Outils pour utilisateurs

Outils du site


linux:chiffrement

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision
Révision précédente
Dernière révision Les deux révisions suivantes
linux:chiffrement [01/05/2009 20:36]
daniel créée
linux:chiffrement [14/05/2020 19:12]
daniel
Ligne 1: Ligne 1:
 ====== Chiffrement ====== ====== Chiffrement ======
 +
 +Quand on peut, c'est plus simple de chiffrer une partition complète (voire tout le disque) et d'​utiliser le volume chiffré comme PV lvm, puis d'​utiliser lvm comme d'​habitude (dans l'​installeur debian créer le volume chiffré sur l'​espace dispo puis passer à la conf lvm). Attention, ça reste plus prudent de garder /boot hors chiffrement (mais swap est plutôt mieux chiffré, dans son lv).
 +
 +Avantage :
 +  * ça permettra de redimensionner ses lv
 +  * ne demande la passphrase qu'une seule fois pour le volume
 +
 +Si y'a un autre disque avec un autre volume chiffré mais que l'on ne veut pas taper deux passphrases,​ on peut la passphrase dans un fichier sur le premier volume chiffré (par ex dans /root/ en 600) et l'​indiquer dans /​etc/​crypttab avec par ex
 +  sdb1_crypt UUID=xxx /​root/​sda1_keyfile luks
 +où xxx est l'uuid de /dev/sda1 qui est le volume luks (''​blkid /​dev/​sda1''​ pour l'​avoir). ​
 +
 +===== Archives =====
 +Ci dessous l'​ancien contenu de cette page, qui commence à dater… (avant 2010)
 +
 +
 Sous linux, luks et truecrypt permettent tous les deux de chiffrer des partitions. luks a l'air plus simple à mettre en place sur une debian de base, truecrypt permet le deni plausible (cf [[http://​fr.wikipedia.org/​wiki/​TrueCrypt]]),​ luks permet d'​avoir différentes clés d'​accès (plusieurs utilisateurs qui montent la même partition, chacun avec son pass ou sa clé). Sous linux, luks et truecrypt permettent tous les deux de chiffrer des partitions. luks a l'air plus simple à mettre en place sur une debian de base, truecrypt permet le deni plausible (cf [[http://​fr.wikipedia.org/​wiki/​TrueCrypt]]),​ luks permet d'​avoir différentes clés d'​accès (plusieurs utilisateurs qui montent la même partition, chacun avec son pass ou sa clé).
  
Ligne 7: Ligne 22:
  
 Qqs liens : Qqs liens :
 +  * Tableau comparatif http://​en.wikipedia.org/​wiki/​Comparison_of_disk_encryption_software
   * Site officiel trueCrypt : http://​www.truecrypt.org/​   * Site officiel trueCrypt : http://​www.truecrypt.org/​
   * article wikipedia http://​fr.wikipedia.org/​wiki/​TrueCrypt   * article wikipedia http://​fr.wikipedia.org/​wiki/​TrueCrypt
   * Un article sur truecrypt : http://​www.projet-plume.org/​fr/​fiche/​truecrypt   * Un article sur truecrypt : http://​www.projet-plume.org/​fr/​fiche/​truecrypt
   * Tuto luks [[http://​blog.yacoubi.fr/​index.php?​post/​2008/​05/​26/​Chiffrage-Dm-Crypt-Luks|partie 1]] et [[http://​blog.yacoubi.fr/​index.php?​post/​2008/​12/​14/​Chiffrement-du-filesystem-complet-dm-crypt-luks|partie 2]], pour ubuntu [[http://​doc.ubuntu-fr.org/​cryptsetup]] et [[http://​forum.ubuntu-fr.org/​viewtopic.php?​pid=372038]]   * Tuto luks [[http://​blog.yacoubi.fr/​index.php?​post/​2008/​05/​26/​Chiffrage-Dm-Crypt-Luks|partie 1]] et [[http://​blog.yacoubi.fr/​index.php?​post/​2008/​12/​14/​Chiffrement-du-filesystem-complet-dm-crypt-luks|partie 2]], pour ubuntu [[http://​doc.ubuntu-fr.org/​cryptsetup]] et [[http://​forum.ubuntu-fr.org/​viewtopic.php?​pid=372038]]
 +  * article wikipedia (en) EncFs [[http://​en.wikipedia.org/​wiki/​EncFS]]
 +  * tuto EncFs ubuntu-fr [[http://​doc.ubuntu-fr.org/​encfs]]
 +
 +
 +
 +===== encFs & sshFs=====
 +Pour du backup online, sur une machine où vous avez un accès ssh, le couple sshfs/encfs peut-être adapté :
 +  * Avantages
 +    * pas besoin de prévoir un gros fichier ou une partition dédiée coté serveur, pour accueillir les données chiffrées, seul la taille réelle des données est utilisée.
 +    * peu de conso CPU coté serveur, juste ssh
 +    * rien à installer coté serveur (hors serveur ssh, mais c'est en général la 1re chose installée)
 +    * permet de faire de l'​incrémental comme un rsync sans chiffrement
 +  * Inconvénients
 +    * un peu lent, mais je reste limité par ma connexion, à tester avec une meilleure connexion (~780kbps contre ~860kbps pour un rsync over ssh "​ordinaire"​)
 +    * le contenu et les noms des fichiers sont chiffrés, mais l'​arborescence,​ les tailles de fichiers et les proprios sont visibles sur le serveur (les noms des dossiers sont incompréhensibles,​ mais vu le nombre et les tailles respectives,​ avec l'uid, on peut "​deviner"​ lequel est un dossier utilisateur,​ lequel correspond à des photos ou de la musique, etc.), pas bien gênant pour moi mais...
 +
 +==== Comment faire ? ====
 +C'est assez simple, vous trouverez pas mal de tutos sur le net en cherchant sshfs+encfs
  
 +Pour résumer, coté machine à backuper
 +<code bash>
 +# on installe sshfs et encfs (ça ajoute fuse), en root
 +aptitude install sshfs encfs
 +usermod -a -G fuse [utilisateur qui va monter les dossiers]
 +# puis avec le user qui fera le backup
 +sshfs $user@$serveur:/​path/​2/​backup /​un/​dossier/​local/​pour/​monter/​sshfs -o uid=$(id -u) -o gid=$(id -g)
 +# en cas de pb de droits fuse, vérifier avec id que ce user fait bien parti du groupe fuse, se déloguer/​reloguer sinon
 +encfs /​un/​dossier/​local/​pour/​monter/​sshfs /​un/​dossier/​local/​pour/​sshfs/​dechiffré
 +# lancer des rsync vers /​un/​dossier/​local/​pour/​sshfs/​dechiffré
 +# puis démonter
 +fusermount -u /​un/​dossier/​local/​pour/​sshfs/​dechiffré
 +fusermount -u /​un/​dossier/​local/​pour/​monter/​sshfs
 +</​code>​
linux/chiffrement.txt · Dernière modification: 15/05/2020 13:57 par daniel