Chiffré après coup

Maïeul · Le 07/02/2019, à 13:35

Bonjour,

pour diverses raisons, j'aimerais chiffrer les données de mon dossier de départ + la mémoire virtuelle/le cache + les config etc. Chose que j'ai oublié de paramètrer au moment de l'installation d'Ubuntu

Contexte : Ubuntu 18.04 TLS
disque de 1 To ok, 450 Go occupé.

j'ai également un disque externe de 1To que je peux utiliser comme outils de déplacement (en plus des mes 2 disques de sauvegarde)

Je n'aimerais pas refaire une installation neuve/ex nihilo, car j'ai pas mal de config et c'est tjr chiant de reconfigurer.

Ma question est donc la suivante : quelle technique conseillerez vous?
En gros je vois deux solutions:
- soit j'arrive à faire un clone intégrale et fidèle de mon DD depuis une cle bootable vers mon DD externe, j'efface ensuite mon DD internet pour le régler en mode chiffrement, puis je refais le clone dans l'autre sens .... mais j'ai peu de merde avec les droits, etc (j'ai jamais fait!)
- soit je chiffre que les 3 dossiers mentionnés au départ

Quelle procédure recommanderiez vous?

Merci d'avance

jamesbad000 · Le 09/02/2019, à 15:08

Bonjour,

Hum, "Dossier" n'est pas vraiment le terme approprié pour aborder le sujet. Et ce n'est pas par purisme ni besoin de me montrer supérieur que je dis ça.
Ici il s'agit de parler de disque (ou média) , partitions, systèmes de fichier, répertoires

Histoire d'être plus concret dans une tentative d'explications pourrais tu donner le retour de

sudo lsblk -o size,name,fstype,label,mountpoint

edit : précise aussi si tu as déjà en tête le système de chiffrement que tu voudrais utiliser (luks, ecryptfs, ...)

Dernière modification par jamesbad000 (Le 09/02/2019, à 16:39)

Maïeul · Le 09/02/2019, à 15:11

Je veux bien que tu m'explique les différences et pourquoi on ne peut penser en temre de dossier.

Sinon le retour

  SIZE NAME        FSTYPE   LABEL             MOUNTPOINT
140,7M loop0       squashfs                   /snap/gnome-3-26-1604/74
 14,5M loop1       squashfs                   /snap/gnome-logs/45
 93,7M loop2       squashfs                   /snap/telegram-desktop/498
139,5M loop3       squashfs                   /snap/gnome-3-26-1604/64
195,2M loop4       squashfs                   /snap/vlc/555
  3,7M loop5       squashfs                   /snap/gnome-system-monitor/54
  156K loop6       squashfs                   /snap/kruler/13
   80K loop7       squashfs                   /snap/kruler/4
   13M loop8       squashfs                   /snap/gnome-characters/117
 34,2M loop9       squashfs                   /snap/gtk-common-themes/808
202,6M loop10      squashfs                   /snap/vlc/768
 42,1M loop11      squashfs                   /snap/gtk-common-themes/701
  2,2M loop12      squashfs                   /snap/gnome-calculator/222
  156K loop13      squashfs                   /snap/kruler/12
 14,5M loop14      squashfs                   /snap/gnome-logs/40
218,3M loop15      squashfs                   /snap/kde-frameworks-5/25
  2,3M loop16      squashfs                   /snap/gnome-calculator/260
174,3M loop17      squashfs                   /snap/inkscape/4693
218,3M loop18      squashfs                   /snap/kde-frameworks-5/26
 17,9M loop19      squashfs                   /snap/pdftk/9
   91M loop20      squashfs                   /snap/core/6350
147,3M loop21      squashfs                   /snap/skype/66
140,9M loop22      squashfs                   /snap/gnome-3-26-1604/70
  2,3M loop23      squashfs                   /snap/gnome-calculator/238
 89,5M loop24      squashfs                   /snap/core/6130
141,8M loop25      squashfs                   /snap/skype/60
 93,4M loop26      squashfs                   /snap/telegram-desktop/524
202,3M loop27      squashfs                   /snap/vlc/770
  236M loop28      squashfs                   /snap/kde-frameworks-5/27
171,8M loop29      squashfs                   /snap/inkscape/4435
 93,4M loop30      squashfs                   /snap/telegram-desktop/518
   13M loop31      squashfs                   /snap/gnome-characters/124
  3,7M loop32      squashfs                   /snap/gnome-system-monitor/57
  3,7M loop33      squashfs                   /snap/gnome-system-monitor/51
 14,5M loop34      squashfs                   /snap/gnome-logs/43
144,4M loop35      squashfs                   /snap/skype/63
   13M loop36      squashfs                   /snap/gnome-characters/139
 34,6M loop37      squashfs                   /snap/gtk-common-themes/818
 91,1M loop38      squashfs                   /snap/core/6259
174,3M loop39      squashfs                   /snap/inkscape/4690
  2,7T sda                                    
  200M ├─sda1      vfat     EFI               
  935G ├─sda2      hfsplus  Sauvegarde-Maison /media/mrouquet/Sauvegarde-Maison
  1,8T └─sda3      ext4     Maison            /media/mrouquet/Maison
953,9G nvme0n1                                
  512M ├─nvme0n1p1 vfat                       /boot/efi
953,4G └─nvme0n1p2 ext4                       /

jamesbad000 · Le 09/02/2019, à 16:21

Je veux bien que tu m'explique les différences et pourquoi on ne peut penser en temre de dossier.

C'est que un "dossier" (ou répertoire) est une représentation d'une réalité sous-jacente qui peut prendre des formes bien différentes. Et qu'on peut être amené à manipuler directement pour faire l'opération que tu souhaite.

Ceci dit, ta configuration est relativement simple. ton Ubuntu et toutes tes données se trouvent dans une même partition.

953,4G └─nvme0n1p2 ext4                       /

Mais tu n'a pas répondu à la question que j'ai ajoutée :
"précise aussi si tu as déjà en tête le système de chiffrement que tu voudrais utiliser (luks, ecryptfs, ...) "

Dernière modification par jamesbad000 (Le 09/02/2019, à 16:22)

Maïeul · Le 10/02/2019, à 10:42

a désolé, j'avais pas vu l'edit.

Mais même là je ne saurais pas répondre, et j'aurais besoin d'aide pour y voir plus clair.

jamesbad000 · Le 10/02/2019, à 14:13

Ok. Il y a une infinité de façon de faire, mais je vais me limiter à présenter les 2 approches les plus standards..

1) ecryptfs qui permet de chiffrer "sur place"

- toutes tes données personnelles, contenue dans le répertoire /home/TonNomD'utilisateur (y compris les fichiers répertoires cachés dont le nom commence par un point : "."

Ce qui correspond à la rubrique "Dossier personnel" dans le gestionnaire de fichier.
La dedans il y aussi tout ton paramétrage d'applications telles que la messagerie, le navigateur et son cache internet...

Mais pas les éléments de configurations systèmes (le nom de ta machine, la liste des utilisateurs, le gestionnaire d'installation mise à jour de logiciels...), ni les log systèmes, ni les programmes...

- La mémoire virtuelle (autrement appelé swap ou fichier d'échange)

Bien que le chiffrement se fasse sur place, il faut tout de même faire une sauvegarde complète du répertoire utilisateur par précaution. De plus comme lors du chiffrement il garde une copie des données original, tu vas probablement être un peu juste en espace disponible, et il faudra donc supprimer une partie du contenue, qui pourra être réintégrée à partir de la sauvegarde à la fin.

Pour ecryptfs, Tu peux aller jeter un oeil ici https://doc.ubuntu-fr.org/ecryptfs et notamment en 1.2 et 4 . C'est assez complet

2) Luks qui permet de chiffrer ton système complet, (à l'exception de la partition de démarrage UEFI, et de la partition de démarrage linux qu'il vaut mieux mettre à part).

Mais va nécessiter une réorganisation de ton partitionnement, le paramétrage du conteneur chiffré, les points de montage, la reconfiguration de grub2 (le logiciel d'amorçage qui permet de démarrer)...

En préparation il faudrait copier l'intégralité des fichiers de ta partition racine (ce qui est différent d'un clonage de disque), y compris les programmes, en utilisant la commande cp et les options adéquates...

Pour luks (via la commande cryptsetup) tu peux aller voir ici https://doc.ubuntu-fr.org/cryptsetup mais ça ne parle que du paramétrage du chiffrement proprement dit.

Donc à mon avis, sauf à passer un temps conséquent à faire l'apprentissage de tout les éléments que j'ai exposés. Cette approche va t’entraîner dans une galère.

Ca serait beaucoup plus simple, de sauvegarder tes données, réinstaller ton système avec le chiffrement luks + lvm (qui est une variante un peu plus évoluée que ce que j'évoquais ci-dessus), et réintégrer tes données.

Dernière modification par jamesbad000 (Le 10/02/2019, à 14:15)

Maïeul · Le 10/02/2019, à 14:45

alors si je pige bien j'ai le choix entre une chiffrage partiel mais plus simple car ne nécessitant pas une reinstall complète, et une reinstall complète mais avec chiffrage complet

J'avoue que si je peux m'épargner une réinstall complète, je préfère, notamment car je galère à chaque fois sur les configs APACHE. En fait, si je savais comment être sur de pouvoir faire une reinstall à l'identique, je le ferais volontier.

Le gros souci avec l'option 1 est que je n'ai pas 2.5 fois la taille du disque en libre.

jamesbad000 · Le 10/02/2019, à 14:52

alors si je pige bien j'ai le choix entre une chiffrage partiel mais plus simple car ne nécessitant pas une reinstall complète, et une reinstall complète mais avec chiffrage complet

Bien résumé.

Le gros souci avec l'option 1 est que je n'ai pas 2.5 fois la taille du disque en libre.

Pas vraiment gros, le souci. Comme tu dois faire une sauvegarde de sécurité. Tu peux de permettre de supprimer une partie des données sauvegardées pour libérer assez de place...

Dernière modification par jamesbad000 (Le 10/02/2019, à 14:53)

Maïeul · Le 10/02/2019, à 14:55

c'est vrai (et de toute facon, j'ai tjr une sauvgarde bi quotidienne de mes données!)

la vrai question qui se pose maintenant est: ai je des données potentiellement importante en dehors de /home

Il y a la swap, masi si j'ai bien compris ecryptfs peut résoudre cela. Et il y aurait /var?

jamesbad000 · Le 10/02/2019, à 15:20

Non, pas de /var (qui contient entre autre les log) ni de /tmp.
Pas vraiment crucial en règle général. Mais si tu as des données très sensibles, ou des activité subversives (ce que je ne veux pas savoir), il peut-être justifié de tous chiffrer pour limiter les risques : Les logs révèlent une partie de ta configuration système, des applications que tu utilises... Ce qui peut aider un attaquant à trouver une faille ou un enquêteur à obtenir des éléments sur ton activité. En même temps si ça va jusque là, je crois qu'un juge peut très bien te condamner pour le refus de donner ton mot de passe...

Et d'une façon générale à part le swap (qui se fait par un paramétrage séparé) Rien en dehors du répertoire utilisateur sous /home n'est chiffré.
Et autre point : Si plusieurs utilisateurs, chacun est chiffré de façon séparée (Pas d'accès aux données de l'utilisateur Y dans /home/Y à partir d'une session ouverte depuis l'utilisateur X)

Maïeul · Le 10/02/2019, à 15:44

ok. bon vu mes activités, je vais en rester à /home et /swp

c'est essentiellement pour limiter les risque en cas de perte/vole d'ordinateur

nam1962 · Le 10/02/2019, à 15:57

Quelle est ta procédure de sauvegarde ?
Si un vilain vole un ordi sous Linux, il y a neuf chances sur dix qu'il soit incapable de s'en servir et que le mot de passe utilisateur suffise.
Tu peux toujours regarder : https://preyproject.com/download/ Mais en général leur but est surtout de refourguer, ils écraseront avec un W$ quelconque.

Le chiffrement de dossier amène des tonnes d'ennuis (plein de fils sur le sujet)

Dernière modification par nam1962 (Le 10/02/2019, à 15:58)

Maïeul · Le 10/02/2019, à 16:33

J'utilise cronopete en alternant entre deux disques de sauvegardes (un, chiffré, au boulot, un non chiffré, chez moi). J'ai également des sauvegardes via git des principaux projets sur lesquels je travail.

Je viens de lancer la procédure de chiffrage. Dans la mesure où j'ai des données concernant d'autres personnes sur mon ordi (association), je préfère limiter les risques.

Maïeul · Le 10/02/2019, à 17:15

Le chifrement est activé sur home.

Par contre au moment de chiffrer le swap, j'ai ce message

WARNING:
An encrypted swap is required to help ensure that encrypted files are not leaked to disk in an unencrypted format.
HOWEVER, THE SWAP ENCRYPTION CONFIGURATION PRODUCED BY THIS PROGRAM WILL BREAK HIBERNATE/RESUME ON THIS SYSTEM!
NOTE: Your suspend/resume capabilities will not be affected.

je trouve le message contradictoire. Je comprend pas comment la fonction de suspension peu marcher pour un utiliateur et pas pour le système. A moins que la note concerne moi en tant que personne physique?

Maïeul · Le 10/02/2019, à 18:22

compris, c'est la différence entre hiberné et être suspendu. Bon, j'utilise pas l'hibernation, mais uniquement la suspension. Donc c'est ok.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 07/02/2019, à 13:35

Chiffré après coup

#2 Le 09/02/2019, à 15:08

Re : Chiffré après coup

#3 Le 09/02/2019, à 15:11

Re : Chiffré après coup

#4 Le 09/02/2019, à 16:21

Re : Chiffré après coup

#5 Le 10/02/2019, à 10:42

Re : Chiffré après coup

#6 Le 10/02/2019, à 14:13

Re : Chiffré après coup

#7 Le 10/02/2019, à 14:45

Re : Chiffré après coup

#8 Le 10/02/2019, à 14:52

Re : Chiffré après coup

#9 Le 10/02/2019, à 14:55

Re : Chiffré après coup

#10 Le 10/02/2019, à 15:20

Re : Chiffré après coup

#11 Le 10/02/2019, à 15:44

Re : Chiffré après coup

#12 Le 10/02/2019, à 15:57

Re : Chiffré après coup

#13 Le 10/02/2019, à 16:33

Re : Chiffré après coup

#14 Le 10/02/2019, à 17:15

Re : Chiffré après coup

#15 Le 10/02/2019, à 18:22

Re : Chiffré après coup

Pied de page des forums