Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
ecryptfs [Le 04/07/2012, 23:39] 83.153.212.36 [Récupération du contenu d'un répertoire /home chiffré] |
ecryptfs [Le 15/12/2022, 10:02] (Version actuelle) 91.161.152.215 [Démonter le répertoire] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>Intrepid Jaunty fichier sécurité}} | + | {{tag>Xenial fichier chiffrement sécurité}} |
| ---- | ---- | ||
| - | ====== Ecryptfs : Un dossier privé chiffré dans son Home ====== | + | ====== Ecryptfs : Chiffrer son /home ou créer un dossier privé chiffré ====== |
| **Ecryptfs ** est un outil pour créer un dossier privé (**~/Private**), __chiffré et inaccessible aux autres utilisateurs__, il est destiné à contenir tous les fichiers "sensibles" que vous pourriez avoir : vos fichiers contenant des mots de passe, les données confidentielles relatives à vos comptes bancaires, vos emails… | **Ecryptfs ** est un outil pour créer un dossier privé (**~/Private**), __chiffré et inaccessible aux autres utilisateurs__, il est destiné à contenir tous les fichiers "sensibles" que vous pourriez avoir : vos fichiers contenant des mots de passe, les données confidentielles relatives à vos comptes bancaires, vos emails… | ||
| - | <note>Cette nouvelle caractéristique de sécurité est disponible depuis Ubuntu Intrepid Ibex</note> | + | <note>Cette nouvelle caractéristique de sécurité est disponible depuis [[intrepid|Ubuntu Intrepid Ibex]]</note> |
| + | <note warning> Cette [[https://wiki.ubuntu.com/BionicBeaver/ReleaseNotes|fonctionnalité ]] | ||
| + | n'est pas disponible lors de l'installation de la version [[https://bugs.launchpad.net/ubuntu/+source/ecryptfs-utils/+bug/1756840|18.04.0]]</note> | ||
| ===== Installation ===== | ===== Installation ===== | ||
| + | ==== Contrôle préalable. ==== | ||
| + | Ecryptfs assure une sécurité des données basée sur le mot de passe. Il est donc nécessaire que le mot de passe ne soit pas très aisément récupérable. | ||
| + | S'il est récupérable en dix secondes, il semble inutile de chiffrer les données. | ||
| + | <code>sudo apt install john | ||
| + | sudo john --show /etc/passwd /etc/shadow</code> | ||
| + | S'il est déchiffrable en moins de 24 heures. le risque reste important. | ||
| + | <code>sudo john --incremental /etc/passwd /etc/shadow</code> | ||
| + | S'il est nécessaire de passer plus de temps, il est probable que les particuliers seront découragés mais pas les professionnels quitte à utiliser un réseau de 1000 machines afin de diminuer la durée de décryptage, mais ils décrypteront le mot de passe. | ||
| - | Il suffit [[:tutoriel:comment_installer_un_paquet#paquet_present_dans_les_depots|d'installer le paquet]] **[[apt>ecryptfs-utils]]**. | ||
| - | ou en mode console : | + | ==== Acquisition du logiciel. ==== |
| + | |||
| + | Il suffit [[:tutoriel:comment_installer_un_paquet#paquet_present_dans_les_depots|d'installer le paquet]] **[[apt>ecryptfs-utils]]**. | ||
| - | sudo apt-get install ecryptfs-utils | ||
| ===== Configuration ===== | ===== Configuration ===== | ||
| Ligne 37: | Ligne 47: | ||
| Enregistrez votre phrase secrète dans un lieu sûr, elle sera requise pour récupérer vos données ultérieurement. | Enregistrez votre phrase secrète dans un lieu sûr, elle sera requise pour récupérer vos données ultérieurement. | ||
| + | |||
| + | Puis, avant d'utiliser, il faut absolument suivre cette directive, sinon ce que vous allez écrire sera perdu | ||
| + | |||
| + | **Logout, and log back in to begin using your encrypted directory.** | ||
| + | |||
| + | |||
| + | |||
| + | |||
| <note important>Ne perdez pas votre passphrase ! Soyez sûr de la retenir ou bien notez-la.</note> | <note important>Ne perdez pas votre passphrase ! Soyez sûr de la retenir ou bien notez-la.</note> | ||
| Ligne 48: | Ligne 66: | ||
| - | La commande ecryptfs-unwrap-passphrase citée permet de retrouver la passphrase de montage (à condition de connaitre le mot de passe d'ouverture de session). Voir le paragraphe 5.2 pour plus de détails. | + | La commande ecryptfs-unwrap-passphrase citée permet de retrouver la passphrase de montage (à condition de connaître le mot de passe d'ouverture de session). Voir le paragraphe 5.2 pour plus de détails. |
| </note> | </note> | ||
| ===== Utilisation ===== | ===== Utilisation ===== | ||
| + | ==== correctif pour version antérieure à la version 17.10 ==== | ||
| - | Une fois l'installation faite, vous devrez vous rendre dans le dossier "~/Private" dans lequel vous trouverez un raccourci à exécuter afin de monter votre espace privé. | + | Une fois l'installation faite, vous devrez vous rendre dans le dossier "~/.Private" dans lequel vous trouverez un lanceur "Access-Your-Private-Data" afin de monter votre espace privé. Vous pouvez le copier/coller sur votre Bureau pour plus de facilité.\\ |
| + | Malheureusement, pour le moment, ce lanceur n'a pas l'attribut exécutable et refuse de se lancer. Il faut pallier ce souci en lançant : | ||
| + | <code>sudo chmod +x /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop</code> | ||
| - | Sinon : | ||
| - | Monter le répertoire : | + | ==== Monter le répertoire ==== |
| - | mount.ecryptfs_private | + | |
| + | <code> ecryptfs-mount-private</code> | ||
| + | |||
| + | ==== Utilisation du répertoire ==== | ||
| - | Démonter le répertoire : | + | cd /home/$USER/Private |
| - | umount.ecryptfs_private | + | echo "écrire dans fichier">Fic |
| + | mkdir Toto | ||
| + | echo "écrire dans sous-répertoire">Toto/Fic | ||
| + | cd | ||
| + | |||
| + | ==== Démonter le répertoire ==== | ||
| + | |||
| + | <code> ecryptfs-umount-private</code> | ||
| + | La réponse sous ubuntu1710 est | ||
| + | <code> Sessions still open, not unmounting</code> | ||
| + | Il suffit de faire une seconde fois | ||
| + | <code> ecryptfs-umount-private </code> | ||
| - | \\ | + | <note tip>Ne pas chiffrer un répertoire d'un utilisateur si ultérieurement vous pensez que vous allez chiffrer tout l'utilisateur. Il y aura refus car détection d'un chiffrement déjà installé!</note> |
| - | \\ | + | ===== Chiffrer son /home ===== |
| - | Une autre manière de l'utiliser\\ | + | |
| - | Pour éviter d'utiliser la ligne de commande il est possible d'utiliser ce script : | + | |
| - | http://forum.ubuntu-fr.org/viewtopic.php?pid=2253871 | + | |
| - | \\ | + | |
| - | FIXME | + | |
| - | \\ | + | |
| - | Il semble que ce script ne fonctionne plus pour l'ouverture du dossier privat, ceci serait dû au fait que l'on demande un mot de passe pour l'ouverture du dossier (sous ubuntu 11.10, à confirmer =)) | + | |
| + | Si vous n'avez pas chiffré votre dossier personnel "/home" lors de l'installation d'Ubuntu et si vous n'avez pas déjà créé un répertoire chiffré, il est encore possible de le faire. Pour cela, il faut utiliser la commande | ||
| - | ===== Désinstallation ===== | + | <code>sudo ecryptfs-migrate-home -u "user"</code> |
| - | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer son paquet]]. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez. | + | en remplaçant "user" par le login du compte à chiffrer **qui ne doit pas être celui sur lequel on est connecté**. |
| - | <note warning>ATTENTION : supprimer le paquet et sa configuration et/ou le dossier .ecryptf/ aurait pour résultat de rendre toutes vos données illisibles, et ce à jamais !</note> | + | <note important>Il n'est pas possible d'utiliser cette commande depuis le compte user du dossier /home à chiffrer. Il faut donc créer un utilisateur temporaire sur votre système, lui donner les droits sudo en l'associant au groupe "admin" puis se logger sur une console avec cet utilisateur temporaire pour exécuter la commande ci-dessus.</note> |
| - | Si vous n'arrivez pas à désinstaller normalement : | + | <note warning>Avant de lancer le processus, il est recommandé de faire une sauvegarde de son répertoire /home en utilisant par exemple [[clonezilla|Clonezilla]]</note> |
| - | (source : https://help.ubuntu.com/community/EncryptedPrivateDirectory#How_to_Remove_an_Encrypted_Private_Directory_Setup) | + | |
| - | Assurez-vous d'avoir déplacé **toutes vos données** ailleurs que dans le dossier ~/Private | + | <note help>Cette migration emporte aussi les données de l'utilisateur montées dans d'autres partitions et reliées par un lien logique aux dossiers Documents, Images, téléchargements, musique et Vidéos et nécessite 2,5 fois la taille de cet ensemble</note> |
| - | 1. Démonter le répertoire crypté : | + | Pour créer un nouvel utilisateur "temporaire" en lui donnant les droits d'admin, tapez : |
| - | ecryptfs-umount-private | + | <code>sudo adduser --ingroup adm temporaire |
| + | sudo adduser temporaire sudo</code> | ||
| - | 2. Rendre ~/Private accessible en écriture : | + | Faite ensuite un clone de votre partition avec [[clonezilla|Clonezilla]] ou une copie de sauvegarde de votre dossier /home, si possible vers une autre partition: |
| - | chmod 700 ~/Private | + | <code>sudo rsync -a /home/user /backup/user.old</code> |
| - | 3. Effacer ~/Private, ~/.Private, ~/.ecryptfs **(Note: EFFACEMENT DÉFINITIF)** : | + | Faite ensuite du ménage dans votre dossier /home : la migration vers un /home chiffré nécessite que la partition sur laquelle est votre /home ait un espace disque libre de 2,5x la taille du /home à chiffrer ! \\ |
| - | rm -rf ~/Private ~/.Private ~/.ecryptfs | + | |
| - | 4. Désinstaller les paquets | + | Passez ensuite en mode console avec CTRL+ALT+F1 en ayant fermé votre session graphique (il faut s'assurer que le /home de l'utilisateur à chiffrer n'aura pas d'accès en écriture pendant l’opération) et loggez vous avec votre nouvel utilisateur.\\ Vous pouvez vérifier si il y a encore des processus qui tournent sous votre user à chiffrer avec la commande <code>top</code> |
| - | sudo apt-get remove ecryptfs-utils libecryptfs0 | + | Vous pouvez alors lancer la migration du dossier /home de votre utilisateur "user" |
| - | ===== Problèmes ===== | + | <code>sudo ecryptfs-migrate-home -u "user"</code> |
| + | Si il y a assez de place sur le disque, le programme vous demandera le password de l'utilisateur "user" et la migration commencera. Après quelques minutes, vous devriez voir un message indiquant que tout s'est bien passé et il faudra suivre les indications données pour finaliser la migration : | ||
| + | - **Avant de rebooter**, loguez vous avec l'utilisateur qui vient d'être migré <code>su "user"</code> et naviguez dans votre dossier /home. Si vous retrouvez vos fichiers et pouvez les lire, c'est que tout c'est bien passé. | ||
| + | - La migration a crée un dossier /home/user.XXXXXXXX. Si tout s'est bien passé, vous pouvez le supprimer (à faire après quelque jours d'utilisation, une fois que l'on est vraiment sur que tout s'est bien passé.) Si non, utilisez le pour restaurer votre /home | ||
| + | - Utilisez la commande <code>ecryptfs-unwrap-passphrase</code> pour connaître votre clé de chiffrement. Notez-la et gardez-la précieusement, cela pourra vous être utile pour déchiffrer votre home en cas de problème. | ||
| + | - Chiffrez votre swap avec la commande <code>ecryptfs-setup-swap</code> | ||
| + | Vous pourrez enfin supprimer votre utilisateur temporaire avec la commande | ||
| + | <code>sudo deluser --remove-all-files temporaire</code> | ||
| - | ==== Mot de passe modifié ==== | + | ===== Préalable pour pouvoir se relogger facilement avec le gestionnaire de connexion et l'authentification PAM : ===== |
| - | FIXME | + | Le montage est automatique en version 16.04, |
| + | Le paquet peut aussi s'appeler libpam-mount et les deux autres paquets peuvent déjà être installés. | ||
| - | <note>Ajout de la solution 2 en mettant la solution initiale en solution 1.</note> | + | L'idée étant évidement que le répertoire personnel soit monté en clair dès le login. Pour cela nous allons utiliser pam_mount, il faudra d'abord installer le paquet en question "libpam_mount" et "rsync" et "lsof" : |
| - | === Solution 1 === | + | <code>sudo apt-get install libpam_mount rsync lsof</code> |
| - | Si vous avez modifié votre mot de passe depuis la ligne de commande : | + | Éditer le fichier etc/pam.d/system-auth, après la ligne contenant 'auth required pam_unix.so' ajouter : |
| + | <code>auth required pam_ecryptfs.so unwrap</code> | ||
| - | passwd votre_login | + | Ensuite, avant la ligne contenant 'password required pam_unix.so' insérer : |
| + | <code>password optional pam_ecryptfs.so</code> | ||
| - | Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre mot de passe et la passphrase. Ecryptfs étant le système de fichiers chiffrés utilisé. Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n'avez aucune solution dans le cas contraire. Si vous vous souvenez de votre passphrase, il vous suffira de monter le dossier chiffré vous-même manuellement et le tour sera joué : | + | Et finalement, après la ligne contenant 'session required pam_unix.so' ajouter : |
| + | <code>session optional pam_ecryptfs.so unwrap</code> | ||
| - | sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n | + | Attention à bien utiliser la même passphrase pour chiffrer votre repertoire personnel, que le mot de passe de connexion. |
| - | La passphrase vous sera demandée et le dossier Private sera monté correctement. | + | ===== Création d'un nouvel utilisateur sécurisé : ===== |
| + | (Réalisation en version 16.04) | ||
| - | === Solution 2 === | + | L'installation standard ne génère le répertoire /home/$USER que d'un seul utilisateur pouvant être chiffré ou pas. il peut être nécessaire de créer d'autres utilisateurs. |
| + | * Créer l'utilisateur nouveau grâce à la commande **sudo adduser NouveauNom** | ||
| + | * Initialiser immédiatement le chiffrage de cet utilisateur grâce à la commande. **sudo ecryptfs-migrate-home -u NouveauNom** | ||
| + | * Demander à **NouveauNom** de se connecter afin qu'il fabrique la phrase de sécurité de montage de son répertoire | ||
| + | * Patienter quelque minutes le temps que la grille proposant d'enregistrer ce choix soit affichée. | ||
| + | * Valider la grille afin d'automatiser | ||
| + | * Se déconnecter et se reconnecter immédiatement avant l'arrêt de l'ordinateur. | ||
| - | <note>Solution proposée sur [[http://bodhizazen.net/Tutorials/Ecryptfs/ | ce tutoriel Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home».</note> | + | Constat; |
| + | Le répertoire de cet utilisateur est bien monté automatiquement. il accède à ses propres données qui sont protégées des autres sessions **lorsque l'utilisateur n'est pas connecté**.. | ||
| - | Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n'est PAS mise à jour. Ceci évite qu'un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d'utilisateur et en se connectant avec votre identifiant. | + | <code>root@u16041:/mnt/home/cryptage# ls -las |
| + | total 8 | ||
| + | 4 dr-x------ 2 1002 1002 4096 déc. 29 11:47 . | ||
| + | 4 drwxr-xr-x 7 root root 4096 déc. 29 11:47 .. | ||
| + | 0 lrwxrwxrwx 1 1002 1002 56 déc. 29 11:47 Access-Your-Private-Data.desktop -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop | ||
| + | 0 lrwxrwxrwx 1 1002 1002 34 déc. 29 11:47 .ecryptfs -> /home/.ecryptfs/cryptage/.ecryptfs | ||
| + | 0 lrwxrwxrwx 1 1002 1002 33 déc. 29 11:47 .Private -> /home/.ecryptfs/cryptage/.Private | ||
| + | 0 lrwxrwxrwx 1 1002 1002 52 déc. 29 11:47 README.txt -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt | ||
| + | root@u16041:/mnt/home/cryptage</code> | ||
| + | <code> | ||
| + | root@u16042:/home/cryptage# ls -ls | ||
| + | total 0 | ||
| + | 0 lrwxrwxrwx 1 cryptage cryptage 56 déc. 29 11:47 Access-Your-Private-Data.desktop -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop | ||
| + | 0 lrwxrwxrwx 1 cryptage cryptage 52 déc. 29 11:47 README.txt -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt | ||
| + | root@u16042:/home/cryptage# </code> | ||
| - | Afin de modifier votre mot de passe de connexion : | + | . |
| + | ===== Désinstallation ===== | ||
| - | passwd votre_login | + | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer son paquet]]. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez. |
| - | Saisissez votre ancien mot de passe, le nouveau et confirmez-le. | + | <note warning>ATTENTION : supprimer le paquet et sa configuration et/ou le dossier .ecryptf/ aurait pour résultat de rendre toutes vos données illisibles, et ce à jamais !</note> |
| + | Assurez-vous d'avoir déplacé **toutes vos données** ailleurs que dans le dossier ~/Private | ||
| - | Puis modifiez votre passphrase Ecryptfs (pour qu'elle coïncide avec votre nouveau mot de passe). Pour modifier votre passphrase Ecryptfs : | + | 1. Démonter le répertoire crypté : |
| + | ecryptfs-umount-private | ||
| - | ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase | + | 2. Rendre ~/Private accessible en écriture : |
| + | chmod 700 ~/Private | ||
| - | Vous devrez saisir votre ancienne passphrase, puis la nouvelle. | + | 3. Effacer ~/Private, ~/.Private, ~/.ecryptfs **(Note: EFFACEMENT DÉFINITIF)** : |
| + | rm -rf ~/Private ~/.Private ~/.ecryptfs | ||
| + | |||
| + | 4. Désinstaller les paquets : | ||
| + | sudo apt-get remove ecryptfs-utils libecryptfs0 | ||
| + | ou | ||
| + | sudo apt purge ecryptfs-utils libecryptfs1 | ||
| + | |||
| + | Si vous n'arrivez pas à désinstaller normalement : | ||
| + | (source : https://help.ubuntu.com/community/EncryptedPrivateDirectory#How_to_Remove_an_Encrypted_Private_Directory_Setup) | ||
| + | |||
| + | |||
| + | ===== Récupération du contenu d'un répertoire "/home" chiffré ===== | ||
| - | ==== Récupération du contenu d'un répertoire "/home" chiffré ==== | + | ==== Methode automatique ==== |
| - | === Methode automatique === | + | === Si tout se passe bien === |
| - | Pour récupérer très simplement vos données, il est possible d'utiliser l'outil **ecryptfs-recover-private** | + | Pour récupérer très simplement **vos données personnelles**, il est possible d'utiliser l'outil **ecryptfs-recover-private** |
| sudo ecryptfs-recover-private | sudo ecryptfs-recover-private | ||
| Il va scanner vos disques à la recherche des dossiers chiffrés //.Private//. Comme indiqué, cette opération peut prendre du temps. Une fois la recherche terminée, il vous proposera de monter votre(vos) dossier(s) .Private comme par exemple : | Il va scanner vos disques à la recherche des dossiers chiffrés //.Private//. Comme indiqué, cette opération peut prendre du temps. Une fois la recherche terminée, il vous proposera de monter votre(vos) dossier(s) .Private comme par exemple : | ||
| Ligne 146: | Ligne 222: | ||
| sudo nautilus & | sudo nautilus & | ||
| - | === Méthode manuelle === | + | <note tip|Pour aller plus vite>Vous pouvez indiquer en paramètre de ecryptfs-recover-private le répertoire à déchiffrer, ce qui vous évitera l'attente parfois longue (It may take a while !) de recherche du répertoire chiffré |
| + | sudo ecryptfs-recover-private /home/.ecryptfs/toto/.Private/ | ||
| + | </note> | ||
| + | |||
| + | <note tip|droits en écriture>L'option --rw ouvre les droits en écriture à l'intérieur de la partition chiffrée | ||
| + | sudo ecryptfs-recover-private --rw /home/.ecryptfs/toto/.Private/ | ||
| + | </note> | ||
| + | |||
| + | === Si vous obtenez l'erreur « échec de l’appel système mount(2) » === | ||
| + | Il peut arriver que la méthode automatique échoue sans qu'il soit nécessaire de passer par la méthode manuelle, voire que la méthode manuelle échoue elle aussi avec une erreur « échec de l’appel système mount(2) : Aucun fichier ou dossier de ce type.» (mount: mount(2) failed: No such file or directory) | ||
| + | |||
| + | <code> | ||
| + | usr@pc:~$ sudo ecryptfs-recover-private --rw /home/.ecryptfs/usr/.Private | ||
| + | [sudo] Mot de passe de usr : | ||
| + | INFO: Found [/home/.ecryptfs/usr/.Private]. | ||
| + | Try to recover this directory? [Y/n]: | ||
| + | INFO: Found your wrapped-passphrase | ||
| + | Do you know your LOGIN passphrase? [Y/n] | ||
| + | INFO: Enter your LOGIN passphrase... | ||
| + | Passphrase: | ||
| + | Inserted auth tok with sig [a425d547696d4f7b] into the user session keyring | ||
| + | mount: /tmp/ecryptfs.a2GHrSDE: échec de l’appel système mount(2) : Aucun fichier ou dossier de ce type. | ||
| + | ERROR: Failed to mount private data at [/tmp/ecryptfs.a2GHrSDE]. | ||
| + | </code> | ||
| + | |||
| + | Dans ce cas, il peut être nécessaire d'initialiser les clés ecryptfs de la manière suivante : | ||
| + | <code> | ||
| + | usr@pc:~$ sudo keyctl link @u @s | ||
| + | </code> | ||
| + | |||
| + | puis, tout simplement : | ||
| + | |||
| + | <code> | ||
| + | usr@pc:~$ sudo ecryptfs-recover-private --rw /home/.ecryptfs/usr/.Private | ||
| + | INFO: Found [/home/.ecryptfs/usr/.Private]. | ||
| + | Try to recover this directory? [Y/n]: | ||
| + | INFO: Found your wrapped-passphrase | ||
| + | Do you know your LOGIN passphrase? [Y/n] | ||
| + | INFO: Enter your LOGIN passphrase... | ||
| + | Passphrase: | ||
| + | Inserted auth tok with sig [a425d547696d4f7b] into the user session keyring | ||
| + | INFO: Success! Private data mounted at [/tmp/ecryptfs.sD45Yfu58]. | ||
| + | |||
| + | </code> | ||
| + | ==== Méthode manuelle ==== | ||
| - | Si par exemple, pour une raison quelconque votre Ubuntu ne démarre plus ou que vous souhaitez récupérer les données d'un ordi tombé en panne, il va falloir déchiffrer votre répertoire /home. | + | Si par exemple, pour une raison quelconque votre Ubuntu ne démarre plus ou que vous souhaitez récupérer les données d'un ordinateur tombé en panne, il va falloir déchiffrer le répertoire /home de l'utilisateur qui a un problème. |
| Il est difficile de trouver de la documentation sur la façon de faire, alors après avoir galéré plusieurs heures, et jonglé avec différentes clés, je vous donne la solution. | Il est difficile de trouver de la documentation sur la façon de faire, alors après avoir galéré plusieurs heures, et jonglé avec différentes clés, je vous donne la solution. | ||
| - | == Etape 1 : obtenir la passphrase == | + | === Etape 1 : obtenir la passphrase === |
| - | Tout d'abord, il faut monter le Ubuntu planté pour qu'il soit accessible dans "/media" | + | Tout d'abord, il faut monter la partition /home dont on veut s'approprier le contenu planté pour qu'il soit accessible dans "/media". Puis |
| - | sudo ecryptfs-unwrap-passphrase /media/Ubuntu/home/.ecryptfs/stephane/.ecryptfs/wrapped-passphrase | + | <code>usr@pc:~$ sudo ecryptfs-unwrap-passphrase /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.ecryptfs/wrapped-passphrase</code> |
| | | ||
| - | (le mot de passe demandé est celui de la session utilisateur) | + | (le mot de passe demandé est celui de la personne dont on souhaite récupérer les données. Il peut être nécessaire de négocier pour obtenir ce mot de passe!) |
| - | ("/media/Ubuntu/home/.ecryptfs/stephane" est le répertoire "/home" de mon Ubuntu planté) | + | (" /media/$USER/pointDeMontage/home/NomDeCeluiDontOnRécupèrerLesDonnées/" est le répertoire "/home" de l'utilisateur qu'on traite). |
| Vérifier bien que cette passphrase n'est pas celle du système actuellement démarré, la passphrase doit être différente de celle-ci: | Vérifier bien que cette passphrase n'est pas celle du système actuellement démarré, la passphrase doit être différente de celle-ci: | ||
| sudo ecryptfs-unwrap-passphrase | sudo ecryptfs-unwrap-passphrase | ||
| - | == Etape 2 : obtenir les 2 clés "fnek" == | + | === Etape 2 : obtenir les 2 clés "fnek" === |
| - | ecryptfs-add-passphrase --fnek | + | <code>usr@pc:~$ sudo ecryptfs-add-passphrase --fnek</code> |
| (lorsque l'on vous demande la passphrase, il ne faut pas confondre avec votre mot de passe session, mettez la passphrase obtenue ci-dessus) | (lorsque l'on vous demande la passphrase, il ne faut pas confondre avec votre mot de passe session, mettez la passphrase obtenue ci-dessus) | ||
| - | On vous donne 2 clés, il faut copier la seconde dans un fichier texte, elle permettra de déchiffrer les noms de fichiers. | + | On vous donne 2 clés, il faut les copier dans la commande suivante avant de la lancer. |
| - | == Etape 3 : Montage == | + | === Etape 3 : effectuer le montage du répertoire === |
| - | Créer un répertoire vide qui permettra de visualiser le contenu déchiffré. | + | <code>usr@pc:~$ sudo mount -i -t ecryptfs -o rw,ecryptfs_sig=premier_keyring,ecryptfs_fnek_sig=deuxième_keyring,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 /media/$USER/PointDeMontage/home/NomDeCeluiDontOnRécupèreLesDonnées/.Private /media</code> |
| - | Par exemple "/media/Backup/1/" chez moi | + | Vérifier alors que les noms des fichiers sont bien lisibles! |
| + | Si ce n'est pas le cas et que leur taille est indiquée avec les ??????, vous vous êtes trompés dans les jetons. Notez qu'aussitôt qu'une commande de montage a été réalisée (avec succès ou pas) les jetons sont éliminés. Il est donc nécessaire de rejouer ce trio de commandes. | ||
| - | Je ne sais pas à quoi sert cette commande, mais si vous ne l'exécutez pas, le déchiffrement du contenu des fichiers fonctionnera, mais pas celui des noms de fichiers : | + | Ne pas oublier que la commande **ecrypt2fs-recover-private,** fait cette action mais en imposant le point de montage dans un répertoire aléatoire de /tmp... |
| - | ecryptfs-add-passphrase | + | |
| - | Ensuite on croise les doigts : | + | ==== Démonter le répertoire ==== |
| - | sudo mount -t ecryptfs /media/Ubuntu/home/.ecryptfs/stephane/.Private/ /media/Backup/1/ | + | |
| - | (appuyez sur "entrée" pour appliquer les réglages par défaut sauf à la question "Enable filename encryption (y/n) [n]: y", répondez oui et renseignez la clé n°2) | + | |
| - | (il se peut que vous ayez aussi à répondre à la question "Monter le contenu ?", répondez "yes") | + | |
| - | Cette dernière commande fonctionne aléatoirement chez moi, si elle ne fonctionne pas vous pouvez aussi répondre non à la question "Enable filename encryption (y/n) [n]:" mais les noms de fichiers seront du type "vqejeireirqjù" | + | Après avoir monté le répertoire, récupéré ou modifié vos données, vous pouvez souhaiter démonter le répertoire chiffré. Le moyen le plus simple est de quitter la session ou d'éteindre la machine mais vous pouvez souhaiter maintenir la session active. |
| - | Utile à savoir si par exemple vous n'avez qu'un fichier à récupérer, vous pourrez le trouver par tâtonnement. | + | Dans cette hypothèse, vous pouvez recourir à la commande ** umount.ecryptfs** suivie du chemin complet vers le répertoire temporaire de montage de la partition chiffrée. |
| - | + | <code> | |
| - | ==== Récupération du contenu d'un répertoire "Private" chiffré ==== | + | usr@pc:~$ sudo umount.ecryptfs /tmp/ecryptfs.aQhg2lM4/ |
| - | Dans le cas où vous auriez suivi l'installation d'ecryptfs au début de cette documentation, vous avez un répertoire nommé par défaut Private dans votre /home. | + | Could not unlink the key(s) from your keying. Please use `keyctl unlink` if you wish to remove the key(s). Proceeding with umount. |
| + | |||
| + | </code> | ||
| + | |||
| + | ===== Problèmes ===== | ||
| + | |||
| + | ==== Mot de passe modifié ==== | ||
| + | Si vous avez modifié votre mot de passe depuis la ligne de commande à l'aide "passwd", le système ecryptfs ne vous autorisera plus à accéder aux données chiffrées. | ||
| + | Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.\\ | ||
| + | Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n'avez aucune solution dans le cas contraire. | ||
| + | === Solution 1 : accéder temporairement aux données === | ||
| + | Pour accéder à vos données, il vous suffira de monter le dossier chiffré vous-même manuellement et le tour sera joué : | ||
| + | |||
| + | sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n | ||
| + | |||
| + | La passphrase vous sera demandée et le dossier Private sera monté correctement. | ||
| + | |||
| + | === Solution 2 : rétablir un fonctionnement normal === | ||
| + | |||
| + | Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n'est PAS mise à jour. Ceci évite qu'un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d'utilisateur et en se connectant avec votre identifiant. | ||
| + | |||
| + | Afin de modifier votre passphrase Ecryptfs (pour qu'elle coïncide avec votre nouveau mot de passe), utilisez cette commande : | ||
| + | |||
| + | ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase | ||
| + | |||
| + | Vous devrez saisir votre ancienne passphrase, puis la nouvelle. | ||
| + | |||
| + | Vous pourrez alors utiliser votre répertoire crypté normalement.\\ | ||
| + | //NB: Solution proposée sur ce tutoriel [[http://bodhizazen.net/Tutorials/Ecryptfs/|Ecryptfs]], dans le chapitre «Change your passphrase to mount your encrypted private directory or home»// | ||
| - | Si un problème survient et que vous voulez rapidement rapatrier tout le contenu crypté sur une nouvelle machine ou sur une autre installation fraîche d'ubuntu, vous pouvez vous contenter de copier les répertoires .Private, Private et .ecryptfs dans votre nouveau /home (testé avec même nom d'utilisateur / mot de passe de session que la première machine). | ||
| - | Il vous suffira alors d'utiliser votre passphrase comme à votre habitude, tout simplement. | ||
| ===== Fil de discussion associé ===== | ===== Fil de discussion associé ===== | ||
| - | [[http://forum.ubuntu-fr.org/viewtopic.php?id=619641]] | + | [[https://forum.ubuntu-fr.org/viewtopic.php?id=619641]] |
| Ligne 202: | Ligne 345: | ||
| * **(en)** [[https://wiki.ubuntu.com/EncryptedPrivateDirectory]] | * **(en)** [[https://wiki.ubuntu.com/EncryptedPrivateDirectory]] | ||
| * **(en)** [[http://bodhizazen.net/Tutorials/Ecryptfs/]] | * **(en)** [[http://bodhizazen.net/Tutorials/Ecryptfs/]] | ||
| - | * **(fr)** [[http://blog.rom1v.com/2010/05/chiffrer-son-dossier-personnel-home-sous-ubuntu/|Chiffrer son dossier personnel (/home) sous Ubuntu (®om's blog)]] | + | * **(fr)** [[https://blog.rom1v.com/2010/05/chiffrer-son-dossier-personnel-home-sous-ubuntu/|Chiffrer son dossier personnel (/home) sous Ubuntu (®om's blog)]] |
| + | * **(en)** [[https://bugs.launchpad.net/ecryptfs|Anomalies connues]] | ||
| + | * **(fr)** [[https://kb-fr.sandisk.com/app/answers/detail/a_id/8251/~/page-dinformations-et-de-t%C3%A9l%C3%A9chargement-de-secureaccess-3.0|Ubuntu encore oublié par un grand fabriquant de matériel ]] | ||
| + | * **(en)** [[https://askubuntu.com/questions/659242/problem-with-ecryptfs-recover-private-mount2-failed~|Erreur mount avec ecryptfs-recover-private]] | ||
| + | * **(en)** [[https://bugs.launchpad.net/ubuntu/+source/ecryptfs-utils/+bug/1718658|La commande ecryptfs-mount-private échoue à initialiser les clés ecryptfs]] | ||