著者: Moebius 日付: To: Olivier Allard-Jacquin, guilde 題目: Re: chiffrement
Bonsoir,
Je suis loin d'avoir tout compris :-)
Merci pour cela, je vais regarder attentivement pour voir si je peux
m'en dépatouiller
cordialement,
Le 19/04/2021 à 21:50, Olivier Allard-Jacquin a écrit : > Bonjour,
>
> Le 19/04/2021 à 11:39, Moebius a écrit :
>> Bonjour,
>> Voilà, cela fait longtemps que je suis confronté au même
> problème : je
>> voudrais chiffrer des dossiers sensibles (dossier firefox contenant
>> tous mes mots de passe, certains dossiers de mon dossier
>> personnel...) mais je n'ai jamais rien trouvé de pratique.
>> En effet, je souhaite que le système me demande un passe et déchiffre
>> le tout et que cela me soit accessible une fois la session lancée.
>> Pour firefox, à mon travail pour retrouver tous mes marque-pages,
>> passes... j'utilisais une clef usb chiffrée dans laquelle se trouvait
>> le dossier de firefox et sur l'ordi se trouvait un lien qui y
>> renvoyait ; ainsi, lorsque firefox se lançait il allait chercher sur
>> la clef.
>> Mais faire cela à mon domicile...pas terrible, surtout que je ne vais
>> pas mettre une partie de mon dossier personnel sur une clef, c'est
>> trop gros !
>> Donc, j'aimerais chiffrer, soit des dossiers particuliers, soit mon
>> dossier personnel dans /home, soit, à défaut, la partition /home mais
>> sachant que cette partition ou ces dossiers existent déjà mais non
>> chiffrés. et que j'ai besoin d'une méthode fiable pour y parvenir
>> sans risquer de tout perdre.
>> Voilà, j'en appelle à ceux pour qui cela paraît plus facile qu'à
>> moi-même ! :-)
>> cordialement,
>
> J'utilise depuis quelques années des conteneurs LUKS pour faire ce
> genre de chose. Pour faire simple:
>
> - un fichier binaire, chiffré, qui contient les données.
>
> - le root "ouvre", via la commande "cryptsetup luksOpen", le conteneur
> chiffré. Il apparaît alors dans /dev/mapper/*, comme bloc de données
>
> - le root monte ce bloc sur un point de montage, où tu veux (par
> exemple dans ton /home)
>
> - toi, en tant que utilisateur, tu accès à ce point de montage (un
> répertoire), et c'est transparent pour toi
>
> - à la fin de ton travail, le root:
>
> + démonte le point de montage
>
> + clos le fichier chiffré, via "cryptsetup luksClose"
>
>
> Concrètement:
>
> - création du conteneur chiffré (pardons, j'avais écrit la doc en
> anglais ... :) )
>
> # - Create a crypsetup container file
> # CONTAINER_FILE=container
> # SIZE=10 ; # This is a Mo value
> # dd if=/dev/urandom of="$CONTAINER_FILE" bs=1024000 count=$SIZE
> # cryptsetup luksFormat -c aes -h sha512 ${CONTAINER_FILE}
> # cryptsetup luksOpen ${CONTAINER_FILE} luks_${CONTAINER_FILE##*/}
> # NOTES: Bloc device will appear as /dev/mapper/${CONTAINER_FILE##*/}
> # mkfs.ext4 -m 0 -L ${CONTAINER_FILE##*/}
> /dev/mapper/luks_${CONTAINER_FILE##*/}
>
> - Montage du conteneur chiffré:
>
> # - Mount crypsetup container file
> # cryptsetup luksOpen ${CONTAINER_FILE} luks_${CONTAINER_FILE##*/} ; #
> Only needed if container has not been already open !
> # mkdir -p ${CONTAINER_FILE}.mount
> # mount /dev/mapper/luks_${CONTAINER_FILE##*/} ${CONTAINER_FILE}.mount
> # NOTES: Uncrypted data appear into "${CONTAINER_FILE}.mount/" folder
> # find ${CONTAINER_FILE}.mount
>
> - Démontage du conteneur chiffré:
>
> # - Umount crypsetup container file
> # umount ${CONTAINER_FILE}.mount
> # cryptsetup luksClose luks_${CONTAINER_FILE##*/}
> # ls -la /dev/mapper/luks_${CONTAINER_FILE##*/}
>
> Notes que pour ton usage de firefox, tu peux faire un lien de
> ~/.mozilla/firefox/[ton profile]/ dans un sous-répertoire du dossier
> déchiffré "${CONTAINER_FILE}.mount/"
>
> Et comme le cache de firefox est à part dans
> ~/.cache/mozilla/firefox/[ton profile]/ , tes accès en écriture dans
> le conteneur chiffré seront limités.
>
> Je t'envoie en MP un programme ("fort_knox.sh") qui se charge du
> montage/démontage, via entre autre du sudo et une interface graphique
> très simplifiée.
>
> Pour la partie graphique, j'ai utilisé des boîtes de dialogue KDE
> ("kdialog"), mais il y a moyen de faire la même chose avec gnome, ou
> d'autres desktop.
>
> Cordialement,
>
> Olivier
>