YannStatic

Chiffrement (eCryptfs)

  •  21 juil. 2017 16 févr. 2023
Afficher/cacher Sommaire

eCryptfs

Chiffrement (eCryptfs)

Ecryptfs est un outil pour créer un dossier privé (~/Private), chiffré et inaccessible aux autres utilisateurs , il est destiné à contenir tous les fichiers “sensibles” que vous pourriez avoir : vos fichiers contenant des mots de passe, les données confidentielles relatives à vos comptes bancaires, vos emails…

Installer ecryptfs

Installer le paquet ecryptfs-utils.

sudo pacman -S ecryptfs-utils

Une fois ces paquets installés, vous devez charger le module ecryptfs (archlinux/manjaro)

sudo modprobe ecryptfs

Configuration

Générer les fichiers

ecryptfs-setup-private

Enter your login passphrase [eeepc]:    (mot de passe connexion utilisateur)  
Enter your mount passphrase [leave blank to generate one]:

************************************************************************
YOU SHOULD RECORD YOUR MOUNT PASSPHRASE AND STORE IT IN A SAFE LOCATION.
  ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
THIS WILL BE REQUIRED IF YOU NEED TO RECOVER YOUR DATA AT A LATER TIME.
************************************************************************


Done configuring.

Testing mount/write/umount/read...
Inserted auth tok with sig [953bd344c4022573] into the user session keyring
Inserted auth tok with sig [cb7afbfca195342e] into the user session keyring
Inserted auth tok with sig [953bd344c4022573] into the user session keyring
Inserted auth tok with sig [cb7afbfca195342e] into the user session keyring
Testing succeeded.

Logout, and log back in to begin using your encrypted directory.

Dans le cas d’une génération automatique de la passphrase de montage , il faut la déchiffrer pour pouvoir la sauvegarder
ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
Passphrase: Mot de passe de connexion utilisateur
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Enregistrez votre phrase secrète dans un lieu sûr, elle sera requise pour récupérer vos données ultérieurement.

Les dossiers et fichiers après installation

ls -la .ecryptfs/
total 20
drwx------  2 eeepc wheel 4096 10 août  17:50 .
drwx------ 22 eeepc wheel 4096 10 août  17:50 ..
-rw-------  1 eeepc wheel   20 10 août  17:50 Private.mnt
-rw-------  1 eeepc wheel   34 10 août  17:50 Private.sig
-rw-r--r--  1 eeepc wheel    0 10 août  17:50 auto-mount
-rw-r--r--  1 eeepc wheel    0 10 août  17:50 auto-umount
-rw-------  1 eeepc wheel   58 10 août  17:50 wrapped-passphrase

ls -la .Private/
total 8
drwx------  2 eeepc wheel 4096 01.04.2016 14:16 ./
drwx------ 99 eeepc wheel 4096 01.04.2016 14:16 ../

ls -la Private/
total 8
dr-x------  2 eeepc wheel 4096 01.04.2016 14:16 ./
drwx------ 99 eeepc wheel 4096 01.04.2016 14:16 ../
lrwxrwxrwx  1 eeepc wheel   56 01.04.2016 14:16 Access-Your-Private-Data.desktop -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
lrwxrwxrwx  1 eeepc wheel   52 01.04.2016 14:16 README.txt -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt

Montage Manuelle

Monter le répertoire avec le mot de passe de login :
ecryptfs-mount-private
Démonter le répertoire :
ecryptfs-umount-private

Montage Auto (PAM)

Le montage d’une partition chiffrée à l’ouverture de session est fait à l’aide de PAM voir /usr/share/doc/ecryptfs-utils/README et le module doit être chargé (sudo modprobe ecryptfs)

Configuration PAM

1- Vérifier ou créer (touch) les fichiers ~/.ecryptfs/auto-mount, ~/.ecryptfs/auto-umount et ~/.ecryptfs/wrapped-passphrase (créer avec utilitaire ecryptfs-setup-private).

2- Ajouter ecryptfs au pam exactement comme ce qui suit pour que la login passphrase ne soit plus demandée :
Ouvrir /etc/pam.d/system-auth

APRES la ligne contenant auth required pam_unix.so (ou auth [default=die] pam_faillock.so authfail si présent) ajouter:

auth       [success=1 default=ignore]  pam_succeed_if.so    service = systemd-user quiet
auth       required                    pam_ecryptfs.so      unwrap

Ensuite, AU-DESSUS de la ligne contenant password required pam_unix.so (or -password [success=1 default=ignore] pam_systemd_home.so si présent) insérer:

password   optional                    pam_ecryptfs.so

Et finalement APRES la ligne session required pam_unix.so ajouter:

session    [success=1 default=ignore]  pam_succeed_if.so    service = systemd-user quiet
session    optional                    pam_ecryptfs.so      unwrap

Note : Les instructions pam_succeed_if.so indiquent au processus de sauter la ligne suivante si le service demandant l’authentification est systemd-user, qui fonctionne parallèlement à votre session utilisateur et s’authentifie également via PAM. Si le répertoire personnel est monté une deuxième fois, PAM sera incapable de le démonter. Ceci est référencé comme une rupture avec systemd. La méthode exposée ici est une solution de contournement.

3- Sauvegarde , déconnexion ,reconnexion et vérifier la sortie du mount

mount

qui devrait maintenant contenir un point de montage, par exemple:

/home/$USER/.Private on /home/$USER/Private type ecryptfs (...)

pour le répertoire crypté de l’utilisateur. Il doit être parfaitement lisible sur ~$HOME/Private/

Modification mot de passe

Si vous avez modifié votre mot de passe depuis la ligne de commande à l’aide “passwd”, le système ecryptfs ne vous autorisera plus à accéder aux données chiffrées.
Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.
Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n’avez aucune solution dans le cas contraire.

accés temporaire

Pour accéder aux données, il faut monter le dossier chiffré manuellement

sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n

La passphrase vous sera demandée et le dossier Private sera monté correctement.

rétablir un fonctionnement normal

Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n’est PAS mise à jour. Ceci évite qu’un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d’utilisateur et en se connectant avec votre identifiant.

Afin de modifier votre passphrase Ecryptfs (pour qu’elle coïncide avec votre nouveau mot de passe), utilisez cette commande :

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

Vous devrez saisir votre ancienne passphrase, puis la nouvelle.

Vous pourrez alors utiliser votre répertoire crypté normalement.\

Solution proposée sur ce tutoriel Ecryptfs, dans le chapitre Change your passphrase to mount your encrypted private directory or home

Créer un dossier partagé chiffré avec Ecryptfs

ecryptfs est installé , sinon

sudo apt install ecryptfs-utils

On se sert du dossier Crypted (bien sûr le dossier est et doit rester vide pour le moment)

/media/chiffre/

lancer le chiffrement du dossier

mount -t ecryptfs /media/chiffre/ /media/chiffre/

Ici on va chiffrer les fichiers avec de l’AES-256, suivez ce cheminement :

root@openmediavault:~# mount -t ecryptfs /media/chiffre/ /media/chiffre/
Select key type to use for newly created files:
 1) passphrase
 2) tspi
Selection: 1
Passphrase:
Select cipher:
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 1
Select key bytes:
 1) 16
 2) 32
 3) 24
Selection [16]: 32
Enable plaintext passthrough (y/n) [n]: n
Enable filename encryption (y/n) [n]: n
Attempting to mount with the following options:
 ecryptfs_unlink_sigs
 ecryptfs_key_bytes=32
 ecryptfs_cipher=aes
 ecryptfs_sig=bc69feaf7de58b90
Mounted eCryptfs

Le dossier chiffré est monté. Pour tester son bon fonctionnement, mettez un fichier de test dedans avec du contenu, exemple :

Maintenant, fermer le fichier ,démonter le partage chiffré avec la commande suivante

umount /media/chiffre/

Réouvrir le fichier et vous verrez quelque chose dans ce style :

Mémo de la commande qui contient toutes les options avec lesquelles on a créer notre partage

mount -t ecryptfs /media/chiffre/ /media/chiffre/ -o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,key=passphrase

Saisir la passphrase et tous les fichiers deviendront lisibles

Modification mot de passe

Si vous avez modifié votre mot de passe depuis la ligne de commande à l’aide “passwd”, le système ecryptfs ne vous autorisera plus à accéder aux données chiffrées.
Votre dossier chiffré est devenu illisible et non-déchiffrable parce que le montage du dossier ecryptfs est basé sur votre ancien mot de passe.
Vous pouvez vous en tirer si vous connaissez la passphrase mais vous n’avez aucune solution dans le cas contraire.

accés temporaire

Pour accéder aux données, il faut monter le dossier chiffré manuellement

sudo mount -t ecryptfs ~/.Private ~/Private -o key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n

La passphrase vous sera demandée et le dossier Private sera monté correctement.

rétablir un fonctionnement normal

Si vous avez modifié votre mot de passe depuis la ligne de commande, vous remarquerez que la passphrase utilisée pour monter votre dossier personnel chiffré n’est PAS mise à jour. Ceci évite qu’un super utilisateur (ex. : root) puisse accéder à vos données simplement en modifiant votre mot de passe d’utilisateur et en se connectant avec votre identifiant.

Afin de modifier votre passphrase Ecryptfs (pour qu’elle coïncide avec votre nouveau mot de passe), utilisez cette commande :

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

Vous devrez saisir votre ancienne passphrase, puis la nouvelle.

Vous pourrez alors utiliser votre répertoire crypté normalement.\

Solution proposée sur ce tutoriel Ecryptfs, dans le chapitre Change your passphrase to mount your encrypted private directory or home

Recherche