partition cryptée pour un utilisateur lambda...

Le
François Patte
Bonsoir, je cherche à permettre aux utilisateurs non-root de monter une
partition cryptée qu'ils auront protéger avec leur propre mot de passe
mais je me heurte à des interdits.

Ce que j'ai fait (en tant que root):

cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb1

cryptsetup luksOpen /dev/sdb1 crypt-machin

On formate:

mkfs.ext3 -j -m 1 -O dir_index,filetype,sparse_super
/dev/mapper/crypt-machin

On monte:

mount /dev/mapper/crypt-machin /home/machin/crypt

On change les droits de propriété de /home/machin/crypt:

chown machin.truc /home/machin/crypt

Puis on démonte:

umount /home/machin/crypt

On ferme luks:

cryptsetup luksClose /dev/mapper/crypt-machin

On ajoute ce qui faut dans fstab:

/dev/mapper/crypt /home/machin/crypt ext3 rw,user,noauto

Et voilà.

Mais machin ne peut visblement pas utiliser

cryptsetup luksOpen /dev/sdb1 crypt-machin

Puisque la réponse est:

mlockall failed: Ne peut allouer de la mémoire
WARNING!!! Possibly insecure memory. Are you root?
Command failed: Cannot communicate with device-mapper. Is the dm_mod
module loaded?


Si je laisse luks ouvert en n'exécutant pas (en tant que root) la commande

cryptsetup luksClose /dev/mapper/crypt-machin

machin peut monter la partition mais alors (si j'ai bien compris) on
perd le cryptage: tant que luks n'est pas fermé, il n'y a aucun mot de
passe demandé pour lire cette partition


..

Que faire?


Merci.

--
François Patte
Université Paris Descartes
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #20405241
Tu peux utiliser un système basé sur Fuse : encfs, Truecrypt, ...
Amandine Parmesan
Le #20406141
On Fri, 23 Oct 2009 00:44:46 +0200, Fabien LE LEZ

Tu peux utiliser un système basé sur Fuse : encfs, Truecrypt, ...



J'ai deja deja utilisé truecrypt pour voir.
J'ai pas apprecié le bind dans /tmp en clair lorsque le fichier est
monté. Grosso modo, j'avais acces a la structure du disque dur virtuel
(FAT) et j'ai trouvé dedant ce qui devait etre crypté.

Faut bien faire gaffe aux droits...
Arol
Le #20408271
Le Fri, 23 Oct 2009 09:02:49 +0200, Amandine Parmesan a écrit:

J'ai deja deja utilisé truecrypt pour voir. J'ai pas apprecié le bind
dans /tmp en clair lorsque le fichier est monté. Grosso modo, j'avais
acces a la structure du disque dur virtuel (FAT) et j'ai trouvé dedant
ce qui devait etre crypté.

Faut bien faire gaffe aux droits...



J'utilise truecrypt 6.2a et j'ai pas ce répertoire temporaire.

Peux-tu en dire plus ?
Amandine Parmesan
Le #20408981
On 23 Oct 2009 13:02:33 GMT, Arol
Le Fri, 23 Oct 2009 09:02:49 +0200, Amandine Parmesan a écrit:

J'ai deja deja utilisé truecrypt pour voir. J'ai pas apprecié le bind
dans /tmp en clair lorsque le fichier est monté. Grosso modo, j'avais
acces a la structure du disque dur virtuel (FAT) et j'ai trouvé dedant
ce qui devait etre crypté.

Faut bien faire gaffe aux droits...



J'utilise truecrypt 6.2a et j'ai pas ce répertoire temporaire.

Peux-tu en dire plus ?



Sous *buntu c'est à la racine
Arol
Le #20408971
Le Fri, 23 Oct 2009 16:47:22 +0200, Amandine Parmesan a écrit:

J'ai deja deja utilisé truecrypt pour voir. J'ai pas apprecié le bind
dans /tmp en clair lorsque le fichier est monté. Grosso modo, j'avais
acces a la structure du disque dur virtuel (FAT) et j'ai trouvé dedant
ce qui devait etre crypté.

Faut bien faire gaffe aux droits...



J'utilise truecrypt 6.2a et j'ai pas ce répertoire temporaire.

Peux-tu en dire plus ?



Sous *buntu c'est à la racine



Je trouve pas.
J'ai fait un
sudo lsof | grep truecrypt

et il y pas de répertoire suspect
Arol
Le #20408961
Le Fri, 23 Oct 2009 16:47:22 +0200, Amandine Parmesan a écrit:

J'ai deja deja utilisé truecrypt pour voir. J'ai pas apprecié le bind
dans /tmp en clair lorsque le fichier est monté. Grosso modo, j'avais
acces a la structure du disque dur virtuel (FAT) et j'ai trouvé dedant
ce qui devait etre crypté.

Faut bien faire gaffe aux droits...



J'utilise truecrypt 6.2a et j'ai pas ce répertoire temporaire.

Peux-tu en dire plus ?



Sous *buntu c'est à la racine



Je l'ai trouvé ici

/tmp/.truecrypt_aux_mnt1/volume

mais il est verrouillé en 700 avec moi comme owner.
Amandine Parmesan
Le #20409611
On 23 Oct 2009 14:54:09 GMT, Arol
Le Fri, 23 Oct 2009 16:47:22 +0200, Amandine Parmesan a écrit:

J'ai deja deja utilisé truecrypt pour voir. J'ai pas apprecié le bind
dans /tmp en clair lorsque le fichier est monté. Grosso modo, j'avais
acces a la structure du disque dur virtuel (FAT) et j'ai trouvé dedant
ce qui devait etre crypté.

Faut bien faire gaffe aux droits...



J'utilise truecrypt 6.2a et j'ai pas ce répertoire temporaire.

Peux-tu en dire plus ?



Sous *buntu c'est à la racine



Je trouve pas.
J'ai fait un
sudo lsof | grep truecrypt

et il y pas de répertoire suspect



Ben si il y est.
Amandine Parmesan
Le #20409731
On 23 Oct 2009 15:02:14 GMT, Arol
Le Fri, 23 Oct 2009 16:47:22 +0200, Amandine Parmesan a écrit:

J'ai deja deja utilisé truecrypt pour voir. J'ai pas apprecié le bind
dans /tmp en clair lorsque le fichier est monté. Grosso modo, j'avais
acces a la structure du disque dur virtuel (FAT) et j'ai trouvé dedant
ce qui devait etre crypté.

Faut bien faire gaffe aux droits...



J'utilise truecrypt 6.2a et j'ai pas ce répertoire temporaire.

Peux-tu en dire plus ?



Sous *buntu c'est à la racine



Je l'ai trouvé ici



HA tu vois ;o))

/tmp/.truecrypt_aux_mnt1/volume

mais il est verrouillé en 700 avec moi comme owner.



Donc OK

Maintenant regarde dedant avec mcview par exemple (faut avoir midnight
commander d'installé) et cherche une chaine que tu aurra mis dedant
avec truecrypt...

Imagine ton fichier truecrypt venant d'une clé en NTFS que tu copie
dans un dossier parent en 700 et a toi, que se passe t il dans
/tmp/.truecrypt_aux_mnt1/ pour les autre user...
Arol
Le #20410021
Le Fri, 23 Oct 2009 18:17:54 +0200, Amandine Parmesan a écrit:

Imagine ton fichier truecrypt venant d'une clé en NTFS que tu copie dans
un dossier parent en 700 et a toi, que se passe t il dans
/tmp/.truecrypt_aux_mnt1/ pour les autre user...



Oui.

En fait, je m'en fous un peu que ce dossier soit ouvert quand je suis sur
mon pc parce qu'il y a pas d'autres utilisateurs dessus.
Mon but est qu'en cas de vol de mon portable, personne ne puisse y
accéder. Ce qui est le cas car le container serait démontée.
On a le même résultat avec l'utilitaire de cryptage d'une partition
entière lors de l'installation d'une debian/ubuntu.

L'intérêt du container truecrypt par rapport à la partition entièrement
cryptée, c'est que le container, je peux le sauvegarder sur un autre
media.
Amandine Parmesan
Le #20411061
On 23 Oct 2009 16:54:50 GMT, Arol
Le Fri, 23 Oct 2009 18:17:54 +0200, Amandine Parmesan a écrit:

Imagine ton fichier truecrypt venant d'une clé en NTFS que tu copie dans
un dossier parent en 700 et a toi, que se passe t il dans
/tmp/.truecrypt_aux_mnt1/ pour les autre user...



Oui.

En fait, je m'en fous un peu que ce dossier soit ouvert quand je suis sur
mon pc parce qu'il y a pas d'autres utilisateurs dessus.
Mon but est qu'en cas de vol de mon portable, personne ne puisse y
accéder. Ce qui est le cas car le container serait démontée.
On a le même résultat avec l'utilitaire de cryptage d'une partition
entière lors de l'installation d'une debian/ubuntu.

L'intérêt du container truecrypt par rapport à la partition entièrement
cryptée, c'est que le container, je peux le sauvegarder sur un autre
media.



Moi je regrette juste que ext ne gere pas en natif la
compression/cryptage par dossier/fichier/partition comme le fait la
NTFS.
Publicité
Poster une réponse
Anonyme