Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
encfs [Le 04/06/2018, 11:28] – [Ressources] L'Africain | encfs [Le 21/02/2021, 10:44] (Version actuelle) – [Ressources] Caille | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{tag> | ||
+ | |||
+ | ---- | ||
+ | |||
+ | ====== Chiffrez aisément vos répertoires avec EncFS ====== | ||
+ | |||
+ | ===== De quoi s' | ||
+ | |||
+ | Apprendre à installer et utiliser le système de chiffrement EncFS qui fonctionne de façon **simple** sur tout système de fichiers grâce à [[:fuse]]. Pour en savoir plus sur le chiffrement: | ||
+ | |||
+ | <note warning> | ||
+ | |||
+ | Selon un audit de sécurité mené par Taylor Hornby (Defuse Security), la | ||
+ | version actuelle de Encfs est vulnérable ou potentiellement vulnérable à | ||
+ | plusieurs types d' | ||
+ | droits en lecture/ | ||
+ | le niveau de complexité pour déchiffrer des données, sans qu'un | ||
+ | utilisateur légitime ne s'en aperçoive, ou bien pourrait utiliser | ||
+ | l' | ||
+ | | ||
+ | Tant que ces problèmes ne sont pas résolus, encfs ne devra pas être | ||
+ | considéré comme un endroit sûr pour les données sensibles, dans les | ||
+ | situations qui permettent ce type d' | ||
+ | |||
+ | Pour plus de précisions, | ||
+ | |||
+ | FIXME **Quid des versions plus récentes que 16.04 ?** | ||
+ | |||
+ | On peut lire aussi cette [[https:// | ||
+ | |||
+ | < | ||
+ | |||
+ | On voit donc les limites de la séduisante idée du [[https:// | ||
+ | </ | ||
+ | ===== Introduction ===== | ||
+ | |||
+ | Vous souhaitez conserver des données sensibles et/ou privées, mais sans chiffrer tout votre disque dur. Idéalement, | ||
+ | |||
+ | EncFS permet de réaliser cela très simplement. Pour ce faire, vous allez utiliser deux répertoires : | ||
+ | - un premier répertoire dans lequel seront // | ||
+ | - un second répertoire dans lequel vous pourrez créer des données //en clair//, après authentification ("// | ||
+ | L' | ||
+ | |||
+ | Note technique : EncFS gère donc des couples de fichiers « en clair / chiffré ». Dans le répertoire de stockage, les noms de fichiers sont par ailleurs chiffrés. Les avantages d' | ||
+ | |||
+ | |||
+ | ===== Installation ===== | ||
+ | |||
+ | ==== Versions de Linux modernes ==== | ||
+ | [[: | ||
+ | |||
+ | Pour un usage simple, installez gnome-encfs-manager (via un ppa) ou **[[apt> | ||
+ | |||
+ | |||
+ | ==== Création des répertoires ==== | ||
+ | |||
+ | Dans notre exemple, le répertoire de stockage des données chiffrées sera '' | ||
+ | |||
+ | encfs / | ||
+ | |||
+ | Attention, la commande '' | ||
+ | |||
+ | La première fois qu' | ||
+ | |||
+ | <code bash> | ||
+ | [user@yop ~] encfs / | ||
+ | The directory "/ | ||
+ | The directory "/ | ||
+ | Création d'un nouveau volume chiffré. | ||
+ | Veuillez choisir au moins une des options suivantes : | ||
+ | entrez " | ||
+ | entrez " | ||
+ | n' | ||
+ | ?> p | ||
+ | | ||
+ | Configuration paranoïaque sélectionnée. | ||
+ | | ||
+ | Configuration terminée. Le système de fichiers sur le | ||
+ | point d' | ||
+ | Chiffrement de système de fichiers " | ||
+ | Encodage du nom de fichier : " | ||
+ | Taille de clé : 256 bits | ||
+ | Taille de bloc : 512 octets, y compris 8 octets d' | ||
+ | Chaque fichier comprend un en-tête de 8 octets avec des données IV uniques. | ||
+ | Nom de fichiers chiffrés en utilisant le mode de chaînage IV. | ||
+ | L'IV des données du fichier est chaînée à l'IV du nom de fichier. | ||
+ | |||
+ | -------------------------- AVERTISSEMENT -------------------------- | ||
+ | The external initialization-vector chaining option has been | ||
+ | enabled. | ||
+ | filesystem. Without hard links, some programs may not work. | ||
+ | The programs ' | ||
+ | more information, | ||
+ | If you would like to choose another configuration setting, | ||
+ | please press CTRL-C now to abort and start over. | ||
+ | |||
+ | Vous devez entrer un mot de passe pour votre système de fichiers. | ||
+ | Vous devez vous en souvenir, car il n' | ||
+ | Toutefois, le mot de passe peut être changé plus tard à l'aide d' | ||
+ | |||
+ | Nouveau mot de passe : votre_passe | ||
+ | Vérifier le mot de passe : votre_passe | ||
+ | </ | ||
+ | | ||
+ | |||
+ | À la question « Veuillez choisir au moins une des options suivantes », vous pouvez choisir le mode « paranoïaque » en tapant '' | ||
+ | |||
+ | Trouvé sur la [[https:// | ||
+ | |||
+ | |||
+ | **Vérifiez le montage du répertoire chiffré :** | ||
+ | |||
+ | cat / | ||
+ | |||
+ | vous donnera, entre autres, une entrée de ce type : | ||
+ | |||
+ | |||
+ | encfs / | ||
+ | |||
+ | **Note** : si vous chiffrez des fichiers en utilisant ce mode « paranoïaque », certaines applications pourront ne pas fonctionner normalement en utilisant ces fichiers chiffrés. Cela vient du fait que les liens (//hard//) ne peuvent être recopiés dans le dossier de stockage. Si vous rencontrez des problèmes de ce type, recréez un couple de répertoires et changez de mode. | ||
+ | |||
+ | **Note2** : le répertoire des données en clair (ici " | ||
+ | * le nouveau répertoire ait bien été créé et soit vide | ||
+ | * il y ait concordance entre le chemin de montage et celui de démontage.; | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Utilisation ===== | ||
+ | |||
+ | Elle est basique puisqu' | ||
+ | |||
+ | 1. **ON** Pour // | ||
+ | |||
+ | encfs / | ||
+ | |||
+ | Contrairement à la première fois, EncFS détecte qu'une initialisation a déjà été faite sur ces deux répertoires et se contente de demander le mot de passe pour débloquer l' | ||
+ | |||
+ | **Toute donnée créée/ | ||
+ | |||
+ | 2. **OFF** Pour ne //plus pouvoir accéder// aux données en clair, il suffit de démonter le répertoire « de travail », soit dans notre exemple : | ||
+ | |||
+ | fusermount -u / | ||
+ | |||
+ | |||
+ | ===== Exemples sur un terminal ===== | ||
+ | |||
+ | Vous trouverez sur la page [[: | ||
+ | |||
+ | Notez en particulier que, puisque vous utilisez fuse, il vous est possible de travailler sur un couple de répertoires placé sur une partition NTFS. | ||
+ | |||
+ | Nota : la plus récente version du pilote | ||
+ | |||
+ | |||
+ | ==== Changement du mot de passe ==== | ||
+ | |||
+ | Le mot de passe peut être changé, grâce à la commande (nom du répertoire à adapter si différent) : | ||
+ | |||
+ | encfsctl passwd ~/.coffre | ||
+ | | ||
+ | À l' | ||
+ | | ||
+ | |||
+ | |||
+ | |||
+ | ===== Automatiser le lancement/ | ||
+ | |||
+ | * Pour automatiser sur une session, choisissez **pam_mount** | ||
+ | * Sur une interface Gnome ou Unity, choisissez **Gnome EncFS** Manager ou **Cryptkeeper**, | ||
+ | * Sur une interface KDE, choisissez **Fusible**. | ||
+ | |||
+ | Pour les autres cas, voyez les autres méthodes. | ||
+ | |||
+ | ==== pam_mount ==== | ||
+ | |||
+ | Il est possible de configurer Ubuntu pour qu'il monte le système de fichier chiffré au démarrage de la session et ceci de manière automatique et sans redemander le mot de passe additionnel. | ||
+ | |||
+ | **Note**: Il est impératif que le mot de passe de la session soit identique à celui d' | ||
+ | FIXME exemple à recycler\\ | ||
+ | L' | ||
+ | |||
+ | Installer pam_mount | ||
+ | |||
+ | sudo apt-get install | ||
+ | |||
+ | Créer le répertoire de stockage sécurisé et le point de montage | ||
+ | |||
+ | cd | ||
+ | mkdir ~/ | ||
+ | ln -s ~/Ubuntu\ One/ | ||
+ | |||
+ | Editer le fichier / | ||
+ | Rechercher la ligne <!-- Volume definitions --> | ||
+ | Ajouter la ligne suivante juste après en remplaçant << | ||
+ | |||
+ | <volume user="<< | ||
+ | |||
+ | A la prochaine ouverture de session, le système de fichier encrypté sera automatiquement monté dans le répertoire ~/Encrypted et les données de ce répertoire seront automatiquement encryptées et sauvegardées grâce à [[ubuntuone|Ubuntu One]]. | ||
+ | ==== Gnome Encfs Manager ==== | ||
+ | À l' | ||
+ | |||
+ | {{ : | ||
+ | Ce Gestionnaire vous permet d' | ||
+ | |||
+ | {{ : | ||
+ | < | ||
+ | ==== Cryptkeeper ==== | ||
+ | |||
+ | Cryptkeeper est une application gtk (gnome) qui se loge dans la zone de notification. | ||
+ | |||
+ | " | ||
+ | |||
+ | < | ||
+ | |||
+ | Pour le faire fonctionner sous Unity, il suffit d' | ||
+ | < | ||
+ | puis alt+f2 et unity --replace | ||
+ | |||
+ | Plus de détails [[: | ||
+ | </ | ||
+ | |||
+ | Pour installer Cryptkeeper : [[apt:// | ||
+ | |||
+ | Enfin, vous souhaiterez sans doute activer Cryptkeeper automatiquement à chaque démarrage plutôt que de le lancer manuellement à chaque fois. Pour ce faire, allez dans Système > Préférences > Applications au démarrage, et ajoutez une application ayant pour nom Cryptkeeper et lançant la commande " | ||
+ | |||
+ | |||
+ | ==== Sirikali ==== | ||
+ | Sirikali gère l' | ||
+ | sudo apt-get install sirikali | ||
+ | | ||
+ | Lors de la première utilisation, | ||
+ | |||
+ | Il comporte de nombreuses options, permettant notamment un lancement automatique au démarrage. | ||
+ | |||
+ | ==== En ligne de commande ==== | ||
+ | |||
+ | Vous pouvez créer deux commandes pour ouvrir et fermer rapidement l' | ||
+ | |||
+ | gksudo gedit / | ||
+ | |||
+ | Copiez-y le texte suivant : | ||
+ | |||
+ | #!/bin/sh | ||
+ | encfs / | ||
+ | |||
+ | gksudo gedit / | ||
+ | |||
+ | Copiez-y le texte suivant : | ||
+ | |||
+ | #!/bin/sh | ||
+ | fusermount -u / | ||
+ | |||
+ | Vérifiez que vous utilisez bien les noms de répertoires que vous avez choisis ! Ensuite, donnez les droits nécessaires à ces deux commandes : | ||
+ | |||
+ | sudo chown $USER / | ||
+ | |||
+ | chmod 700 / | ||
+ | |||
+ | Désormais, vous pouvez taper '' | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== avec un script | ||
+ | |||
+ | Vous trouverez ici un script qui vous permettra de monter et démonter aisément votre répertoire de travail. Il peut remplacer les deux commandes ci-dessus. | ||
+ | |||
+ | Code : | ||
+ | |||
+ | # | ||
+ | # Script de montage de dossier chiffré avec encfs et fuse. | ||
+ | # A utiliser avec Thunar ou Nautilus, ou en ligne de commande : | ||
+ | # ./mount_enc ~/ | ||
+ | # Variable à modifier : repertoire contenant les fichiers chiffrés CRYPTEDFOLDER=/ | ||
+ | | ||
+ | | ||
+ | | ||
+ | |||
+ | Ce programme prend comme argument le dossier à monter. Une fois que le dossier est monté, il fait apparaître une boîte de dialogue grâce à Zenity. Et quand on ferme la boîte de dialogue, le dossier chiffré est démonté. | ||
+ | |||
+ | Pour en savoir plus à ce sujet : | ||
+ | |||
+ | http:// | ||
+ | |||
+ | Nota : si vous préférez voir une icône dans le systray au lieu d'une boîte de dialogue, remplacer l' | ||
+ | | ||
+ | par celle-ci : | ||
+ | | ||
+ | | ||
+ | Voila un autre script simple qui permet de monter et démonter le dossier chiffré sans devoir laisser la boîte de dialogue et le terminal ouvert: | ||
+ | lancer le script, une foi le dossier monté le terminal se ferme; Relancez le script quand vous souhaitez démonter le dossier. | ||
+ | # | ||
+ | # Définition de la variable N, chemin du dossier Normal (à modifier avec votre propre chemin) | ||
+ | | ||
+ | # Définition de la variable C, chemin du dossier chiffré (à modifier avec votre propre chemin) | ||
+ | | ||
+ | # Définition de la variable T, chemin du fichier de test de condition (créer un fichier quelconque caché dans le répertoire chiffré, par exemple " | ||
+ | | ||
+ | # Test de condition (Est ce que le fichier " | ||
+ | if [ -e " | ||
+ | # Démontage du dossier chiffré | ||
+ | echo " | ||
+ | # L' | ||
+ | | ||
+ | | ||
+ | # Interdiction d' | ||
+ | chmod 440 $N | ||
+ | exit | ||
+ | else | ||
+ | # Autorisation d' | ||
+ | chmod 750 $N | ||
+ | # Montage du dossier chiffré | ||
+ | echo " | ||
+ | encfs $C $N | ||
+ | # Ouverture du dossier dans Nemo | ||
+ | nemo $N | ||
+ | fi | ||
+ | exit | ||
+ | (Ne pas oublier de créer un fichier (de préference caché) vers lequel le script va pointer dans votre dossier chiffré. Il est possible aussi de pointer vers un fichier existant mais il faudra prendre garde à ne pas l' | ||
+ | ==== un script qui résume et qui va bien par bhubuntu :==== | ||
+ | (modifié) | ||
+ | |||
+ | #!/bin/sh | ||
+ | # script pour ouvrir .coffre et le fermer facilement | ||
+ | # 2 Variables à modifier = 2 répertoires contenant 1) fichiers chiffré et 2) fichiers à monter déchiffré | ||
+ | # la commande set attribue les valeurs à $1 et $2 | ||
+ | set / | ||
+ | # on autorise l' | ||
+ | chmod 750 $2 | ||
+ | gksudo -p -m " | ||
+ | # on teste si le dossier par exemple ici ' | ||
+ | # si le mot de passe était faux le dossier montage apparaitrait vide donc on passe à else | ||
+ | # | ||
+ | if [ -e $2"/ | ||
+ | # on affiche le dossier crypté dans nautilus | ||
+ | nautilus $2 | ||
+ | # notification dans le systray pour masquer le dossier crypté | ||
+ | zenity --notification --text " | ||
+ | fusermount -u $2 | ||
+ | zenity --warning --title=Fermeture --text "votre dossier décrypté a été définitivement fermé et masqué" | ||
+ | else | ||
+ | zenity --info --title=Erreur --text "mot de passe erroné: recommencez !" | ||
+ | # on interdit l' | ||
+ | chmod 440 $2 | ||
+ | fi | ||
+ | exit | ||
+ | |||
+ | Pour utiliser ce script, il faut le copier dans un fichier texte, puis rendre le fichier exécutable. Ensuite, il suffit de cliquer sur l' | ||
+ | |||
+ | |||
+ | |||
+ | ===== Problèmes connus ===== | ||
+ | |||
+ | Sous **Ubuntu 14.04LTS** (Trusty Thar) lors de la création d'un nouveau dossier chiffré la zone de sélection du répertoire de destination est écrasée, il est extrêmement difficile voire impossible de visualiser le répertoire sélectionné. | ||
+ | |||
+ | ==== Accès impossible ? ==== | ||
+ | |||
+ | |||
+ | **Important** : pour pouvoir accéder aux données en clair, il est nécessaire //en plus du mot de passe// de vérifier si le fichier '' | ||
+ | |||
+ | Le fichier .encfs5 se trouve dans le répertoire chiffré à la racine du répertoire de stockage. Ce [[: | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ==== Module '' | ||
+ | Vérifier | ||
+ | * - la présence du module //fuse// ( lsmod | grep fuse) | ||
+ | * - que l' | ||
+ | |||
+ | Au cas où le module //fuse// n'est pas trouvé au moment du chargement, il se peut qu'il faille modifier le noyau (ce ne devrait //pas// être le cas sous Breezy, Dapper ou Edgy). Dans ce cas, faire : | ||
+ | |||
+ | sudo apt-get install module-assistant | ||
+ | |||
+ | puis : | ||
+ | |||
+ | sudo module-assistant | ||
+ | puis '' | ||
+ | |||
+ | |||
+ | ===== Avantages/ | ||
+ | |||
+ | Il existe beaucoup d' | ||
+ | * une installation en quelques commandes, une utilisation basique avec deux commandes, | ||
+ | * l' | ||
+ | * il n'est pas nécessaire de créer de fichier/ | ||
+ | * l' | ||
+ | * le fait de voir le nombre de fichiers chiffrés, leur taille et droits d' | ||
+ | * les performances semblent correctes (contrairement à d' | ||
+ | * fonctionnement possible sur différents types de système de fichier (dont NTFS) | ||
+ | |||
+ | |||
+ | Parmi les défauts, ou désavantages, | ||
+ | * le fait que le dossier de stockage soit visible et donne donc accès à quelques méta-données (nombre de fichiers chiffrés -mais pas leur nom-, leur taille et droits d' | ||
+ | * le fait que les données chiffrées doivent obligatoirement utiliser le système de fichier utilisé pour les données en clair (même partition). | ||
+ | * absence de [[http:// | ||
+ | |||
+ | |||
+ | ===== Ressources ===== | ||
+ | Pour plus de détails less / | ||
+ | |||
+ | EncFS peut faire un peu plus que ce que cette aide n'a présenté. Pour plus d' | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | * [[https:// | ||
+ | * [[davfs2# | ||
+ | |||
+ | * [[gnome-encfs-manager|Gnome Encfs Manager]] une interface graphique pour Encfs. | ||
+ | |||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | |||
+ | // | ||
+ | |||
+ | // Basé sur : [[http:// | ||