Espace disque chiffré. Compliqué ?

Le
Olivier
--001636c9233ea3ff600461c2fca1
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'envisage de proposer à des utilisateurs, un espace disque personnel et
protégé sur un serveur Lenny.

Le contenu de cet espace disque serait chiffré, c'est à dire que son co=
ntenu
apparaitrait :
- pour l'utilisateur, comme une succession normale de fichiers et
répertoires rattachée à son espace dans /home
- pour les autres utilisateurs y compris l'administrateur, comme un unique
fichier ou équivalent, dont le contenu peut bénéficier d'une sauvegar=
de
différentielle mais pas être lu.

Est-ce possible ?
Quelle est la meilleure façon d'implémenter ça ?

J'ai vu l'existence de EncFS, LUKS, FUSE, etc.. mais je n'y connais pas
grand chose et j'aimerai avoir un avis avant de me lancer.

Slts

--001636c9233ea3ff600461c2fca1
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>J&#39;envisage de proposer à des utilisateurs, un espace =
disque personnel et protégé sur un serveur Lenny.<br><br>Le contenu de =
cet espace disque serait chiffré, c&#39;est à dire que son contenu appa=
raitrait :<br>
- pour l&#39;utilisateur, comme une succession normale de fichiers et rép=
ertoires rattachée à son espace dans /home<br>- pour les autres utilisa=
teurs y compris l&#39;administrateur, comme un unique fichier ou équivale=
nt, dont le contenu peut bénéficier d&#39;une sauvegarde différentiel=
le mais pas être lu.<br>
<br>Est-ce possible ?<br>Quelle est la meilleure façon d&#39;implémente=
r ça ?<br><br>J&#39;ai vu l&#39;existence de EncFS, LUKS, FUSE, etc.. mai=
s je n&#39;y connais pas grand chose et j&#39;aimerai avoir un avis avant d=
e me lancer.<br>
<br>Slts<br>

--001636c9233ea3ff600461c2fca1--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Grégory Bulot
Le #18539081
Olivier +0100
Bonjour,

J'envisage de proposer à des utilisateurs, un espace disque personnel
et protégé sur un serveur Lenny.

Le contenu de cet espace disque serait chiffré, c'est à dire qu e son
contenu apparaitrait :
- pour l'utilisateur, comme une succession normale de fichiers et
répertoires rattachée à son espace dans /home
- pour les autres utilisateurs y compris l'administrateur, comme un
unique fichier ou équivalent, dont le contenu peut bénéfic ier d'une
sauvegarde différentielle mais pas être lu.

Est-ce possible ?
Quelle est la meilleure façon d'implémenter ça ?

J'ai vu l'existence de EncFS, LUKS, FUSE, etc.. mais je n'y connais
pas grand chose et j'aimerai avoir un avis avant de me lancer.

Slts



J'avais regardé cela il y a un peu plus d'un an, j'étais passà © par luks
et un périphérique loop (la limite du nombre de périphé rique loop
simultanée par machine peut être discrimante : c'est 8 je crois d e base
dans le noyau)
la clef était stocké sur un périphérique usb .... en cl air,
dans /etc/rc.2/ il était en S05xxxxxx, pour passer avant mysql (une
base perso était "sécurisée" )

si c'est un utilisateur = 1 machine, c'est envisageable
tes utilisateurs accède en nfs (par exemple) a leur home user sur le
serveur, sur le serveur se trouve une "image cryptée". depuis le pc du
user tu monte en loop l'image crypté distante.

par contre car au plantage réseau ! en pratique, il y a risque de
corruption de l'image cryptée complète plutôt qu'un seul fic hier
dans l'image ...

voila si cela peut faire avancer le schmilblik

--

Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Guillaume Caron
Le #18541931
--=-bc8wRJrns27RJIlqff8u
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable

Hello,

Tout d'abord, je pense que tu peux d'ores et déjà éliminier LUKS et
autres systèmes basés sur le chiffrement de volumes, car ils doiv ent
être montés par root, et seront donc lisibles par ce dernier.

Il te faut employer une méthode en userland, donc basé sur fuse : fuse
est une librairie permettant à l'utilisateur courant de monter n'impor te
quoi sur l'arborescence, sous réserve d'en posséder un plugin, co mme
gmailfs, imapfs, etc. Par exemple, encfs que tu cites utilise fuse.

Encfs me semble le plus approprié dans ton cas parce qu'il est basà © sur
des fichiers : chaque fichier sécurisé sera représenté réellement par un
fichier chiffré de même taille sur le disque, ce qui te permet le s
sauvegardes différentielles côté admin et simplifie la gesti on de
l'espace disque. De plus, ces fichiers sont nommés selon leur somme md 5,
forme supplémentaire de sécurité.
Enfin, un filesystem n'est lisible que par l'utilisateur qui l'a monté
(même root ne peut y accéder).
Par contre, tu n'as pas précisé la méthode de montage (passp hrase ou
fichier clef), or il me semble qu'encfs ne gère que la passphrase (à  
vérifier).

Sinon, ce que tu décrits est également utilisé dans la derni ère Ubuntu,
avec eCryptfs : lorsqu'un utilisateur se connecte, son dossier chiffré
~/.Private est monté dans ~/Private . Tu devrais chercher de ce cà ´té;
j'avoue moi-même ne pas m'être penché dessus, je ne sais don c pas
comment il fonctionne et s'il corresponds à tes contraintes.

Cordialement,
--
Guillaume


Le samedi 31 janvier 2009 à 09:19 +0100, Olivier a écrit :
Bonjour,

J'envisage de proposer à des utilisateurs, un espace disque personne l
et protégé sur un serveur Lenny.

Le contenu de cet espace disque serait chiffré, c'est à dire qu e son
contenu apparaitrait :
- pour l'utilisateur, comme une succession normale de fichiers et
répertoires rattachée à son espace dans /home
- pour les autres utilisateurs y compris l'administrateur, comme un
unique fichier ou équivalent, dont le contenu peut bénéfic ier d'une
sauvegarde différentielle mais pas être lu.

Est-ce possible ?
Quelle est la meilleure façon d'implémenter ça ?

J'ai vu l'existence de EncFS, LUKS, FUSE, etc.. mais je n'y connais
pas grand chose et j'aimerai avoir un avis avant de me lancer.

Slts



--=-bc8wRJrns27RJIlqff8u
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkmEYEcACgkQg8lDEqsU/I0IsACeKr/sIOzWOCm/eUpPjahOfyni
pagAn13SyyA8l7Ul4uDL0gkuv7Qfa/wB
=u5IQ
-----END PGP SIGNATURE-----

--=-bc8wRJrns27RJIlqff8u--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle
Le #18546971
On Sat, Jan 31, 2009 at 03:29:29PM +0100, Guillaume Caron wrote:
Enfin, un filesystem n'est lisible que par l'utilisateur qui l'a monté
(même root ne peut y accéder).



Je suis sceptique. Si root est réellement malicieux, il est
trivial pour lui de mettre un keylogger ou qqch dans le
genre et de piquer mot de passe ou clé qui serait utilisés
pour lire les fichiers. Dès lors que l'utilisateur accède à
un fichier sur un système, root peut le faire également.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Serge SMEESTERS
Le #18555541
Bonjour,


J'ai récemment découvert TrueCrypt...
→ http://www.truecrypt.org
→ http://fr.wikipedia.org/wiki/TrueCrypt

Le montage se fait en tant qu'utilisateur (il me semble).

C'est censé être du logiciel libre, mais il n'est pas intégr é à la
distribution et il faut donc aller sur le site web pour télécharg er le
programme... notamment en .deb

Ce serait bien qu'il soit directement packagé dans les ditrib', non ?


Sinon, qu'en pensez-vous ?


À+,
www.Spaceeman.be

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le #18556191
Le 2 f¨¦vrier 2009 07:28, Serge SMEESTERS
Bonjour,


J'ai r¨¦cemment d¨¦couvert TrueCrypt...
¡ú http://www.truecrypt.org
¡ú http://fr.wikipedia.org/wiki/TrueCrypt



Il existe aussi l'outil Kleopatra int¨¦gr¨¦ ¨¤ KDE 4 mais je ne l'ais pas
encore vraiment test¨¦.


--
Il neige en Bretagne !

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme