Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
ecryptfs [Le 11/06/2021, 22:52] zococo [Fil de discussion associé] |
ecryptfs [Le 12/06/2021, 20:06] zococo [Problèmes] |
||
|---|---|---|---|
| Ligne 208: | Ligne 208: | ||
| - | ===== Problèmes ===== | + | ===== Récupération du contenu d'un répertoire "/home" chiffré ===== |
| - | ==== Mot de passe modifié ==== | + | ==== Methode automatique ==== |
| - | Si vous avez modifié votre mot de passe depuis la ligne de commande à l'aide "passwd", le système ecryptfs ne vous autorisera plus à accéder aux données chiffrées. | + | |
| - | Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.\\ | + | |
| - | Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n'avez aucune solution dans le cas contraire. | + | |
| - | === Solution 1 : accéder temporairement aux données === | + | |
| - | Pour accéder à vos données, il vous suffira de monter le dossier chiffré vous-même manuellement et le tour sera joué : | + | |
| - | sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n | + | === Si tout se passe bien === |
| - | + | ||
| - | La passphrase vous sera demandée et le dossier Private sera monté correctement. | + | |
| - | + | ||
| - | === Solution 2 : rétablir un fonctionnement normal === | + | |
| - | + | ||
| - | Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n'est PAS mise à jour. Ceci évite qu'un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d'utilisateur et en se connectant avec votre identifiant. | + | |
| - | + | ||
| - | Afin de modifier votre passphrase Ecryptfs (pour qu'elle coïncide avec votre nouveau mot de passe), utilisez cette commande : | + | |
| - | + | ||
| - | ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase | + | |
| - | + | ||
| - | Vous devrez saisir votre ancienne passphrase, puis la nouvelle. | + | |
| - | + | ||
| - | Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | + | |
| - | //NB: Solution proposée sur ce tutoriel [[http://bodhizazen.net/Tutorials/Ecryptfs/|Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home»// | + | |
| - | ==== Récupération du contenu d'un répertoire "/home" chiffré ==== | + | |
| - | + | ||
| - | === Methode automatique === | + | |
| - | + | ||
| - | == Si tout se passe bien == | + | |
| Pour récupérer très simplement **vos données personnelles**, il est possible d'utiliser l'outil **ecryptfs-recover-private** | Pour récupérer très simplement **vos données personnelles**, il est possible d'utiliser l'outil **ecryptfs-recover-private** | ||
| Ligne 255: | Ligne 230: | ||
| </note> | </note> | ||
| - | == Si vous obtenez l'erreur « échec de l’appel système mount(2) » == | + | === Si vous obtenez l'erreur « échec de l’appel système mount(2) » === |
| Il peut arriver que la méthode automatique échoue sans qu'il soit nécessaire de passer par la méthode manuelle, voire que la méthode manuelle échoue elle aussi avec une erreur « échec de l’appel système mount(2) : Aucun fichier ou dossier de ce type.» (mount: mount(2) failed: No such file or directory) | Il peut arriver que la méthode automatique échoue sans qu'il soit nécessaire de passer par la méthode manuelle, voire que la méthode manuelle échoue elle aussi avec une erreur « échec de l’appel système mount(2) : Aucun fichier ou dossier de ce type.» (mount: mount(2) failed: No such file or directory) | ||
| Ligne 291: | Ligne 266: | ||
| </code> | </code> | ||
| - | === Méthode manuelle === | + | ==== Méthode manuelle ==== |
| Si par exemple, pour une raison quelconque votre Ubuntu ne démarre plus ou que vous souhaitez récupérer les données d'un ordinateur tombé en panne, il va falloir déchiffrer le répertoire /home de l'utilisateur qui a un problème. | Si par exemple, pour une raison quelconque votre Ubuntu ne démarre plus ou que vous souhaitez récupérer les données d'un ordinateur tombé en panne, il va falloir déchiffrer le répertoire /home de l'utilisateur qui a un problème. | ||
| Il est difficile de trouver de la documentation sur la façon de faire, alors après avoir galéré plusieurs heures, et jonglé avec différentes clés, je vous donne la solution. | Il est difficile de trouver de la documentation sur la façon de faire, alors après avoir galéré plusieurs heures, et jonglé avec différentes clés, je vous donne la solution. | ||
| - | == Etape 1 : obtenir la passphrase == | + | === Etape 1 : obtenir la passphrase === |
| Tout d'abord, il faut monter la partition /home dont on veut s'approprier le contenu planté pour qu'il soit accessible dans "/media". Puis | Tout d'abord, il faut monter la partition /home dont on veut s'approprier le contenu planté pour qu'il soit accessible dans "/media". Puis | ||
| - | <code>sudo ecryptfs-unwrap-passphrase /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.ecryptfs/wrapped-passphrase</code> | + | <code>usr@pc:~$ sudo ecryptfs-unwrap-passphrase /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.ecryptfs/wrapped-passphrase</code> |
| | | ||
| (le mot de passe demandé est celui de la personne dont on souhaite récupérer les données. Il peut être nécessaire de négocier pour obtenir ce mot de passe!) | (le mot de passe demandé est celui de la personne dont on souhaite récupérer les données. Il peut être nécessaire de négocier pour obtenir ce mot de passe!) | ||
| Ligne 308: | Ligne 283: | ||
| sudo ecryptfs-unwrap-passphrase | sudo ecryptfs-unwrap-passphrase | ||
| - | == Etape 2 : obtenir les 2 clés "fnek" == | + | === Etape 2 : obtenir les 2 clés "fnek" === |
| - | <code> sudo ecryptfs-add-passphrase --fnek</code> | + | <code>usr@pc:~$ sudo ecryptfs-add-passphrase --fnek</code> |
| (lorsque l'on vous demande la passphrase, il ne faut pas confondre avec votre mot de passe session, mettez la passphrase obtenue ci-dessus) | (lorsque l'on vous demande la passphrase, il ne faut pas confondre avec votre mot de passe session, mettez la passphrase obtenue ci-dessus) | ||
| On vous donne 2 clés, il faut les copier dans la commande suivante avant de la lancer. | On vous donne 2 clés, il faut les copier dans la commande suivante avant de la lancer. | ||
| - | == Etape 3 : effectuer le montage du répertoire == | + | === Etape 3 : effectuer le montage du répertoire === |
| - | <code>sudo mount -i -t ecryptfs -o rw,ecryptfs_sig=premier_keyring,ecryptfs_fnek_sig=deuxième_keyring,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.Private /media</code> | + | <code>usr@pc:~$ sudo mount -i -t ecryptfs -o rw,ecryptfs_sig=premier_keyring,ecryptfs_fnek_sig=deuxième_keyring,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.Private /media</code> |
| Vérifier alors que les noms des fichiers sont bien lisibles! | Vérifier alors que les noms des fichiers sont bien lisibles! | ||
| Si ce n'est pas le cas et que leur taille est indiquée avec les ??????, vous vous êtes trompés dans les jetons. Notez qu'aussitôt qu'une commande de montage a été réalisée (avec succès ou pas) les jetons sont éliminés. Il est donc nécessaire de rejouer ce trio de commandes. | Si ce n'est pas le cas et que leur taille est indiquée avec les ??????, vous vous êtes trompés dans les jetons. Notez qu'aussitôt qu'une commande de montage a été réalisée (avec succès ou pas) les jetons sont éliminés. Il est donc nécessaire de rejouer ce trio de commandes. | ||
| Ligne 322: | Ligne 297: | ||
| Ne pas oublier que la commande **ecrypt2fs-recover-private,** fait cette action mais en imposant le point de montage dans un répertoire aléatoire de /tmp... | Ne pas oublier que la commande **ecrypt2fs-recover-private,** fait cette action mais en imposant le point de montage dans un répertoire aléatoire de /tmp... | ||
| + | ==== Démonter le répertoire ==== | ||
| + | Après avoir monté le répertoire, récupéré ou modifié vos données, vous pouvez souhaiter démonter le répertoire chiffré. Le moyen le plus simple est de quitter la session ou d'éteindre la machine mais vous pouvez souhaiter maintenir la session active. | ||
| + | Dans cette hypothèse, vous pouvez recourir à la commande ** umount.ecryptfs** suivie du chemin complet vers le répertoire temporaire de montage de la partition chiffrée. | ||
| + | <code> | ||
| + | usr@pc:~$ sudo umount.ecryptfs /tmp/ecryptfs.aQhg2lM4/ | ||
| + | Could not unlink the key(s) from your keying. Please use `keyctl unlink` if you wish to remove the key(s). Proceeding with umount. | ||
| + | </code> | ||
| + | |||
| + | ===== Problèmes ===== | ||
| + | |||
| + | ==== Mot de passe modifié ==== | ||
| + | Si vous avez modifié votre mot de passe depuis la ligne de commande à l'aide "passwd", le système ecryptfs ne vous autorisera plus à accéder aux données chiffrées. | ||
| + | Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.\\ | ||
| + | Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n'avez aucune solution dans le cas contraire. | ||
| + | === Solution 1 : accéder temporairement aux données === | ||
| + | Pour accéder à vos données, il vous suffira de monter le dossier chiffré vous-même manuellement et le tour sera joué : | ||
| + | |||
| + | sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n | ||
| + | |||
| + | La passphrase vous sera demandée et le dossier Private sera monté correctement. | ||
| + | |||
| + | === Solution 2 : rétablir un fonctionnement normal === | ||
| + | |||
| + | Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n'est PAS mise à jour. Ceci évite qu'un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d'utilisateur et en se connectant avec votre identifiant. | ||
| + | |||
| + | Afin de modifier votre passphrase Ecryptfs (pour qu'elle coïncide avec votre nouveau mot de passe), utilisez cette commande : | ||
| + | |||
| + | ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase | ||
| + | |||
| + | Vous devrez saisir votre ancienne passphrase, puis la nouvelle. | ||
| + | |||
| + | Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | ||
| + | //NB: Solution proposée sur ce tutoriel [[http://bodhizazen.net/Tutorials/Ecryptfs/|Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home»// | ||
| ==== Récupération du contenu d'un utilisateur chiffré ou de son dossier privé avec une autre instance==== | ==== Récupération du contenu d'un utilisateur chiffré ou de son dossier privé avec une autre instance==== | ||