Bienvenue sur le forum technique internet et developpement Web - Experience Linux antispam antivirus, drivers etc. Pour me contacter, laissez un message sur le forum ou ecrivez moi sur alexandre arobase (contre le spam) inforeseau point com par exemple - Windev - Windev mobile - Windows
Forum technique developpement, GNU Linux et logiciels, de l'ours Index du Forum Forum technique developpement, GNU Linux et logiciels, de l'ours
Forum d'echange et d'entre aide sur le developpement, GNU Linux
 
 Sujets surveillésSujets surveillés   FAQFAQ   RechercherRechercher   Liste des MembresListe des Membres   Groupes d'utilisateursGroupes d'utilisateurs   S'enregistrerS'enregistrer 
 ProfilProfil   Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   ConnexionConnexion 

Forum developpement logiciel et Internet - Support informatique
 
Bienvenue sur le forum informatique et internet.
N'hésitez pas à poser vos questions, à vous inscrire pour participer.
Ce forum a pour but de partager une base de connaissance ouverte à tous couvrant l'informatique et les réseaux, antivirus et anti spywares. On a pas de pognon, de moins en moins même, mais on a des idées !
Dans l'esprit du logiciel libre, et de l'accès pour tous à la connaissance, vous pouvez copier les informations présentes dans ce forum. Il sera cool de votre part de placer un lien en retour vers ce forum, mais ça n'est pas obligatoire.
 


Ubuntu 10.04 crypter son home apres installation - tuto memo


 
Poster un nouveau sujet   Répondre au sujet    Forum technique developpement, GNU Linux et logiciels, de l'ours Index du Forum -> Experiences linux
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
ronours
Site Admin


Inscrit le: 25 Fév 2007
Messages: 1204

MessagePosté le: Sam Aoû 28, 2010 6:24 pm    Sujet du message: Ubuntu 10.04 crypter son home apres installation - tuto memo Répondre en citant

Voici un memo perso, qui pourra être utile à ceux qui n'avaient pas choisi de crypter leur home lors de l'installation, ou, qui ont migré d'anciennes versions ne prenant pas en charge cette option.

Edit, voir aussi ce lien, qui explique comment faire la même chose de manière presque automatique :
http://blog.rom1v.com/2010/05/chiffrer-son-dossier-personnel-home-sous-ubuntu/
avec la commande
Code:
ecryptfs-migrate-home -u USER


Sinon, vous avez la méthode "manuelle" qui permet de comprendre un peu comment ça fonctionne :

Sauvegarder toutes les données avant !
Note : Attention, un home crypté empêche la connexion avec les clés ssh, il faut pour permettre ça copier le dossier .ssh (uniquement le fichier authorized_keys2) hors du dossier crypté, et le placer dans le home du user quand le dossier crypté n'est pas monté.
Note 2 : Attention, la connexion automatique de l'utilisateur doit être désactivée sinon, sans authentification, votre home ne sera pas décrypté et pas lisible ! (menu systèmes - administration - Fenêtre de connexion - cocher "Afficher l'écran de selection de l'utilisateur").


La manipulation décrite ici est un mémo personnel, et je vous invite à sauvegarder votre home si vous comptez l'appliquer. Il permet sur une machine Ubuntu (testé en 10.04) installé sans l'option cryptage du dossier home, d'activer cette option.
Le fait de crypter le home rend extrêmement difficile l'accès à vos données en cas de vol de votre machine (idéal pour portable ou netbook). Par ailleurs, afin de garantir la sécurité "logique" de votre machine, il convient de mettre un mot de passe dans le bios, interdisant l'allumage et l'accès au bios sans celui ci. Idéalement, on verrouille aussi le démarrage au seul disque dur interne de la machine afin d'éviter toute possibilité de hack par périphérique externe (clé USB bootable, livecd etc). Ces options ne sont ainsi pas accessibles sans mot de passe du bios.

Tuto basculer mon utilisateur en home crypté
-installer les progs necessaires :
Code:
sudo apt-get install ecryptfs-utils


-Ajouter un nouvel utilisateur avec home crypté (utiliser le même mot de passe que votre utilisateur habituel - obligatoire):
Code:
sudo adduser --encrypt-home cryptoto


-Ajouter le user cryptoto au groupe admin, pour pouvoir utiliser "sudo" (dans /etc/group , ligne 'admin', ajouter ,cryptoto)

-Ouvrir la session avec le user cryptoto en console (CTRL+ALT+F1) en ayant fermé la session en cours.
-Sauver la clé de cryptage générée avec la commande :
Code:
ecryptfs-unwrap-passphrase

-et la garder en lieu sûr ! en cas de crash système ça sera le seul moyen de retrouver vos données (on peut le faire à la fin depuis un kilometre, mais ne pas oublier)

-Rsync du home du user non crypté, vers le home en cours (attention, avoir plus d'espace libre sur le disque que la taille du home source >50% d'espace libre !)
Code:
sudo rscync -avv --progress /home/user/ /home/cryptoto/

(en cas de disque trop petit, il faut copier le contenu de votre home sur un disque externe formaté en ext3 avec rsync, effacer le home original au lieu de le renommer, et poursuivre, il faudra copier les données à la fin depuis le disque externe)

-Passer en root
Code:
sudo bash


-renommer le home original
Code:
cd /home
mv /home/user /home/user_orig


-rebooter
Code:
reboot


-se loguer avec le user cryptoto en console ctrl+alt+F1
(ici les droits ne sont plus bons, et le dossier crypté ne monte pas - normal)

-Passer en root
Code:
sudo bash


-aller dans home
Code:
cd /home


-Renommer le nouveau compte avec notre login habituel
Code:
mv /home/cryptoto /home/user


-Redonner les droits complets à votre utilisateur :
Code:
chown -R user:user /home/user

(là ça s'applique au dossier crypté)

-Changer le point de montage du volume crypté dans /home/user/.ecryptfs/Private.mnt
mettre /home/user (votre home) avec votre éditeur favoris (vim...)

-Changer le dossier de stockage des clés de ecryptfs :
Code:
mv /home/.ecryptfs/cryptoto /home/.ecryptfs/user


puis on re attribue les droits:
Code:
chown -R user:user /home/.ecryptfs/user


On rétabli les liens symboliques :
Code:
rm /home/user/.Private
rm /home/user/.ecryptfs
ln -s /home/.ecryptfs/user/.Private /home/user/
ln -s /home/.ecryptfs/user/.ecryptfs /home/user/


on se déconnecte, on reboote, on se reconnecte avec notre utilisateur (user, pas cryptoto) en console (CTRL+alt+F1).
Il ne reste qu'a rétablir les liens symboliques dans la partie cryptée, qui se remonte automatiquement lors de l'ouverture de session.

On repete sur le contenu décrypté la reconstructions des liens:
Code:
rm /home/user/.Private
rm /home/user/.ecryptfs
ln -s /home/.ecryptfs/user/.Private /home/user/
ln -s /home/.ecryptfs/user/.ecryptfs /home/user/

(oui ces liens sont à la fois présents dans le dossier home non crypté, et dans le dossier crypté monté sur votre home).

On supprime l'utilisateur inutile qui n'a plus de home :
Code:
sudo userdel cryptoto


On reboote. Si tout va bien, vous pouvez effacer le dossier /home/user_orig si tout fonctionne, car ce dossier n'est pas crypté une fois la session fermée.
Pour vérifier que les fichiers sont bien illisibles, bootez sur un livecd et tentez d'accéder à votre home Wink

source : https://help.ubuntu.com/community/EncryptedHome
source : http://doc.ubuntu-fr.org/ecryptfs

Voir pour crypter le swap au besoin - sudo ecryptfs-setup-swap (attention au problème éventuel en cas d'hibernation de la machine) comme indiqué dans le document cité en source.

Puis je vous invite à crypter vos disques de backup ou toute partition non systeme (sinon on ne boote plus!) en suivant ceci : http://doc.ubuntu-fr.org/cryptsetup

Note : si vous cryptez une partition sous 10.04 il est possible qu'elle ne monte pas sur les anciennes versions (9.10) par défaut. Il faut télécharger le source ici http://code.google.com/p/cryptsetup/downloads/list , le compiler et l'installer dans la dernière version disponible, en ayant désinstallé la version du depot. Ainsi les volumes cryptés sur les dernières versions pourront s'ouvrir sans soucis sur les vieilles distribs !

Attention, crypter vos partitions efface le contenu de la partition, car on la réécrit entièrement, mais c'est très facile. Une fois le disque crypté, le monter sous ubuntu est très facile, ça vous demande le mot de passe, tapez, hop, c'est monté Smile

Voilà, j'ai appliqué ça sur 4 machines, toutes sécurisées maintenant sans soucis.
_________________
Soutenez le logiciel libre, adhérez à la FSF (Europe ou Monde) , voir lien en pied de page.


Dernière édition par ronours le Mar Aoû 31, 2010 9:30 pm; édité 1 fois
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
ronours
Site Admin


Inscrit le: 25 Fév 2007
Messages: 1204

MessagePosté le: Lun Aoû 30, 2010 11:19 am    Sujet du message: Sauvegarde et restauration ecryptfs Répondre en citant

Juste 2 liens au cas où, si vous avez besoin de remonter vos données et d'y accéder alors que votre système est HS :
https://answers.launchpad.net/ecryptfs/+question/97115
et
http://www.cyberciti.biz/faq/ubuntu-mounting-your-encrypted-home-from-livecd/
Évidemment ceci implique que vous ayez sauvegardé la passphrase comme indiqué ! Sinon vous êtes cuit (et c'est bien normal vu que le cryptage est là pour empêcher l'accès aux données! Smile )

Egalement, un article très pertinent sur "comment sauvegarder ses données" avec ecryptfs : http://blog.dustinkirkland.com/2010/06/ecryptfs-backup-strategy.html
Certains dans les commentaires annoncent que la sauvegarde avec rsync distant est super longue etc. C'est bien normal ! Le contenu crypté, à chaque fermeture du volume, change presque dans son intégralité, donc, les sauvegardes "incrémentielles" sont bien moins efficaces dans ce contexte.

Voir des infos utiles ici :
https://help.ubuntu.com/community/EncryptedPrivateDirectory
Egalement pour changer son mot de passe :
http://bodhizazen.net/Tutorials/Ecryptfs/#Password
http://blog.rom1v.com/2010/05/chiffrer-son-dossier-personnel-home-sous-ubuntu/

On notera donc que pour changer son mot de passe utilisateur en ligne de commande il suffi de taper la premiere ligne (logué avec le compte concerné) :
Changer le mot de passe utilisateur :
Code:
passwd

Mettre à jour le mot de passe de cryptage manuellement :
Code:
ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

ou comme expliqué sur les liens donné avant :
Code:
$ ecryptfs-rewrap-passphrase /home/.ecryptfs/USER/.ecryptfs/wrapped-passphrase
Old wrapping passphrase: (entrer ici l'ancienne passphrase de login)
New wrapping passphrase: (entrer ici la nouvelle passphrase de login)

La passphrase de montage doit être identique à votre mot de passe de login si saisie à la main ! sinon le montage automatique ne pourra pas se faire.

Pour résumer :
- Une fois mon dossier home crypté, il se monte automatiquement quand je me connecte
- Si je change mon mot de passe avec la commande "passwd" connecté avec mon compte utilisateur (ou par l'interface graphique), l'association login/pass/cryptage est maintenue.
- Si un autre utilisateur (root ou autre) change mon mot de passe avec la commande "passwd moi", alors la chaine login/pass/cryptage n'est pas maintenue, et lors de la tentative de connexion, mon dossier crypté ne sera pas monté. Il faudra alors la passphrase du dossier crypté pour re accéder aux données, ou, à défaut, remettre le mot de passe original de mon compte.

_________________
Soutenez le logiciel libre, adhérez à la FSF (Europe ou Monde) , voir lien en pied de page.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
®om



Inscrit le: 21 Nov 2011
Messages: 1

MessagePosté le: Mar Nov 22, 2011 9:46 am    Sujet du message: Re: Sauvegarde et restauration ecryptfs Répondre en citant

ronours a écrit:
Certains dans les commentaires annoncent que la sauvegarde avec rsync distant est super longue etc. C'est bien normal ! Le contenu crypté, à chaque fermeture du volume, change presque dans son intégralité, donc, les sauvegardes "incrémentielles" sont bien moins efficaces dans ce contexte.

Le contenu ne change pas à chaque fermeture de volume, juste les "stats" des fichiers changent. Pour éviter d'utiliser ces stats pour savoir si un fichier a changé, il faut que rsync regarde son contenu, grâce au checksum.

C'est l'option -c.

C'est certes plus long que de regarder juste les dates de création/modif/accès, mais c'est beaucoup plus rapide que de considérer que tous les fichiers ont changé.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Forum technique developpement, GNU Linux et logiciels, de l'ours Index du Forum -> Experiences linux Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum


Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com

Visitez aussi : Photos pour tous - Lezactus - Actualites et articles en ligne - Le forum du scrapbooking
Vous pouvez copier les messages partiellement sous reserve de mettre un lien vers la source sur ce forum - Edité et géré par Alexandre BLANC - [FSF Associate Member]