partition/répertoire crypté

Le
Bulot Grégory
bonjour,

je souhaiterais avoir une zone crypté, mais une fois decryptée, accessi=
ble en
lecture écriture

genre /home/moi/protected
- ou protected est un 'gros bloc'
- via mount /home/moi/protected key=vdsbqhvdjhqghdjgsqhgdsjhq

question subsidiaire, peux t-on déplacer quelques tables mysql dans cet
espace 'protégé'

actuellement (premier jet de recherche) :
- encfs semble me convenir
http://www.linux-france.org/lug/gulliver/ml-archives/avril-2005/msg00438.ht=
ml

- pour la théorie en non crypté, j'essais de comprendre ceci :
http://ftp.traduc.org/doc-vf/gazette-linux/html/2005/114/lg114-E.html


Suis-je dans la bonne direction, ou y-a-t-il mieux : en terme de stabilit=
é -
facilité, pour la sécurité j'estime devoir garantir la confidentialit=
é des
données chez les clients pour 3 ans ;-)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
arenevier
Le #9600051
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 28.08.2007 12:00, Bulot Grégory wrote:
>
> je souhaiterais avoir une zone crypté, mais une fois decryptée, accessible en
> lecture écriture
>
> genre /home/moi/protected
> - ou protected est un 'gros bloc'
> - via mount /home/moi/protected key=vdsbqhvdjhqghdjgsqhgdsjhq
>



Salut,
regarde peut-être du côté du paquet cryptsetup qui permet de crypter des systèmes de fichier.

a+
arno
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFG0/rTiH9aBScBsrMRAjEuAJ0aIdfMrj9f+9GXcDGwyvBKGHn5IACcDqkw
vj2GloBlrHheNbdvUu2RQpY =TjD9
-----END PGP SIGNATURE-----


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Bulot Grégory
Le #9599701
Le mardi 28 août 2007 12:37, arenevier a écrit :
On 28.08.2007 12:00, Bulot Grégory wrote:
> > je souhaiterais avoir une zone crypté, mais une fois decryptée,
> > accessible en lecture écriture
> >
> > genre /home/moi/protected
> > - ou protected est un 'gros bloc'
> > - via mount /home/moi/protected key=vdsbqhvdjhqghdjgsqhgdsjhq

Salut,
regarde peut-être du côté du paquet cryptsetup qui permet de crypte r des
systèmes de fichier.

a+
arno



c'est pas mal , mais j'arrive pas à le monter sans intervention utilisate ur !


la partie
# cryptsetup luksOpen $PeripheriqueLoop $DevMapperName --key-file $keyfile
Command failed.

en tapant la passphrase a la main ça marche :
# cryptsetup luksOpen /dev/loop0 [le truc dans /dev/mapper/machin]
Enter LUKS passphrase:
key slot 1 unlocked.
Command successful.


Parallèlement, existe-t-il une solution sans saisie de mot de passe, ou s ans
passer par le keyfile, j'ai cru voir sur la liste developpeur qu'il serait
possible d'avoir une option pour lire lshal, genre celle là :
lshal | grep smbios.system.uuid | awk ' { print $3 } '

Mince, je suis démasqué dans l'utilité de ma demande ..... c'est balo t, mais
le risque est acceptable en ce qui me concerne, mais si vous avez mieux
(moins goret que la mienne comme méthode) je suis preneur !
Jean-Yves F. Barbier
Le #9599681
Bulot Grégory a écrit :
...
c'est pas mal , mais j'arrive pas à le monter sans intervention utili sateur !


la partie
# cryptsetup luksOpen $PeripheriqueLoop $DevMapperName --key-file $keyf ile
Command failed.

en tapant la passphrase a la main ça marche :
# cryptsetup luksOpen /dev/loop0 [le truc dans /dev/mapper/machin]
Enter LUKS passphrase:
key slot 1 unlocked.
Command successful.


Parallèlement, existe-t-il une solution sans saisie de mot de passe, ou sans
passer par le keyfile, j'ai cru voir sur la liste developpeur qu'il ser ait
possible d'avoir une option pour lire lshal, genre celle là :
lshal | grep smbios.system.uuid | awk ' { print $3 } '



ça ne marche pas à tous les coups, regarde le mien:
smbios.system.uuid = 'Not Settable' (string)
pas plus que serial:
smbios.system.serial = 'SYS-1234567890' (string)

par ailleurs, je ne vois pas l'utilité de chiffrer s'il n'y-a
aucune sécurité sur clé &| keyfile; si c'est juste pour limiter
l'accès, il suffit de changer les droitS.


--
I once decorated my apartment entirely in ten foot salad forks!!
Bulot Grégory
Le #9599631
Le mercredi 29 août 2007 12:31, Jean-Yves F. Barbier a écrit :
[ désolé pour le mail privé, l'habitude de faire juste répondre, su r cette
liste]

ça ne marche pas à tous les coups, regarde le mien:
smbios.system.uuid = 'Not Settable' (string)
pas plus que serial:
smbios.system.serial = 'SYS-1234567890' (string)



sur les machine que l'on déploie, il est différent a chaque fois


par ailleurs, je ne vois pas l'utilité de chiffrer s'il n'y-a
aucune sécurité sur clé &| keyfile; si c'est juste pour limiter
l'accès, il suffit de changer les droitS.



Si vous penser a quelques chose de mieux a ce niveau là, je suis preneur, ce
qu'il faut savoir c'est que ces machines :
- sont chez le client,
- doivent booter toutes seules
- que le client ne doit pas pouvoir copier pour réutiliser ailleurs (ce qu'il
y a dans /home/UnUserEnParticulier (ce qui est facile lorsque l'on monte le
disque depuis une autre machine en non crypté)
Bulot Grégory
Le #9599601
Le mercredi 29 août 2007 12:31, Jean-Yves F. Barbier a écrit :

Si quelqu'un a connaissance d'un distributeur de clefs (type clefs usb)
encodable sous linux, lisible en lecteur seule sous linux pour <10¤ piè ce je
prends !

cela m'éviterais d'utiliser cette (fausse méthode) de cryptage/sécuri té
Publicité
Poster une réponse
Anonyme