Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
ecryptfs [Le 12/06/2021, 20:05] zococo [Récupération du contenu d'un répertoire "/home" chiffré] |
ecryptfs [Le 15/12/2022, 10:02] (Version actuelle) 91.161.152.215 [Démonter le répertoire] |
||
|---|---|---|---|
| Ligne 97: | Ligne 97: | ||
| <code> ecryptfs-umount-private </code> | <code> ecryptfs-umount-private </code> | ||
| + | <note tip>Ne pas chiffrer un répertoire d'un utilisateur si ultérieurement vous pensez que vous allez chiffrer tout l'utilisateur. Il y aura refus car détection d'un chiffrement déjà installé!</note> | ||
| ===== Chiffrer son /home ===== | ===== Chiffrer son /home ===== | ||
| - | Si vous n'avez pas chiffré votre dossier personnel "/home" lors de l'installation d'Ubuntu et si vous n'avez pas déjà créé un répertoire chiffré, il est encore possible de le faire. Pour cela, il faut utiliser la commande | + | Si vous n'avez pas chiffré votre dossier personnel "/home" lors de l'installation d'Ubuntu et si vous n'avez pas déjà créé un répertoire chiffré, il est encore possible de le faire. Pour cela, il faut utiliser la commande |
| <code>sudo ecryptfs-migrate-home -u "user"</code> | <code>sudo ecryptfs-migrate-home -u "user"</code> | ||
| - | en remplaçant "user" par le login du compte à chiffrer. | + | en remplaçant "user" par le login du compte à chiffrer **qui ne doit pas être celui sur lequel on est connecté**. |
| <note important>Il n'est pas possible d'utiliser cette commande depuis le compte user du dossier /home à chiffrer. Il faut donc créer un utilisateur temporaire sur votre système, lui donner les droits sudo en l'associant au groupe "admin" puis se logger sur une console avec cet utilisateur temporaire pour exécuter la commande ci-dessus.</note> | <note important>Il n'est pas possible d'utiliser cette commande depuis le compte user du dossier /home à chiffrer. Il faut donc créer un utilisateur temporaire sur votre système, lui donner les droits sudo en l'associant au groupe "admin" puis se logger sur une console avec cet utilisateur temporaire pour exécuter la commande ci-dessus.</note> | ||
| Ligne 134: | Ligne 134: | ||
| ===== Préalable pour pouvoir se relogger facilement avec le gestionnaire de connexion et l'authentification PAM : ===== | ===== Préalable pour pouvoir se relogger facilement avec le gestionnaire de connexion et l'authentification PAM : ===== | ||
| - | Le montage est automatique en version 16.04, | + | Le montage est automatique en version 16.04, |
| Le paquet peut aussi s'appeler libpam-mount et les deux autres paquets peuvent déjà être installés. | Le paquet peut aussi s'appeler libpam-mount et les deux autres paquets peuvent déjà être installés. | ||
| Ligne 190: | Ligne 190: | ||
| Assurez-vous d'avoir déplacé **toutes vos données** ailleurs que dans le dossier ~/Private | Assurez-vous d'avoir déplacé **toutes vos données** ailleurs que dans le dossier ~/Private | ||
| - | 1. Démonter le répertoire crypté : | + | 1. Démonter le répertoire crypté : |
| ecryptfs-umount-private | ecryptfs-umount-private | ||
| Ligne 208: | Ligne 208: | ||
| - | ===== Problèmes ===== | + | ===== Récupération du contenu d'un répertoire "/home" chiffré ===== |
| - | ==== Mot de passe modifié ==== | + | ==== Methode automatique ==== |
| - | Si vous avez modifié votre mot de passe depuis la ligne de commande à l'aide "passwd", le système ecryptfs ne vous autorisera plus à accéder aux données chiffrées. | + | |
| - | Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.\\ | + | |
| - | Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n'avez aucune solution dans le cas contraire. | + | |
| - | === Solution 1 : accéder temporairement aux données === | + | |
| - | Pour accéder à vos données, il vous suffira de monter le dossier chiffré vous-même manuellement et le tour sera joué : | + | |
| - | sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n | + | === Si tout se passe bien === |
| - | La passphrase vous sera demandée et le dossier Private sera monté correctement. | + | Pour récupérer très simplement **vos données personnelles**, il est possible d'utiliser l'outil **ecryptfs-recover-private** |
| + | sudo ecryptfs-recover-private | ||
| + | Il va scanner vos disques à la recherche des dossiers chiffrés //.Private//. Comme indiqué, cette opération peut prendre du temps. Une fois la recherche terminée, il vous proposera de monter votre(vos) dossier(s) .Private comme par exemple : | ||
| + | INFO: Found [/media/<UUID>/home/.ecryptfs/<username>/.Private] | ||
| + | Try to recover this directory? [Y/n]: | ||
| + | Répondez alors **Y** et il vous montera votre dossier automatiquement. Vous n'aurez plus qu'à parcourir le point de montage avec nautilus par exemple. | ||
| + | sudo nautilus & | ||
| - | === Solution 2 : rétablir un fonctionnement normal === | + | <note tip|Pour aller plus vite>Vous pouvez indiquer en paramètre de ecryptfs-recover-private le répertoire à déchiffrer, ce qui vous évitera l'attente parfois longue (It may take a while !) de recherche du répertoire chiffré |
| + | sudo ecryptfs-recover-private /home/.ecryptfs/toto/.Private/ | ||
| + | </note> | ||
| - | Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n'est PAS mise à jour. Ceci évite qu'un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d'utilisateur et en se connectant avec votre identifiant. | + | <note tip|droits en écriture>L'option --rw ouvre les droits en écriture à l'intérieur de la partition chiffrée |
| + | sudo ecryptfs-recover-private --rw /home/.ecryptfs/toto/.Private/ | ||
| + | </note> | ||
| - | Afin de modifier votre passphrase Ecryptfs (pour qu'elle coïncide avec votre nouveau mot de passe), utilisez cette commande : | + | === Si vous obtenez l'erreur « échec de l’appel système mount(2) » === |
| + | Il peut arriver que la méthode automatique échoue sans qu'il soit nécessaire de passer par la méthode manuelle, voire que la méthode manuelle échoue elle aussi avec une erreur « échec de l’appel système mount(2) : Aucun fichier ou dossier de ce type.» (mount: mount(2) failed: No such file or directory) | ||
| - | ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase | + | <code> |
| + | usr@pc:~$ sudo ecryptfs-recover-private --rw /home/.ecryptfs/usr/.Private | ||
| + | [sudo] Mot de passe de usr : | ||
| + | INFO: Found [/home/.ecryptfs/usr/.Private]. | ||
| + | Try to recover this directory? [Y/n]: | ||
| + | INFO: Found your wrapped-passphrase | ||
| + | Do you know your LOGIN passphrase? [Y/n] | ||
| + | INFO: Enter your LOGIN passphrase... | ||
| + | Passphrase: | ||
| + | Inserted auth tok with sig [a425d547696d4f7b] into the user session keyring | ||
| + | mount: /tmp/ecryptfs.a2GHrSDE: échec de l’appel système mount(2) : Aucun fichier ou dossier de ce type. | ||
| + | ERROR: Failed to mount private data at [/tmp/ecryptfs.a2GHrSDE]. | ||
| + | </code> | ||
| - | Vous devrez saisir votre ancienne passphrase, puis la nouvelle. | + | Dans ce cas, il peut être nécessaire d'initialiser les clés ecryptfs de la manière suivante : |
| + | <code> | ||
| + | usr@pc:~$ sudo keyctl link @u @s | ||
| + | </code> | ||
| - | Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | + | puis, tout simplement : |
| - | //NB: Solution proposée sur ce tutoriel [[http://bodhizazen.net/Tutorials/Ecryptfs/|Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home»// | + | |
| - | ==== Récupération du contenu d'un utilisateur chiffré ou de son dossier privé avec une autre instance==== | + | <code> |
| + | usr@pc:~$ sudo ecryptfs-recover-private --rw /home/.ecryptfs/usr/.Private | ||
| + | INFO: Found [/home/.ecryptfs/usr/.Private]. | ||
| + | Try to recover this directory? [Y/n]: | ||
| + | INFO: Found your wrapped-passphrase | ||
| + | Do you know your LOGIN passphrase? [Y/n] | ||
| + | INFO: Enter your LOGIN passphrase... | ||
| + | Passphrase: | ||
| + | Inserted auth tok with sig [a425d547696d4f7b] into the user session keyring | ||
| + | INFO: Success! Private data mounted at [/tmp/ecryptfs.sD45Yfu58]. | ||
| - | Dans le cas où vous auriez suivi l'installation d'ecryptfs au début de cette documentation, vous avez un répertoire nommé par défaut Private dans votre /home. | ||
| - | Si un problème survient et que vous voulez rapidement rapatrier tout le contenu crypté sur une nouvelle machine ou sur une autre installation fraîche d'Ubuntu, vous pouvez vous contenter de copier les répertoires .Private, Private et .ecryptfs dans votre nouveau /home (testé avec même nom d'utilisateur / mot de passe de session que la première machine). | ||
| - | Il vous suffira alors d'utiliser votre passphrase comme à votre habitude, tout simplement. | ||
| - | |||
| - | Si le disque contenant les données chiffrées est en bon état, il faut installer le logiciel. ( Voir le chapitre 1), le configurer (Voir le chapitre 2) puis monter la partition de cet utilisateur et ouvrir le répertoire en prenant le soin de remplacer **XN** par les bonnes valeurs.. | ||
| - | <code>sudo -i | ||
| - | mount -v /dev/sdXN /mnt | ||
| - | ecryptfs-recover-private /mnt/home/.ecryptfs/NomDeCeluiDontOnRécupèreLesDonnées/.Private | ||
| </code> | </code> | ||
| + | ==== Méthode manuelle ==== | ||
| + | Si par exemple, pour une raison quelconque votre Ubuntu ne démarre plus ou que vous souhaitez récupérer les données d'un ordinateur tombé en panne, il va falloir déchiffrer le répertoire /home de l'utilisateur qui a un problème. | ||
| + | Il est difficile de trouver de la documentation sur la façon de faire, alors après avoir galéré plusieurs heures, et jonglé avec différentes clés, je vous donne la solution. | ||
| - | Répondre **Y** à la demande " Try to recover this directory? | + | === Etape 1 : obtenir la passphrase === |
| - | La question suivante est: | + | Tout d'abord, il faut monter la partition /home dont on veut s'approprier le contenu planté pour qu'il soit accessible dans "/media". Puis |
| - | __Do you know your LOGIN passphrase__? | + | <code>usr@pc:~$ sudo ecryptfs-unwrap-passphrase /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.ecryptfs/wrapped-passphrase</code> |
| + | |||
| + | (le mot de passe demandé est celui de la personne dont on souhaite récupérer les données. Il peut être nécessaire de négocier pour obtenir ce mot de passe!) | ||
| - | Il faut comprendre que c'est le mot de passe de l'un des utilisateurs qui sont stockés dans cette partition et dont vous essayez de récupérer les données chiffrées. | + | (" /media/$USER/pointDeMontage/home/NomDeCeluiDontOnRécupèrerLesDonnées/" est le répertoire "/home" de l'utilisateur qu'on traite). |
| - | Si vous connaissez le mot de passe de cet utilisateur, il faut répondre **Y** , la question suivante vous sera alors posée: | + | |
| - | __INFO: Enter your LOGGING passphrase...__ | + | Vérifier bien que cette passphrase n'est pas celle du système actuellement démarré, la passphrase doit être différente de celle-ci: |
| + | sudo ecryptfs-unwrap-passphrase | ||
| - | __Passsphrase__: Il faut alors frapper en aveugle le mot de passe de connexion de cet utilisateur. La partition est alors montée. | + | === Etape 2 : obtenir les 2 clés "fnek" === |
| + | <code>usr@pc:~$ sudo ecryptfs-add-passphrase --fnek</code> | ||
| + | (lorsque l'on vous demande la passphrase, il ne faut pas confondre avec votre mot de passe session, mettez la passphrase obtenue ci-dessus) | ||
| + | On vous donne 2 clés, il faut les copier dans la commande suivante avant de la lancer. | ||
| - | Si vous ne connaissez pas le mot de passe de cet utilisateur, il faut répondre **N**, la question suivante vous sera alors posée: | + | === Etape 3 : effectuer le montage du répertoire === |
| - | __INFO: Enter your MOUNT passphrase...__ | + | <code>usr@pc:~$ sudo mount -i -t ecryptfs -o rw,ecryptfs_sig=premier_keyring,ecryptfs_fnek_sig=deuxième_keyring,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.Private /media</code> |
| + | Vérifier alors que les noms des fichiers sont bien lisibles! | ||
| + | Si ce n'est pas le cas et que leur taille est indiquée avec les ??????, vous vous êtes trompés dans les jetons. Notez qu'aussitôt qu'une commande de montage a été réalisée (avec succès ou pas) les jetons sont éliminés. Il est donc nécessaire de rejouer ce trio de commandes. | ||
| - | __Enter your MOUNT passphrase.__ Il faut alors frapper en aveugle la clé de montage de la partition que l'utilisateur vous aura communiquée. C'est celle qu'il a choisie lors de l'installation. La partition est alors montée. | + | Ne pas oublier que la commande **ecrypt2fs-recover-private,** fait cette action mais en imposant le point de montage dans un répertoire aléatoire de /tmp... |
| - | Dans les deux contextes, le montage se fait en **lecture seule** sur le point de montage /tmp/ecryptfs.XXXXXXX | + | ==== Démonter le répertoire ==== |
| - | Vous pouvez accéder aux données en lecture seulement. | + | Après avoir monté le répertoire, récupéré ou modifié vos données, vous pouvez souhaiter démonter le répertoire chiffré. Le moyen le plus simple est de quitter la session ou d'éteindre la machine mais vous pouvez souhaiter maintenir la session active. |
| + | Dans cette hypothèse, vous pouvez recourir à la commande ** umount.ecryptfs** suivie du chemin complet vers le répertoire temporaire de montage de la partition chiffrée. | ||
| <code> | <code> | ||
| - | cd /tmp/ecriptfs.* | + | usr@pc:~$ sudo umount.ecryptfs /tmp/ecryptfs.aQhg2lM4/ |
| - | ls -ls | + | Could not unlink the key(s) from your keying. Please use `keyctl unlink` if you wish to remove the key(s). Proceeding with umount. |
| - | cat *</code> | + | |
| + | </code> | ||
| + | |||
| + | ===== Problèmes ===== | ||
| + | |||
| + | ==== Mot de passe modifié ==== | ||
| + | Si vous avez modifié votre mot de passe depuis la ligne de commande à l'aide "passwd", le système ecryptfs ne vous autorisera plus à accéder aux données chiffrées. | ||
| + | Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.\\ | ||
| + | Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n'avez aucune solution dans le cas contraire. | ||
| + | === Solution 1 : accéder temporairement aux données === | ||
| + | Pour accéder à vos données, il vous suffira de monter le dossier chiffré vous-même manuellement et le tour sera joué : | ||
| + | |||
| + | sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n | ||
| + | |||
| + | La passphrase vous sera demandée et le dossier Private sera monté correctement. | ||
| + | |||
| + | === Solution 2 : rétablir un fonctionnement normal === | ||
| + | |||
| + | Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n'est PAS mise à jour. Ceci évite qu'un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d'utilisateur et en se connectant avec votre identifiant. | ||
| + | |||
| + | Afin de modifier votre passphrase Ecryptfs (pour qu'elle coïncide avec votre nouveau mot de passe), utilisez cette commande : | ||
| + | |||
| + | ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase | ||
| + | |||
| + | Vous devrez saisir votre ancienne passphrase, puis la nouvelle. | ||
| + | |||
| + | Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | ||
| + | //NB: Solution proposée sur ce tutoriel [[http://bodhizazen.net/Tutorials/Ecryptfs/|Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home»// | ||
| - | | ||
| ===== Fil de discussion associé ===== | ===== Fil de discussion associé ===== | ||
| - | [[http://forum.ubuntu-fr.org/viewtopic.php?id=619641]] | + | [[https://forum.ubuntu-fr.org/viewtopic.php?id=619641]] |
| Ligne 288: | Ligne 345: | ||
| * **(en)** [[https://wiki.ubuntu.com/EncryptedPrivateDirectory]] | * **(en)** [[https://wiki.ubuntu.com/EncryptedPrivateDirectory]] | ||
| * **(en)** [[http://bodhizazen.net/Tutorials/Ecryptfs/]] | * **(en)** [[http://bodhizazen.net/Tutorials/Ecryptfs/]] | ||
| - | * **(fr)** [[http://blog.rom1v.com/2010/05/chiffrer-son-dossier-personnel-home-sous-ubuntu/|Chiffrer son dossier personnel (/home) sous Ubuntu (®om's blog)]] | + | * **(fr)** [[https://blog.rom1v.com/2010/05/chiffrer-son-dossier-personnel-home-sous-ubuntu/|Chiffrer son dossier personnel (/home) sous Ubuntu (®om's blog)]] |
| * **(en)** [[https://bugs.launchpad.net/ecryptfs|Anomalies connues]] | * **(en)** [[https://bugs.launchpad.net/ecryptfs|Anomalies connues]] | ||
| * **(fr)** [[https://kb-fr.sandisk.com/app/answers/detail/a_id/8251/~/page-dinformations-et-de-t%C3%A9l%C3%A9chargement-de-secureaccess-3.0|Ubuntu encore oublié par un grand fabriquant de matériel ]] | * **(fr)** [[https://kb-fr.sandisk.com/app/answers/detail/a_id/8251/~/page-dinformations-et-de-t%C3%A9l%C3%A9chargement-de-secureaccess-3.0|Ubuntu encore oublié par un grand fabriquant de matériel ]] | ||