eCryptfs
eCryptfs is a POSIX-compliant enterprise-class stacked cryptographic filesystem for Linux. Layering on top of the filesystem layer eCryptfs protects files no matter the underlying filesystem, partition type, etc.
Lors de l'installation, il y a une option pour chiffrer la partition /home. Cela configurera automatiquement tout ce qu'il faut pour chiffrer la partition mais aussi pour la monter.
A titre d'exemple, cette section traitera de la configuration de /srv afin qu'il soit crypté en utilisant eCryptfs.
Utilisation de eCryptfs
Installez d'abord les paquets nécessaires. Saisissez dans un terminal :
sudo apt install ecryptfs-utils
Montez la partition à chiffrer :
sudo mount -t ecryptfs /srv /srv
Des renseignements sur la manière dont ecryptfs doit chiffrer des données vont vous être demandés.
Pour vérifier que les données de /srv sont effectivement chiffrées, copiez le répertoire /etc/default vers /srv :
sudo cp -r /etc/default /srv
Démontez /srv et essayez de lire un fichier :
sudo umount /srv cat /srv/default/cron
Vous pourrez lire à nouveau les données une fois que vous aurez remonté /srv en utilisant ecryptfs.
Monter automatiquement les partitions chiffrées
Plusieurs méthodes sont disponibles pour monter automatiquement au démarrage un système de fichiers chiffré avec ecryptfs
Créez d'abord /root/.ecryptfsrc avec les informations suivantes :
key=passphrase:passphrase_passwd_file=/mnt/usb/fichier_avec_phrase_de_passe.txt ecryptfs_sig=5826dd62cf81c615 ecryptfs_cipher=aes ecryptfs_key_bytes=16 ecryptfs_passthrough=n ecryptfs_enable_filename_crypto=n
Faites correspondre ecryptfs_sig avec la signature se trouvant dans /root/.ecryptfs/sig-cache.txt.
Créez ensuite le fichier de phrase de passe /mnt/usb/fichier_avec_mot_de_passe.txt :
passphrase_passwd=[secrets]
Ajouter les lignes nécesssaires dans /etc/fstab :
/dev/sdb1 /mnt/usb ext3 ro 0 0 /srv /srv ecryptfs defaults 0 0
Assurez-vous que le périphérique USB est monté avant la partition chiffrée.
Enfin, redémarrez et /srv devrait être monté à l'aide de eCryptfs.
Autres utilitaires
Le paquet ecryptfs-utils contient d'autres utilitaires :
-
ecryptfs-setup-private : crée un répertoire ~/Private recevant les informations chiffrées. Cet utilitaire peut être lancé par de simples utilisateurs (sans privilèges) pour chiffrer leur données.
-
ecryptfs-mount-private and ecryptfs-umount-private will mount and unmount a user's ~/Private directory.
-
ecryptfs-add-passphrase : ajoute une nouvelle phrase de passe au trousseau de clés du noyau.
-
ecryptfs-manager : gère les objets eCryptfs tels que les clés.
-
ecryptfs-stat : vous permet de voir les méta-informations ecryptfs d'un fichier.
Références
-
Pour plus d'informations sur eCryptfs, voir la page du projet Launchpad.
-
Il y a aussi un article de Linux Journal traitant de eCryptfs.
-
Also, for more ecryptfs options and details see the ecryptfs man page.