Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
ecryptfs [Le 26/06/2018, 11:25] 77.154.8.125 [Chiffrer son /home] |
ecryptfs [Le 12/06/2021, 20:05] zococo [Récupération du contenu d'un répertoire "/home" chiffré] |
||
---|---|---|---|
Ligne 6: | Ligne 6: | ||
**Ecryptfs ** est un outil pour créer un dossier privé (**~/Private**), __chiffré et inaccessible aux autres utilisateurs__, il est destiné à contenir tous les fichiers "sensibles" que vous pourriez avoir : vos fichiers contenant des mots de passe, les données confidentielles relatives à vos comptes bancaires, vos emails… | **Ecryptfs ** est un outil pour créer un dossier privé (**~/Private**), __chiffré et inaccessible aux autres utilisateurs__, il est destiné à contenir tous les fichiers "sensibles" que vous pourriez avoir : vos fichiers contenant des mots de passe, les données confidentielles relatives à vos comptes bancaires, vos emails… | ||
- | <note>Cette nouvelle caractéristique de sécurité est disponible depuis Ubuntu Intrepid Ibex</note> | + | <note>Cette nouvelle caractéristique de sécurité est disponible depuis [[intrepid|Ubuntu Intrepid Ibex]]</note> |
<note warning> Cette [[https://wiki.ubuntu.com/BionicBeaver/ReleaseNotes|fonctionnalité ]] | <note warning> Cette [[https://wiki.ubuntu.com/BionicBeaver/ReleaseNotes|fonctionnalité ]] | ||
Ligne 17: | Ligne 17: | ||
<code>sudo apt install john | <code>sudo apt install john | ||
sudo john --show /etc/passwd /etc/shadow</code> | sudo john --show /etc/passwd /etc/shadow</code> | ||
- | S'il est décryptable en moins de 24 heures. le risque reste important. | + | S'il est déchiffrable en moins de 24 heures. le risque reste important. |
<code>sudo john --incremental /etc/passwd /etc/shadow</code> | <code>sudo john --incremental /etc/passwd /etc/shadow</code> | ||
S'il est nécessaire de passer plus de temps, il est probable que les particuliers seront découragés mais pas les professionnels quitte à utiliser un réseau de 1000 machines afin de diminuer la durée de décryptage, mais ils décrypteront le mot de passe. | S'il est nécessaire de passer plus de temps, il est probable que les particuliers seront découragés mais pas les professionnels quitte à utiliser un réseau de 1000 machines afin de diminuer la durée de décryptage, mais ils décrypteront le mot de passe. | ||
Ligne 48: | Ligne 48: | ||
Enregistrez votre phrase secrète dans un lieu sûr, elle sera requise pour récupérer vos données ultérieurement. | Enregistrez votre phrase secrète dans un lieu sûr, elle sera requise pour récupérer vos données ultérieurement. | ||
- | Puis, avant d'utiliser, il faut absolument suivre cette directive, sinon ce que vous avez écrire sera perdu | + | Puis, avant d'utiliser, il faut absolument suivre cette directive, sinon ce que vous allez écrire sera perdu |
**Logout, and log back in to begin using your encrypted directory.** | **Logout, and log back in to begin using your encrypted directory.** | ||
Ligne 155: | Ligne 155: | ||
(Réalisation en version 16.04) | (Réalisation en version 16.04) | ||
- | L'installation standard ne génère le répertoire /home/$ÛSER que d'un seul utilisateur pouvant être chiffré ou pas. il peut être nécessaire de créer d'autres utilisateurs. | + | L'installation standard ne génère le répertoire /home/$USER que d'un seul utilisateur pouvant être chiffré ou pas. il peut être nécessaire de créer d'autres utilisateurs. |
* Créer l'utilisateur nouveau grâce à la commande **sudo adduser NouveauNom** | * Créer l'utilisateur nouveau grâce à la commande **sudo adduser NouveauNom** | ||
* Initialiser immédiatement le chiffrage de cet utilisateur grâce à la commande. **sudo ecryptfs-migrate-home -u NouveauNom** | * Initialiser immédiatement le chiffrage de cet utilisateur grâce à la commande. **sudo ecryptfs-migrate-home -u NouveauNom** | ||
Ligne 233: | Ligne 233: | ||
Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | ||
//NB: Solution proposée sur ce tutoriel [[http://bodhizazen.net/Tutorials/Ecryptfs/|Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home»// | //NB: Solution proposée sur ce tutoriel [[http://bodhizazen.net/Tutorials/Ecryptfs/|Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home»// | ||
- | ==== Récupération du contenu d'un répertoire "/home" chiffré ==== | ||
- | |||
- | === Methode automatique === | ||
- | |||
- | Pour récupérer très simplement **vos données personnelles**, il est possible d'utiliser l'outil **ecryptfs-recover-private** | ||
- | sudo ecryptfs-recover-private | ||
- | Il va scanner vos disques à la recherche des dossiers chiffrés //.Private//. Comme indiqué, cette opération peut prendre du temps. Une fois la recherche terminée, il vous proposera de monter votre(vos) dossier(s) .Private comme par exemple : | ||
- | INFO: Found [/media/<UUID>/home/.ecryptfs/<username>/.Private] | ||
- | Try to recover this directory? [Y/n]: | ||
- | Répondez alors **Y** et il vous montera votre dossier automatiquement. Vous n'aurez plus qu'à parcourir le point de montage avec nautilus par exemple. | ||
- | sudo nautilus & | ||
- | |||
- | <note tip|Pour aller plus vite>Vous pouvez indiquer en paramètre de ecryptfs-recover-private le répertoire à déchiffrer, ce qui vous évitera l'attente parfois longue (It may take a while !) de recherche du répertoire chiffré | ||
- | sudo ecryptfs-recover-private /home/.ecryptfs/toto/.Private/ | ||
- | </note> | ||
- | |||
- | <note tip|droits en écriture>L'option --rw ouvre les droits en écriture à l'intérieur de la partition chiffrée | ||
- | sudo ecryptfs-recover-private --rw /home/.ecryptfs/toto/.Private/ | ||
- | </note> | ||
- | |||
- | === Méthode manuelle === | ||
- | |||
- | Si par exemple, pour une raison quelconque votre Ubuntu ne démarre plus ou que vous souhaitez récupérer les données d'un ordinateur tombé en panne, il va falloir déchiffrer le répertoire /home de l'utilisateur qui a un problème. | ||
- | Il est difficile de trouver de la documentation sur la façon de faire, alors après avoir galéré plusieurs heures, et jonglé avec différentes clés, je vous donne la solution. | ||
- | |||
- | == Etape 1 : obtenir la passphrase == | ||
- | Tout d'abord, il faut monter la partition /home dont on veut s'approprier le contenu planté pour qu'il soit accessible dans "/media". Puis | ||
- | |||
- | <code>sudo ecryptfs-unwrap-passphrase /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.ecryptfs/wrapped-passphrase</code> | ||
- | | ||
- | (le mot de passe demandé est celui de la personne dont on souhaite récupérer les données. Il peut être nécessaire de négocier pour obtenir ce mot de passe!) | ||
- | |||
- | (" /media/$USER/pointDeMontage/home/NomDeCeluiDontOnRécupèrerLesDonnées/" est le répertoire "/home" de l'utilisateur qu'on traite). | ||
- | |||
- | Vérifier bien que cette passphrase n'est pas celle du système actuellement démarré, la passphrase doit être différente de celle-ci: | ||
- | sudo ecryptfs-unwrap-passphrase | ||
- | |||
- | == Etape 2 : obtenir les 2 clés "fnek" == | ||
- | |||
- | <code> sudo ecryptfs-add-passphrase --fnek</code> | ||
- | (lorsque l'on vous demande la passphrase, il ne faut pas confondre avec votre mot de passe session, mettez la passphrase obtenue ci-dessus) | ||
- | On vous donne 2 clés, il faut les copier dans la commande suivante avant de la lancer. | ||
- | |||
- | == Etape 3 : effectuer le montage du répertoire == | ||
- | |||
- | <code>sudo mount -i -t ecryptfs -o rw,ecryptfs_sig=premier_keyring,ecryptfs_fnek_sig=deuxième_keyring,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.Private /media</code> | ||
- | Vérifier alors que les noms des fichiers sont bien lisibles! | ||
- | Si ce n'est pas le cas et que leur taille est indiquée avec les ??????, vous vous êtes trompés dans les jetons. Notez qu'aussitôt qu'une commande de montage a été réalisée (avec succès ou pas) les jetons sont éliminés. Il est donc nécessaire de rejouer ce trio de commandes. | ||
- | |||
- | Ne pas oublier que la commande **ecrypt2fs-recover-private,** fait cette action mais en imposant le point de montage dans un répertoire aléatoire de /tmp... | ||
- | |||
- | |||
- | |||
- | |||
==== Récupération du contenu d'un utilisateur chiffré ou de son dossier privé avec une autre instance==== | ==== Récupération du contenu d'un utilisateur chiffré ou de son dossier privé avec une autre instance==== | ||
Ligne 345: | Ligne 291: | ||
* **(en)** [[https://bugs.launchpad.net/ecryptfs|Anomalies connues]] | * **(en)** [[https://bugs.launchpad.net/ecryptfs|Anomalies connues]] | ||
* **(fr)** [[https://kb-fr.sandisk.com/app/answers/detail/a_id/8251/~/page-dinformations-et-de-t%C3%A9l%C3%A9chargement-de-secureaccess-3.0|Ubuntu encore oublié par un grand fabriquant de matériel ]] | * **(fr)** [[https://kb-fr.sandisk.com/app/answers/detail/a_id/8251/~/page-dinformations-et-de-t%C3%A9l%C3%A9chargement-de-secureaccess-3.0|Ubuntu encore oublié par un grand fabriquant de matériel ]] | ||
+ | * **(en)** [[https://askubuntu.com/questions/659242/problem-with-ecryptfs-recover-private-mount2-failed~|Erreur mount avec ecryptfs-recover-private]] | ||
+ | * **(en)** [[https://bugs.launchpad.net/ubuntu/+source/ecryptfs-utils/+bug/1718658|La commande ecryptfs-mount-private échoue à initialiser les clés ecryptfs]] | ||
+ |