Bonjour,
Le 19/04/2021 à 11:39, Moebius a écrit :
> Bonjour,
> Voilà, cela fait longtemps que je suis confronté au même
problème : je
> voudrais chiffrer des dossiers sensibles (dossier firefox contenant
> tous mes mots de passe, certains dossiers de mon dossier personnel...)
> mais je n'ai jamais rien trouvé de pratique.
> En effet, je souhaite que le système me demande un passe et déchiffre
> le tout et que cela me soit accessible une fois la session lancée.
> Pour firefox, à mon travail pour retrouver tous mes marque-pages,
> passes... j'utilisais une clef usb chiffrée dans laquelle se trouvait
> le dossier de firefox et sur l'ordi se trouvait un lien qui y
> renvoyait ; ainsi, lorsque firefox se lançait il allait chercher sur
> la clef.
> Mais faire cela à mon domicile...pas terrible, surtout que je ne vais
> pas mettre une partie de mon dossier personnel sur une clef, c'est
> trop gros !
> Donc, j'aimerais chiffrer, soit des dossiers particuliers, soit mon
> dossier personnel dans /home, soit, à défaut, la partition /home mais
> sachant que cette partition ou ces dossiers existent déjà mais non
> chiffrés. et que j'ai besoin d'une méthode fiable pour y parvenir sans
> risquer de tout perdre.
> Voilà, j'en appelle à ceux pour qui cela paraît plus facile qu'à
> moi-même ! :-)
> cordialement,
J'utilise depuis quelques années des conteneurs LUKS pour faire ce
genre de chose. Pour faire simple:
- un fichier binaire, chiffré, qui contient les données.
- le root "ouvre", via la commande "cryptsetup luksOpen", le conteneur
chiffré. Il apparaît alors dans /dev/mapper/*, comme bloc de données
- le root monte ce bloc sur un point de montage, où tu veux (par exemple
dans ton /home)
- toi, en tant que utilisateur, tu accès à ce point de montage (un
répertoire), et c'est transparent pour toi
- à la fin de ton travail, le root:
+ démonte le point de montage
+ clos le fichier chiffré, via "cryptsetup luksClose"
Concrètement:
- création du conteneur chiffré (pardons, j'avais écrit la doc en
anglais ... :) )
# - Create a crypsetup container file
# CONTAINER_FILE=container
# SIZE=10 ; # This is a Mo value
# dd if=/dev/urandom of="$CONTAINER_FILE" bs=1024000 count=$SIZE
# cryptsetup luksFormat -c aes -h sha512 ${CONTAINER_FILE}
# cryptsetup luksOpen ${CONTAINER_FILE} luks_${CONTAINER_FILE##*/}
# NOTES: Bloc device will appear as /dev/mapper/${CONTAINER_FILE##*/}
# mkfs.ext4 -m 0 -L ${CONTAINER_FILE##*/}
/dev/mapper/luks_${CONTAINER_FILE##*/}
- Montage du conteneur chiffré:
# - Mount crypsetup container file
# cryptsetup luksOpen ${CONTAINER_FILE} luks_${CONTAINER_FILE##*/} ; #
Only needed if container has not been already open !
# mkdir -p ${CONTAINER_FILE}.mount
# mount /dev/mapper/luks_${CONTAINER_FILE##*/} ${CONTAINER_FILE}.mount
# NOTES: Uncrypted data appear into "${CONTAINER_FILE}.mount/" folder
# find ${CONTAINER_FILE}.mount
- Démontage du conteneur chiffré:
# - Umount crypsetup container file
# umount ${CONTAINER_FILE}.mount
# cryptsetup luksClose luks_${CONTAINER_FILE##*/}
# ls -la /dev/mapper/luks_${CONTAINER_FILE##*/}
Notes que pour ton usage de firefox, tu peux faire un
lien de
~/.mozilla/firefox/[ton profile]/ dans un sous-répertoire du dossier
déchiffré "${CONTAINER_FILE}.mount/"
Et comme le cache de firefox est à part dans
~/.cache/mozilla/firefox/[ton profile]/ , tes accès en écriture
dans le
conteneur chiffré seront limités.
Je t'envoie en MP un programme ("fort_knox.sh") qui se charge du
montage/démontage, via entre autre du sudo et une interface graphique
très simplifiée.
Pour la partie graphique, j'ai utilisé des boîtes de dialogue KDE
("kdialog"), mais il y a moyen de faire la même chose avec gnome, ou
d'autres desktop.
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
