theon | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{tag> | ||
+ | ---- | ||
+ | ====== Ecryptfs : Chiffrer son /home ou créer un dossier privé chiffré ====== | ||
+ | |||
+ | **Ecryptfs ** est un outil pour créer un dossier privé (**~/ | ||
+ | |||
+ | < | ||
+ | |||
+ | <note warning> Cette [[https:// | ||
+ | n'est pas disponible lors de l' | ||
+ | |||
+ | ===== Installation ===== | ||
+ | ==== Contrôle préalable. ==== | ||
+ | Ecryptfs assure une sécurité des données basée sur le mot de passe. Il est donc nécessaire que le mot de passe ne soit pas très aisément récupérable. | ||
+ | S'il est récupérable en dix secondes, il semble inutile de chiffrer les données. | ||
+ | < | ||
+ | sudo john --show | ||
+ | S'il est déchiffrable | ||
+ | < | ||
+ | S'il est nécessaire de passer plus de temps, il est probable que les particuliers seront découragés mais pas les professionnels quitte à utiliser un réseau de 1000 machines afin de diminuer la durée de décryptage, | ||
+ | |||
+ | |||
+ | ==== Acquisition du logiciel. ==== | ||
+ | |||
+ | Il suffit [[: | ||
+ | |||
+ | |||
+ | ===== Configuration ===== | ||
+ | |||
+ | ecryptfs-setup-private | ||
+ | |||
+ | A l' | ||
+ | |||
+ | Enter your login passphrase: | ||
+ | |||
+ | Entrez le mot de passe que vous utilisez pour vous connecter. | ||
+ | |||
+ | Enter your mount passphrase [leave blank to generate one]: | ||
+ | |||
+ | Choisissez une phrase secrète ou laissez vide pour en générer une. | ||
+ | |||
+ | Enter your mount passphrase (again): | ||
+ | |||
+ | Reconfirmez votre phrase secrète. | ||
+ | |||
+ | |||
+ | Enregistrez votre phrase secrète dans un lieu sûr, elle sera requise pour récupérer vos données ultérieurement. | ||
+ | |||
+ | Puis, avant d' | ||
+ | |||
+ | **Logout, and log back in to begin using your encrypted directory.** | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | <note important> | ||
+ | |||
+ | < | ||
+ | |||
+ | Record your encryption passphrase | ||
+ | | ||
+ | To encrypt your home directory or " | ||
+ | You can run the " | ||
+ | |||
+ | |||
+ | La commande ecryptfs-unwrap-passphrase citée permet de retrouver la passphrase de montage (à condition de connaître le mot de passe d' | ||
+ | </ | ||
+ | |||
+ | ===== Utilisation ===== | ||
+ | ==== correctif pour version antérieure à la version 17.10 ==== | ||
+ | |||
+ | Une fois l' | ||
+ | Malheureusement, | ||
+ | < | ||
+ | |||
+ | |||
+ | ==== Monter le répertoire ==== | ||
+ | |||
+ | < | ||
+ | | ||
+ | ==== Utilisation du répertoire ==== | ||
+ | |||
+ | cd / | ||
+ | echo " | ||
+ | mkdir Toto | ||
+ | echo " | ||
+ | cd | ||
+ | |||
+ | ==== Démonter le répertoire ==== | ||
+ | |||
+ | < | ||
+ | La réponse sous ubuntu1710 est | ||
+ | < | ||
+ | Il suffit de faire une seconde fois | ||
+ | < | ||
+ | |||
+ | |||
+ | ===== Chiffrer son /home ===== | ||
+ | |||
+ | Si vous n'avez pas chiffré votre dossier personnel "/ | ||
+ | |||
+ | < | ||
+ | |||
+ | en remplaçant " | ||
+ | |||
+ | <note important> | ||
+ | |||
+ | <note warning> | ||
+ | |||
+ | <note help> | ||
+ | |||
+ | Pour créer un nouvel utilisateur " | ||
+ | < | ||
+ | sudo adduser temporaire sudo</ | ||
+ | |||
+ | Faite ensuite un clone de votre partition avec [[clonezilla|Clonezilla]] ou une copie de sauvegarde de votre dossier /home, si possible vers une autre partition: | ||
+ | < | ||
+ | |||
+ | Faite ensuite du ménage dans votre dossier /home : la migration vers un /home chiffré nécessite que la partition sur laquelle est votre /home ait un espace disque libre de 2,5x la taille du /home à chiffrer ! \\ | ||
+ | |||
+ | Passez ensuite en mode console avec CTRL+ALT+F1 en ayant fermé votre session graphique (il faut s' | ||
+ | Vous pouvez alors lancer la migration du dossier /home de votre utilisateur " | ||
+ | < | ||
+ | Si il y a assez de place sur le disque, le programme vous demandera le password de l' | ||
+ | - **Avant de rebooter**, loguez vous avec l' | ||
+ | - La migration a crée un dossier / | ||
+ | - Utilisez la commande < | ||
+ | - Chiffrez votre swap avec la commande < | ||
+ | Vous pourrez enfin supprimer votre utilisateur temporaire avec la commande | ||
+ | < | ||
+ | |||
+ | ===== Préalable pour pouvoir se relogger facilement avec le gestionnaire de connexion et l' | ||
+ | |||
+ | Le montage est automatique en version 16.04, | ||
+ | Le paquet peut aussi s' | ||
+ | |||
+ | L' | ||
+ | |||
+ | < | ||
+ | |||
+ | Éditer le fichier etc/ | ||
+ | < | ||
+ | |||
+ | Ensuite, avant la ligne contenant ' | ||
+ | < | ||
+ | |||
+ | Et finalement, après la ligne contenant ' | ||
+ | < | ||
+ | |||
+ | Attention à bien utiliser la même passphrase pour chiffrer votre repertoire personnel, que le mot de passe de connexion. | ||
+ | |||
+ | ===== Création d'un nouvel utilisateur sécurisé : ===== | ||
+ | (Réalisation en version 16.04) | ||
+ | |||
+ | L' | ||
+ | * Créer l' | ||
+ | * Initialiser immédiatement le chiffrage de cet utilisateur grâce à la commande. **sudo ecryptfs-migrate-home -u NouveauNom** | ||
+ | * Demander à **NouveauNom** de se connecter afin qu'il fabrique la phrase de sécurité de montage de son répertoire | ||
+ | * Patienter quelque minutes le temps que la grille proposant d' | ||
+ | * Valider la grille afin d' | ||
+ | * Se déconnecter et se reconnecter immédiatement avant l' | ||
+ | |||
+ | Constat; | ||
+ | Le répertoire de cet utilisateur est bien monté automatiquement. il accède à ses propres données qui sont protégées des autres | ||
+ | |||
+ | < | ||
+ | total 8 | ||
+ | 4 dr-x------ 2 1002 1002 4096 déc. 29 11:47 . | ||
+ | 4 drwxr-xr-x 7 root root 4096 déc. 29 11:47 .. | ||
+ | 0 lrwxrwxrwx 1 1002 1002 56 déc. 29 11:47 Access-Your-Private-Data.desktop -> / | ||
+ | 0 lrwxrwxrwx 1 1002 1002 34 déc. 29 11:47 .ecryptfs -> / | ||
+ | 0 lrwxrwxrwx 1 1002 1002 33 déc. 29 11:47 .Private -> / | ||
+ | 0 lrwxrwxrwx 1 1002 1002 52 déc. 29 11:47 README.txt -> / | ||
+ | root@u16041:/ | ||
+ | < | ||
+ | root@u16042:/ | ||
+ | total 0 | ||
+ | 0 lrwxrwxrwx 1 cryptage cryptage 56 déc. 29 11:47 Access-Your-Private-Data.desktop -> / | ||
+ | 0 lrwxrwxrwx 1 cryptage cryptage 52 déc. 29 11:47 README.txt -> / | ||
+ | root@u16042:/ | ||
+ | |||
+ | . | ||
+ | ===== Désinstallation ===== | ||
+ | |||
+ | Pour supprimer cette application, | ||
+ | |||
+ | <note warning> | ||
+ | Assurez-vous d' | ||
+ | |||
+ | 1. Démonter le répertoire crypté : | ||
+ | | ||
+ | |||
+ | 2. Rendre ~/Private accessible en écriture : | ||
+ | chmod 700 ~/ | ||
+ | |||
+ | 3. Effacer ~/Private, ~/.Private, ~/.ecryptfs **(Note: EFFACEMENT DÉFINITIF)** : | ||
+ | rm -rf ~/Private ~/.Private ~/ | ||
+ | |||
+ | 4. Désinstaller les paquets : | ||
+ | sudo apt-get remove ecryptfs-utils libecryptfs0 | ||
+ | ou | ||
+ | sudo apt purge ecryptfs-utils libecryptfs1 | ||
+ | |||
+ | Si vous n' | ||
+ | (source : https:// | ||
+ | |||
+ | |||
+ | ===== Problèmes ===== | ||
+ | |||
+ | ==== Mot de passe modifié ==== | ||
+ | Si vous avez modifié votre mot de passe depuis la ligne de commande à l'aide " | ||
+ | Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.\\ | ||
+ | Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n'avez aucune solution dans le cas contraire. | ||
+ | === Solution 1 : accéder temporairement aux données === | ||
+ | Pour accéder à vos données, il vous suffira de monter le dossier chiffré vous-même manuellement et le tour sera joué : | ||
+ | |||
+ | sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase, | ||
+ | |||
+ | La passphrase vous sera demandée et le dossier Private sera monté correctement. | ||
+ | |||
+ | === Solution 2 : rétablir un fonctionnement normal === | ||
+ | |||
+ | Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n'est PAS mise à jour. Ceci évite qu'un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d' | ||
+ | |||
+ | Afin de modifier votre passphrase Ecryptfs (pour qu' | ||
+ | |||
+ | ecryptfs-rewrap-passphrase ~/ | ||
+ | |||
+ | Vous devrez saisir votre ancienne passphrase, puis la nouvelle. | ||
+ | |||
+ | Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | ||
+ | //NB: Solution proposée sur ce tutoriel [[http:// | ||
+ | ==== Récupération du contenu d'un répertoire "/ | ||
+ | |||
+ | === Methode automatique === | ||
+ | |||
+ | Pour récupérer très simplement **vos données personnelles**, | ||
+ | sudo ecryptfs-recover-private | ||
+ | Il va scanner vos disques à la recherche des dossiers chiffrés // | ||
+ | INFO: Found [/ | ||
+ | Try to recover this directory? [Y/n]: | ||
+ | Répondez alors **Y** et il vous montera votre dossier automatiquement. Vous n' | ||
+ | sudo nautilus & | ||
+ | |||
+ | <note tip|Pour aller plus vite> | ||
+ | sudo ecryptfs-recover-private / | ||
+ | </ | ||
+ | |||
+ | <note tip|droits en écriture> | ||
+ | sudo ecryptfs-recover-private --rw / | ||
+ | </ | ||
+ | |||
+ | === Méthode manuelle === | ||
+ | |||
+ | Si par exemple, pour une raison quelconque votre Ubuntu ne démarre plus ou que vous souhaitez récupérer les données d'un ordinateur tombé en panne, il va falloir déchiffrer le répertoire /home de l' | ||
+ | Il est difficile de trouver de la documentation sur la façon de faire, alors après avoir galéré plusieurs heures, et jonglé avec différentes clés, je vous donne la solution. | ||
+ | |||
+ | == Etape 1 : obtenir la passphrase == | ||
+ | Tout d' | ||
+ | |||
+ | < | ||
+ | | ||
+ | (le mot de passe demandé est celui de la personne dont on souhaite récupérer les données. Il peut être nécessaire de négocier pour obtenir ce mot de passe!) | ||
+ | |||
+ | (" / | ||
+ | |||
+ | Vérifier bien que cette passphrase n'est pas celle du système actuellement démarré, la passphrase doit être différente de celle-ci: | ||
+ | sudo ecryptfs-unwrap-passphrase | ||
+ | |||
+ | == Etape 2 : obtenir les 2 clés " | ||
+ | |||
+ | < | ||
+ | (lorsque l'on vous demande la passphrase, il ne faut pas confondre avec votre mot de passe session, mettez la passphrase obtenue ci-dessus) | ||
+ | On vous donne 2 clés, il faut les copier dans la commande suivante avant de la lancer. | ||
+ | |||
+ | == Etape 3 : effectuer le montage du répertoire == | ||
+ | |||
+ | < | ||
+ | Vérifier alors que les noms des fichiers sont bien lisibles! | ||
+ | Si ce n'est pas le cas et que leur taille est indiquée avec les ??????, vous vous êtes trompés dans les jetons. Notez qu' | ||
+ | |||
+ | Ne pas oublier que la commande **ecrypt2fs-recover-private, | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== Récupération du contenu d'un utilisateur chiffré | ||
+ | |||
+ | Dans le cas où vous auriez suivi l' | ||
+ | Si un problème survient et que vous voulez rapidement rapatrier tout le contenu crypté sur une nouvelle machine ou sur une autre installation fraîche d' | ||
+ | Il vous suffira alors d' | ||
+ | |||
+ | Si le disque contenant les données chiffrées est en bon état, il faut installer le logiciel. ( Voir le chapitre 1), le configurer (Voir le chapitre 2) puis monter la partition de cet utilisateur et ouvrir le répertoire en prenant le soin de remplacer **XN** par les bonnes valeurs.. | ||
+ | < | ||
+ | mount -v /dev/sdXN /mnt | ||
+ | ecryptfs-recover-private | ||
+ | </ | ||
+ | |||
+ | |||
+ | Répondre | ||
+ | La question suivante est: | ||
+ | |||
+ | __Do you know your LOGIN passphrase__? | ||
+ | |||
+ | Il faut comprendre que c'est le mot de passe de l'un des utilisateurs qui sont stockés dans cette partition et dont vous essayez de récupérer les données chiffrées. | ||
+ | Si vous connaissez le mot de passe de cet utilisateur, | ||
+ | |||
+ | __INFO: Enter your LOGGING passphrase...__ | ||
+ | |||
+ | __Passsphrase__: | ||
+ | |||
+ | |||
+ | Si vous ne connaissez pas le mot de passe de cet utilisateur, | ||
+ | |||
+ | __INFO: Enter your MOUNT passphrase...__ | ||
+ | |||
+ | __Enter your MOUNT passphrase.__ | ||
+ | |||
+ | Dans les deux contextes, le montage se fait en **lecture seule** sur le point de montage | ||
+ | |||
+ | Vous pouvez accéder aux données en lecture seulement. | ||
+ | |||
+ | < | ||
+ | cd / | ||
+ | ls -ls | ||
+ | cat *</ | ||
+ | |||
+ | |||
+ | | ||
+ | |||
+ | ===== Fil de discussion associé ===== | ||
+ | |||
+ | [[http:// | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | * **(en)** [[https:// | ||
+ | * **(en)** [[https:// | ||
+ | * **(en)** [[http:// | ||
+ | * **(fr)** [[http:// | ||
+ | * **(en)** [[https:// | ||
+ | * **(fr)** [[https:// |