PDA

Afficher la version complète : Chiffrer sa partition home



Burn2
14/09/2010, 19h41
Bonjour, je sais qu'il est possible de chiffrer des partitions sous linux.

L'installateur d'openSuse permet de faire ça, mais est-il possible de chiffrer une partition de home à postériori et sans la formater???




Y a t'il des procédures particulières? L'avez vous fait?





Je dispose d'une machine de teste ou je peux tenter la manip sur un home non chiffrer actuellement donc si vous avez des idées... ;)

oh!rocks
14/09/2010, 19h53
Tu peux le faire avec le partitionneur de YaST... tu édites ta partition et tu cliques sur "Chiffrer le périphérique" (en prenant soin de vérifier que "Formater" n'est pas coché).

Ça va te demander un mot de passe et une confirmation et basta.


à plus,

oh!rocks

Burn2
14/09/2010, 20h29
Tu peux le faire avec le partitionneur de YaST... tu édites ta partition et tu cliques sur "Chiffrer le périphérique" (en prenant soin de vérifier que "Formater" n'est pas coché).

Ça va te demander un mot de passe et une confirmation et basta.


à plus,

oh!rocks[/b]

Ah merci donc c'est toujours possible, et tu sais ce qui se passe du point de vue utilisation par la suite? ça va me demander un deuxième mot de passe au boot?

EDIT: j'ai testé, et ça ne marche pas, je coche la case chiffrer sur ma partition /home, il installe ce qui va bien, puis me demande un mot de passe mais lorsque je lui en donne un il me met une "erreur -3016 impossible de définir le chiffrement, le mot de passe fourni est peut-être incorrecte."

Et j'ai testé du mot de passe simple à compliqué. :/


EDIT2: je me demande vraiment si c'est réalisable dans le sens ou le home est déjà monté sur le moment donc j'ai du mal à imaginer comment il pourrait chiffrer ce qui est déjà monté et en cours d'utilisation par l'os quoi.

oh!rocks
14/09/2010, 21h44
clavier ? il est possible que le clavier passe en qwerty (c'est un "gag" qui arrive quand on passe d'un user à root)...

peut-être faut-il démonter la partition avant ?


à plus,

oh!rocks


(edit : je n'avais pas vu ton edit2)

Burn2
14/09/2010, 21h46
<div class='quotetop'>Citation (oh!rocks @ 14/09/2010 à 21:44) <{POST_SNAPBACK}> (index.php?act=findpost&pid=235714)</div>
clavier ? il est possible que le clavier passe en qwerty (c'est un "gag" qui arrive quand on paase d'un user à root)...

peut-être faut-il démonter la partition avant ?


à plus,

oh!rocks[/b]

En fait, que le clavier passe en qwerty avant j'ai envie de dire ce n'est pas plausible dans le sens, ou j'en suis à la première étape, comprendre je suis dans mon partitionneur, je coche chiffrer, et là il me demande un mot de passe, donc qwerty ou pas ça ne change rien dans l'entrée du mot de passe.

Par contre oui je penche bien pour la partition montée, mais je ne vois pas comment on peut scier la branche sur laquelle on est, si je démonte mon home ça va tout me planter non? Bon je tente quand même :D

EDIT: je ne vois pas comment démonter la partition en cours d'utilisation. :/ Même un umount -f ne peut passer. Donc je me demande si c'est réellement faisable...

oh!rocks
15/09/2010, 10h32
En root, en console... ça doit pouvoir se démonter...

Ensuite : http://www.ultrabug.fr/wiki/index.php5?tit..._son_disque_dur (http://www.ultrabug.fr/wiki/index.php5?title=Crypter_son_disque_dur)

ça ressemble de ce que tu veux ?


à plus,

oh!rocks

Burn2
15/09/2010, 15h54
Salux et merci pour ta réponse, non même en root (c'est ce que j'ai déjà fait depuis une console puisque de toute façon umount sans être root ne marche pas) je ne peux démonter la partition...

Le umount -f me jette en me disant qu'il ne peut le démonter car en cours d'utilisation ce qui est logique.

Sur ton exemple ils me demande de formater. :/ Si c'est pour formater mon home autant recréer la partition avec l'outil d'openSuse quoi.


Ce que je cherche si c'est possible mais plus je creuse moins ça me semble réalisable c'est chiffrer mon home qui existe déjà sans perdre mes données.

oh!rocks
15/09/2010, 16h17
Depuis un live CD... ?


à plus,

oh!rocks

Burn2
15/09/2010, 16h44
J'y pensais aussi, mais dans ce cas va falloir chrooter pour pouvoir modifier le montage en plus? Faudrait que je teste dès que j'ai 5 minutes. Mais ça me semble quand même être le parcours du combattant malheureusement. :(
Surtout si c'est à postériori. En tous cas merci de ta réponse.

Agemen
15/09/2010, 21h44
À ce niveau là, il vaut mieux faire une sauvegarde du home, crypter la partition, et remettre la sauvegarde. Autant aller vite :-p

Burn2
22/09/2010, 21h38
Bon je viens de tester depuis le live cd, j'ai le même problème, erreur -3016

Donc je sens que je vais être obligé de tout reformater le problème c'est que ça ne m'arrange pas, parce que je vais devoir réinstaller tous les logiciels que j'avais installé etc. :/

Et avec mon faible temps de dispo c'est injouable ça. :(

EDIT/ je confirme faut formater pour chiffrer, je viens de cocher formater et là paf ça chiffre bien, je teste pour voir ce que ça donne... Et il se peut fortement que je sois obligé de faire ça, remarque depuis un live cd je dois pouvoir faire tout ça sans devoir tout réinstaller donc ça peut être assez rapide, faut que je goupille tout ça!

EDIT2: bon ben ça ne boot plus. :D Je ne pense pas que ça soit une bonne idée d'écraser la fstab depuis un live cd.... il faut tout configurer au niveau du montage etc, je continue d'investiguer...


EDIT3: non décidément c'est raté, il n'essaye jamais de me demander le mot de passe de la partition du coup il n'arrive pas à la monter (il doit essayer de lire directement la partition chiffrée...)
Je me demande en fait si mon live cd a réellement écris sur le boot du disque.

Là je me retrouve à devoir entrer mon mot de passe admin en qwerty pour tenter de réparer la partition et le fsck n'aime pas la partition chiffrée, il me trouve des erreurs partout...

xiloa
23/09/2010, 09h28
salut
as tu regardé l'outil luks ? c'est celui ci qui est utilisé. Pour le montage "à la main" , c'est nécessaire.
Par contre, j'ai essayé de regarder si je comprenais le processus de montage du volume crypté par défaut par opensuse, mais c'est au delà de mes connaissances.

Burn2
23/09/2010, 09h45
En fait je me cherchais quelque chose de "facile" et surtout utilisable depuis l'interface graphique c'est pour ça.

Mais bon là de toute façon j'ai foirée ma machine de test. :D Le home est totalement flingué donc va falloir que je reparte à 0 pour retester.

Mais je me demande si sur mon pc de prod je ne ferais pas mieux de formater (en profitant pour dégager seven que je n'utilise plus du tout vu que ça y est je ne joue plus :D) et d'installer directement avec le home chiffré.

raph6768
26/09/2010, 07h34
Il vaut mieux :
1. formater
2. remplir la partition de données aléatoires trois fois (25, pour les paranos, mais c'est loooooong)
3. chiffrer la partition avec LUKS
4. configurer le fsck pour qu'il fasse une invit pour le passwrd.

Burn2
23/10/2010, 12h20
Bon faute de chiffrer une partition complète, je vais plutôt déplacer certaines informations critiques dans un dossier chiffré.

J'ai vu truecrypt qui a l'air pas mal, mais aucune trace d'un rpm pour openSuse (rien dans les dépôt en passant par webpin).
Avez vous des idées de programmes "concurrents" et openSource de préférence?

Faut aussi que je trouve un moyen automatisé pour compresser mes codes sources et les sauvegarder sur mon serveur dédié afin de ne rien perdre tout en en gardant un certains nombre afin de ne pas tout perdre si problème il y a.


Sinon je suis tombé sur ça:
http://www.paperblog.fr/3580838/top-3-logi...ion-pour-linux/ (http://www.paperblog.fr/3580838/top-3-logiciels-libres-de-sauvegarde-et-restauration-pour-linux/)

moniroje
24/10/2010, 12h03
Au lieu de truecrypt, pour suse, c'est realcrypt (dans les paquets yast)
C'est du pareil au même (j'ai truecrypt en Debian et realcrypt en Suse)
J'ai crypté avec une partition où j'y copie-glisse ce que je veux.

Burn2
24/10/2010, 12h29
Merki je vais regarder ça. Je ne vais pas chiffrer une partition mais faire un dossier chiffré ou je mettrais mes infos dedans. ça me permettra de sauvegarder ce fichier chiffré ailleurs facilement. :) (tout en ayant quelque chose de chiffré.

xiloa
24/10/2010, 14h04
Merki je vais regarder ça. Je ne vais pas chiffrer une partition mais faire un dossier chiffré ou je mettrais mes infos dedans. ça me permettra de sauvegarder ce fichier chiffré ailleurs facilement. :) (tout en ayant quelque chose de chiffré.[/b]
salut

perso, ma machine de bureau (portable) contient des donnees sensibles, et se promène souvent.
J'ai une partition cryptée . il me demande un mot de passe au boot. c'est pas qraphique, mais c'est rassurant.
Sinon, les avantages de truecrypt sont multiples, recommandé par le SGDN, il est multiOS : je ne conçois pas une clef usb sans ce dernier. ne manque que de gerer plusieurs clefs par espace crypté.

Agemen
25/10/2010, 17h23
(en passant, une machine dont les données avaient été cryptées avec truecrypt a résisté à la NSA, récemment. Choisissez un long mot de passe, genre 30 caractères, vous serez peinard... Surtout avec des caractères spéciaux...)

moniroje
25/10/2010, 18h26
Question par curiosité: vous chiffrez une clé usb avec tryecrypt.
et vous pouvez, moyennant le mdp-truecrypt pour cette clé lire cette clé usb sur n'importe quel ordi ayant le logiciel truecrypt???
Je croyais que lorsque truecrypt vous demande de gigoter votre souris, du coup, truecrypt n'était valable que pour cet ordi à souris gigotée; et donc une clé usb truecryptée ne pouvait se lire que sur cet ordi.

xiloa
25/10/2010, 19h49
Question par curiosité: vous chiffrez une clé usb avec tryecrypt.
et vous pouvez, moyennant le mdp-truecrypt pour cette clé lire cette clé usb sur n'importe quel ordi ayant le logiciel truecrypt???
Je croyais que lorsque truecrypt vous demande de gigoter votre souris, du coup, truecrypt n'était valable que pour cet ordi à souris gigotée; et donc une clé usb truecryptée ne pouvait se lire que sur cet ordi.[/b]


salut
non, rien à voir. L'opération de gigotage de la souris est là pour générer du "vrai" aléatoire nécessaire pour la génération de la clef. Mais ensuite, cette clef est lisible sur n'importe quel ordi équipé de truecrypt. C'est l'avantage. A condition de connaitre le mot de passe, et avec une fiabilité reconnue par le SGDN.

ahlner
25/10/2010, 22h43
Des discussions ont déjà eu lieu sur cette question.
Mais il est essentiel aussi de crypter la partition swap., comme cela a déjà été expliqué.

Burn2
02/11/2010, 12h22
En tous cas c'est déjà ça, c'est pas du full chiffré, mais déjà les quelques informations que je ne voulais pas voir entre de mauvaises mains sont déjà protégées. :)

Pumpkin
07/01/2011, 20h08
Je suis tombé (sans me faire trop mal) là dessus :

Cet article (http://2010.rmll.info/IMG/pdf/06_denis_article-2.pdf) vise à démontrer que le chiffrement de disque sous linux, réalisé via l’utilisation du module noyau dm-crypt et du programme cryptsetup, fait l’objet d’une faille conceptuelle. En effet, le programme déchiffrant le disque réside sur une partition en clair. Il s’ensuit qu’un attaquant peut le modifier à sa guise pour obtenir le mot de passe des partitions chiffrées, ou pour placer un programme malveillant suite au déchiffrement des partitions.

Pour répondre à cette faille, le trusted computing est nécessaire, plus particulièrement la puce TPM et ses mesures des métriques du démarrage. Ainsi, les outils utilisant cette puce (TrustedGrub, trousers et tpm-tools) permettent de présenter une méthode novatrice pour obtenir un boot sécurisé d’une machine. Cette méthode assure que le système démarré est bien un système sain et non un système modifié par un attaquant.Qui a d'ailleurs fait l'objet d'une conférence aux précédentes RMLL (http://2010.rmll.info/Le-chiffrement-de-disque-sous-linux-vrai-ou-faux-sentiment-de-securite.html?lang=fr) (que je n'ai pas encore regardé). Mais si vous en savez à ce sujet, lachez vos coooom's !

Torrent
08/01/2011, 10h25
Je pense que le chiffrage d'une partition d'un particulier c'est plutôt pour éviter qu'un quidam ne mette un live CD genre knoppix pour voir tous les dossiers (par exemple bancaires) plutôt qu'une entreprise comme Renault qui n'a pas besoin de ça pour avoir des fuites.....

prof01
17/01/2011, 14h13
Je pense que le chiffrage d'une partition d'un particulier c'est plutôt pour éviter qu'un quidam ne mette un live CD genre knoppix pour voir tous les dossiers (par exemple bancaires) plutôt qu'une entreprise comme Renault qui n'a pas besoin de ça pour avoir des fuites.....
Mauvaise langue ;)

titoucha
17/01/2011, 17h57
De toute façon la plus grosse fuite est entre la chaise et le clavier et là le chiffrement ne sert à rien.