Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

encfs, pam_mount, fusermount failed

12 réponses
Avatar
ps
encfs, pam_mount, fusermount failed

Bonjour,

la "préoccupation que me préoccupe" depuis un long moment déjà :)

fusermount: failed to access mountpoint /home/jlg/zaclys_o: Permission
denied

l'histoire :

je souhaite synchroniser un smartphone avec certains répertoires de mon
pc, qui utilise debian-7.8.0_kernel-3.14_xfcd-4.8 : à partir de
icedove-lightning :
* carnet d'adresses
* agenda
* tâches

pour cela je souhaite d'abord synchroniser ces fichiers avec un
répertoire 'owncloud', placé sur le serveur "zaclys.com".

mais je souhaite également chiffrer ces fichiers avant de les envoyer
sur le owncloud-zaclys.

ressources :
http://doc.ubuntu-fr.org/encfs
http://doc.ubuntu-fr.org/davfs2 (§2.3 and 3)

1/ le chiffrement manuel marche :

$ encfs -o nonempty /home/jlg/owncloud/zaclys_f/ /home/jlg/zaclys_o/

note : comme recommandé, les mots de passe session et encfs sont identiques.

2/ en essayant le montage par pam_mount :

2.1/ cat /etc/security/pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
See pam_mount.conf(5) for a description.
-->

<pam_mount>

<!-- debug should come before everything else,
since this file is still processed in a single pass
from top-to-bottom -->

<debug enable="1" />

<!-- Volume definitions -->

<volume user="jlg" fstype="fuse"
path="encfs#/home/jlg/owncloud/zaclys_f/" mountpoint="/home/jlg/zaclys_o" />

<!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
You will need to explicitly initialize it with the empty string
to reset the defaults to nothing. -->
<mntoptions
allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<logout wait="0" hup="0" term="0" kill="0" />


<!-- pam_mount parameters: Volume-related -->


<mkmountpoint enable="1" remove="false" />


</pam_mount>

j'ai modifié 3 lignes :

debug enable="1"
volume user=...
remove="false"

2.3/ après redémarrage :

zaclys_o est monté :

$ cat /proc/mounts
fusectl /sys/fs/fuse/connections fusectl rw,relatime 0 0
encfs /home/jlg/zaclys_o fuse.encfs
rw,nosuid,nodev,relatime,user_id=1027,group_id=1001,default_permissions 0 0

à l'ouverture d'un terminal en root :

su -
Password:
(pam_mount.c:365): pam_mount 2.13: entering auth stage
(pam_mount.c:554): pam_mount 2.13: entering session stage
(misc.c:39): Session open: (ruid/rgid=1027/0, e=0/0)
(pam_mount.c:615): no volumes to mount
command: 'pmvarrun' '-u' 'root' '-o' '1'
(misc.c:39): set_myuid<pre>: (ruid/rgid=1027/0, e=0/0)
(misc.c:39): set_myuid<post>: (ruid/rgid=0/0, e=0/0)
(pmvarrun.c:258): parsed count value 0
(pam_mount.c:441): pmvarrun says login count is 1
(pam_mount.c:646): done opening session (ret=0)

à la fermeture dudit terminal-root :

# exit
déconnexion
(pam_mount.c:692): received order to close things
(pam_mount.c:694): No volumes to umount
command: 'pmvarrun' '-u' 'root' '-o' '-1'
(misc.c:39): set_myuid<pre>: (ruid/rgid=1027/0, e=0/0)
(misc.c:39): set_myuid<post>: (ruid/rgid=0/0, e=0/0)
(pmvarrun.c:258): parsed count value 1
(pam_mount.c:441): pmvarrun says login count is 0
(pam_mount.c:729): pam_mount execution complete
(pam_mount.c:116): Clean global config (0)
(pam_mount.c:133): clean system authtok=0x1707c20 (0)

3/ test : copie de fichier :

~/zaclys_o$ ls -a
. ..
jlg@UL30A:~/zaclys_o$ cd ~/owncloud/zaclys_f/
jlg@UL30A:~/owncloud/zaclys_f$ ls -a
. .. .encfs6.xml
jlg@UL30A:~/owncloud/zaclys_f$ cd ~
jlg@UL30A:~$ cp encfs_chiffrer-repertoires.odt ./zaclys_o/
jlg@UL30A:~$ cd owncloud/zaclys_f/
jlg@UL30A:~/owncloud/zaclys_f$ ls -a
. .. .encfs6.xml KvHg0wWr8BBQkZRqHPu7PagTBwQtTI7bgb8D0rfghjk,T-

en clair : zaclys_o (ouvert)
chiffré : zaclys_f (fermé)

la clé ".encfs6.xml" est dans zaclys_f

3/ un autre test après reboot est ok

4/ protection de ".encfs6.xml" : déplacement dans "~/coffre (safe) :

~/owncloud/zaclys_f$ mv .encfs6.xml ~/coffre

jlg@UL30A:~/owncloud/zaclys_f$ ls -a
. .. Mt,CgjnwfZEel4axwEkfCZ0Tc4EOWEVU4qJebm9YRtM-P0

jlg@UL30A:~/owncloud/zaclys_f$ cd ~/coffre
jlg@UL30A:~/coffre$ ls -a
. .. .encfs6.xml

information du déplacement pour encfs :

jlg@UL30A:~$ ENCFS6_CONFIG=/home/jlg/coffre/.encfs6.xml encfs
/home/jlg/owncloud/zaclys_f/ /home/jlg/zaclys_o/
Mot de passe :
fuse: mountpoint is not empty
fuse: if you are sure this is safe, use the 'nonempty' mount option
Erreur de fuse. Problèmes courants :
- module noyau fuse non installé (faites "modprobe fuse")
- options invalides -- voir le message d'utilisation

jlg@UL30A:~$ ENCFS6_CONFIG=/home/jlg/coffre/.encfs6.xml encfs -o
nonempty /home/jlg/owncloud/zaclys_f/ /home/jlg/zaclys_o/
Mot de passe :
fusermount: failed to access mountpoint /home/jlg/zaclys_o: Permission
denied
Erreur de fuse. Problèmes courants :
- module noyau fuse non installé (faites "modprobe fuse")
- options invalides -- voir le message d'utilisation

propriétaire de zaclys_o = jlg :

jlg@UL30A:~$ cd zaclys_o/
jlg@UL30A:~/zaclys_o$ ls -al
total 64
drwxr-xr-x 2 jlg jlg 4096 mai 13 15:14 .
drwxr-xr-x 133 jlg jlg 12288 mai 13 15:10 ..
-rw-r--r-- 1 jlg jlg 46314 mai 13 15:03 encfs_chiffrer-repertoires.odt

et jlg appartient au groupe fuse :

jlg@UL30A:~/zaclys_o$ groups
jlg dialout audio fuse vboxusers

une idée ?

un très très grand merci d'avance :)
cordialement
ps

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/55537F0D.10902@hotmail.fr

2 réponses

1 2
Avatar
mireero
On 05/14/2015 04:30 PM, ps wrote:
je confirme : l'étape manuelle fonctionne : le pam_mount semble aussi
fonctionner.
c'est le passage par ENCFS6_CONFIG qui semble bloquer l'affaire





Ça signifie que tu peux monter le volume en root?
Tu pourrais nous envoyer la commande que tu utilises?


les dossiers à synchroniser, ce qui est l'objectif initial, seront
placés dans zaclys_o.
via encfs et pam_mount, ils seront cryptés, puis owncloud-client se
chargera de rappatrier les dossiers chiffrés sur owncloud-zaclys. enfin
c'est ce que j'ai imaginé comme possible, un jour:)





Ah ça, c'est ce qui me plait avec linux et autres unix-like. Tout (ou
presque) est faisable donc oui, c'est possible :)
Mais pas forcément avec les outils / la méthode que l'on pense être la
bonne au début.
Je peux pas vraiment t'aider mais comme je suis curieux:

1 - As-tu regardé du côté des logs (quelque part dans /var/log/*, ou
dmesg (attention à bien le taper en console, /var/log/dmesg n'est pas le
même!)? `ls -t' peut aider à voir les derniers fichiers modifiés (`ls
-thr' par exemple).

2 - Dis-moi si je me trompe: tu synchronises les fichiers(/dossiers) à
sauvegarder dans zaclys_o c'est bien ça? Genre tu utilises rsync ou tar
avec la bonne option, ou encore `cp --update'?
Parallèlement, l'idée c'est de "monter" un système de fichiers crypté et
distant (owncloud y fait penser en tout cas).
Si c'est bien le cas, qu'essaye tu de faire par rapport au dossier zaclys_f:

* Lui aussi est synchronisé, dans le sens ou tu ne copies et cryptes que
la différence entre les 2 dossiers? Si c'est ça, je crois pas qu'il
faille "monter" le système avec une option "nonempty" (mais là je peux
me tromper!). Peut-être vaudrait-il mieux simplement crypter les
fichiers en local (par exemple, si tu as de la place dans ton disque (ou
mieux, mais ça ajoute de la compléxité, tu te débarasse du fichier grâce
à un "pipe"/redirection "|"), en crytant tout le dossier zaclys_o ce qui
te permet de faire un diff avec le dossier distant puis utiliser un
outil pour envoyer seulement la différence sur le serveur.
Et rapatrier/décrypter le dossier au besoin (autre pc, crash disque...).
Dans ce cas, tu n'as pas besoin que le dossier distant soit accessible
en permanence.
* Ou tu supprimes le contenu de zaclys_o à partir du moment ou il a été
sauvegardé sous forme d'un contenu distant crypté et tu utilises
régulièrement ce contenu et c'est pour ça que tu voudrais que le montage
se fasse en tant que "jlg"?
* Ou encore j'ai rien compris du tout (ça arrive souvent, je suis du
genre lent à comprendre mais comme tout le monde, j'ai certaine qualités
:) )?
* De qui veux-tu protéger ce contenu? De l’hébergeur de zaclys_f ou
d'une attaque sur ce serveur; d'un autre utilisateur local (ou pareil,
d'une attaque sur ton pc), des 2?

3 - As tu un accès root à la machine qui héberge zaclys_f? Dans le sens:
peux-tu y installer des services/programmes?


En fonction de ton utilisation, je suis sûr qu'il y a du monde sur la
liste qui pourra te conseiller la méthode la plus adéquate (ça t'empêche
pas de continuer à essayer de résoudre le pb actuel, ça peut toujours
servir, des connaissances).

donc ce qui est dans zaclys_o, je pensais que ça pouvait (devait) y
rester : certains fichiers à l'intérieur seront modifiés, peut-être
supprimés et que owncloud-client fera le tri entre ce qu'il a déjà et ce
qu'il doit rappatrier car nouveau ou modifié.
mais peut-être que "je rêve d'une banque"... de données 'idéale':)
il est bien (sans doute) possible que je n'ai pas compris ce qu'on
pouvait faire exactement avec owncloud et pam_mount.





C'est souvent qd un truc nouveau ne marche pas comme prévu qu'on apprend
le plus! Ça force à étudier, à se creuser les méninges et ça c'est bon ;)
(Si on aime apprendre && si y'a pas un patron derrière!)

Et je pense à autre chose, un truc tout bête, parfois il faut faire
partie d'un certain groupe pour utiliser un certain truc, ex:
~# adduser jlg netdev
(t'as la liste des groupes existant dans /etc/group)

--
mireero

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/5554ee18$0$3006$
Avatar
ps
Le 14/05/2015 20:48, mireero a écrit :
On 05/14/2015 04:30 PM, ps wrote:
je confirme : l'étape manuelle fonctionne : le pam_mount semble aussi
fonctionner.
c'est le passage par ENCFS6_CONFIG qui semble bloquer l'affaire





Ça signifie que tu peux monter le volume en root?
Tu pourrais nous envoyer la commande que tu utilises?



Bonjour mireero,

peut-être que je ne comprends pas cette question mais pour lancer le
chiffrement je fais :

$ encfs -o nonempty /home/jlg/owncloud/zaclys_f/ /home/jlg/zaclys_o/

pour fermer :

$fusermount -u /home/jlg/zaclys_o/




les dossiers à synchroniser, ce qui est l'objectif initial, seront
placés dans zaclys_o.
via encfs et pam_mount, ils seront cryptés, puis owncloud-client se
chargera de rappatrier les dossiers chiffrés sur owncloud-zaclys. enfin
c'est ce que j'ai imaginé comme possible, un jour:)





Ah ça, c'est ce qui me plait avec linux et autres unix-like. Tout (ou
presque) est faisable donc oui, c'est possible :)
Mais pas forcément avec les outils / la méthode que l'on pense être la
bonne au début.
Je peux pas vraiment t'aider mais comme je suis curieux:

1 - As-tu regardé du côté des logs (quelque part dans /var/log/*, ou
dmesg (attention à bien le taper en console, /var/log/dmesg n'est pas le
même!)? `ls -t' peut aider à voir les derniers fichiers modifiés (`ls
-thr' par exemple).



"(attention à bien le taper en console, /var/log/dmesg n'est pas le
même!)"



le même que quoi ? :)

j'ai jeté un oeil sur syslog, dmesg, debug : rien vu ce qui ne veut pas
dire qu'il n'y a rien à voir :)



2 - Dis-moi si je me trompe: tu synchronises les fichiers(/dossiers) à
sauvegarder dans zaclys_o c'est bien ça? Genre tu utilises rsync ou tar
avec la bonne option, ou encore `cp --update'?



ça c'était l'étape d'après, que je n'ai pas pu "regarder" :)


Parallèlement, l'idée c'est de "monter" un système de fichiers crypté et
distant (owncloud y fait penser en tout cas).
Si c'est bien le cas, qu'essaye tu de faire par rapport au dossier
zaclys_f:




owncloud-client demande quel dossier doit être synchronisé : je pensais
lui indiquer celui-là



* Lui aussi est synchronisé, dans le sens ou tu ne copies et cryptes que
la différence entre les 2 dossiers? Si c'est ça, je crois pas qu'il
faille "monter" le système avec une option "nonempty" (mais là je peux
me tromper!).




sans l'option "nonempty", ENCFS6_CONFIG me dit que le dossier n'est pas
vide et qu'il ne peut pas aller plus loin...



Peut-être vaudrait-il mieux simplement crypter les
fichiers en local (par exemple, si tu as de la place dans ton disque (ou




c'est ce que je pensais qui allait être fait par encfs


mieux, mais ça ajoute de la compléxité, tu te débarasse du fichier grâce
à un "pipe"/redirection "|"), en crytant tout le dossier zaclys_o ce qui
te permet de faire un diff avec le dossier distant puis utiliser un
outil pour envoyer seulement la différence sur le serveur.




je pensais que c'était le boulot de owncloud-client



Et rapatrier/décrypter le dossier au besoin (autre pc, crash disque...).
Dans ce cas, tu n'as pas besoin que le dossier distant soit accessible
en permanence.
* Ou tu supprimes le contenu de zaclys_o à partir du moment ou il a été
sauvegardé sous forme d'un contenu distant crypté et tu utilises
régulièrement ce contenu et c'est pour ça que tu voudrais que le montage
se fasse en tant que "jlg"?



j'imaginais copier, si possible en automatique, les parties agenda,
tâches et carnet d'adresse du icedove-lightning du 'user' (et il faut
encore que je trouve ces fichiers) dans zaclys_f, qui est sur mon pc,
afin que owncloud-client mette ça sur le serveur zaclys.com.
donc 'montage' user.
zaclys_o, qui est la partie "en-clair" du système encfs, recevrait les
nouveaux fichiers, garderait tout, et owncloud-client ferait le tri dans
zaclys_f entre ce qu'il a déjà, ce qui a été ajouté, ce qui a été
modifié (enfin c'était l'idée) :)



* Ou encore j'ai rien compris du tout (ça arrive souvent, je suis du
genre lent à comprendre mais comme tout le monde, j'ai certaine qualités
:) )?
* De qui veux-tu protéger ce contenu? De l’hébergeur de zaclys_f ou
d'une attaque sur ce serveur; d'un autre utilisateur local (ou pareil,
d'une attaque sur ton pc), des 2?



de l'hébergeur, https://www.zaclys.com/




3 - As tu un accès root à la machine qui héberge zaclys_f? Dans le sens:
peux-tu y installer des services/programmes?




zaclys_f est, sur le pc local, le dossier chiffré du dossier zaclys_o




En fonction de ton utilisation, je suis sûr qu'il y a du monde sur la
liste qui pourra te conseiller la méthode la plus adéquate (ça t'empêche
pas de continuer à essayer de résoudre le pb actuel, ça peut toujours
servir, des connaissances).

donc ce qui est dans zaclys_o, je pensais que ça pouvait (devait) y
rester : certains fichiers à l'intérieur seront modifiés, peut-être
supprimés et que owncloud-client fera le tri entre ce qu'il a déjà et ce
qu'il doit rappatrier car nouveau ou modifié.
mais peut-être que "je rêve d'une banque"... de données 'idéale':)
il est bien (sans doute) possible que je n'ai pas compris ce qu'on
pouvait faire exactement avec owncloud et pam_mount.





C'est souvent qd un truc nouveau ne marche pas comme prévu qu'on apprend
le plus! Ça force à étudier, à se creuser les méninges et ça c'est bon ;)
(Si on aime apprendre && si y'a pas un patron derrière!)

Et je pense à autre chose, un truc tout bête, parfois il faut faire
partie d'un certain groupe pour utiliser un certain truc, ex:
~# adduser jlg netdev
(t'as la liste des groupes existant dans /etc/group)



il faut appartenir au groupe fuse, ce qui est le cas :
$ groups
jlg dialout audio fuse vboxusers


"et ça c'est bon ;)"
ben là, j'ai malalatet et malozieux
je relis les docs, les man, ça-s'mélange et re-malozieux

je vais donc mettre entre parenthèses ce projet, qui manifestement n'est
pas de mon niveau.

re-grand-merci pour ton aide et ton empathie :)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
1 2