Bonsoir, je cherche à permettre aux utilisateurs non-root de monter une
partition cryptée qu'ils auront protéger avec leur propre mot de passe
mais je me heurte à des interdits.
mlockall failed: Ne peut allouer de la mémoire
WARNING!!! Possibly insecure memory. Are you root?
Command failed: Cannot communicate with device-mapper. Is the dm_mod
module loaded?
Si je laisse luks ouvert en n'exécutant pas (en tant que root) la commande
cryptsetup luksClose /dev/mapper/crypt-machin
machin peut monter la partition mais alors (si j'ai bien compris) on
perd le cryptage: tant que luks n'est pas fermé, il n'y a aucun mot de
passe demandé pour lire cette partition
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un liveCD / clef-USB ou monter le disque dans une autre machine et explorer tranquillement le dossier /tmp...
Sauf si /tmp est en tmpfs.
Sergio wrote in message <4ae2b227$0$25169$426a34cc@news.free.fr>:
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un
liveCD / clef-USB ou monter le disque dans une autre machine et explorer
tranquillement le dossier /tmp...
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un liveCD / clef-USB ou monter le disque dans une autre machine et explorer tranquillement le dossier /tmp...
Sauf si /tmp est en tmpfs.
Arol
Le Sat, 24 Oct 2009 09:52:07 +0200, Sergio a écrit:
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un liveCD / clef-USB ou monter le disque dans une autre machine et explorer tranquillement le dossier /tmp...
heu non. ça me revient. Il y a bien 1 an, j'ai vérifié que le /tmp/.truecrypt_aux_mnt1/ n'existait pas tant que j'ai pas monté le container.
Donc, si il est pas monté, personne ne peut y accéder et tout est ok.
Le Sat, 24 Oct 2009 09:52:07 +0200, Sergio a écrit:
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un
liveCD / clef-USB ou monter le disque dans une autre machine et explorer
tranquillement le dossier /tmp...
heu non.
ça me revient.
Il y a bien 1 an, j'ai vérifié que le /tmp/.truecrypt_aux_mnt1/
n'existait pas tant que j'ai pas monté le container.
Donc, si il est pas monté, personne ne peut y accéder et tout est ok.
Le Sat, 24 Oct 2009 09:52:07 +0200, Sergio a écrit:
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un liveCD / clef-USB ou monter le disque dans une autre machine et explorer tranquillement le dossier /tmp...
heu non. ça me revient. Il y a bien 1 an, j'ai vérifié que le /tmp/.truecrypt_aux_mnt1/ n'existait pas tant que j'ai pas monté le container.
Donc, si il est pas monté, personne ne peut y accéder et tout est ok.
Arol
Le Fri, 23 Oct 2009 21:20:40 +0200, Amandine Parmesan a écrit:
Moi je regrette juste que ext ne gere pas en natif la compression/cryptage par dossier/fichier/partition comme le fait la NTFS.
Moui. Je vois vraiment pas l'intérêt d'une partition cryptée par rapport à un container. De plus truecrypt peut créer des partitions cryptées.
Parce que concrètement, tu cryptes ta partition /home dans la quelle tu dois avoir au max 0.01% de data sensible parce que tout le reste c'est des mp3 et des divx, ça me ferait bien chier de voir le pc passer son temps à crypter/decrypter le dernier transformers ou le dernier album de muse.
Dans mon container truecrypt, il y a uniquement : .gnupg .mozilla .mozilla-thunderbird perso .ssh www mysql
Ce qui revient à ce que tu dis plus haut. Intégrer des options de cryptage dans le fs lui même c'est plus une lourdeur. Mais bon, il y a des fs comme CFS qui le font.
Le Fri, 23 Oct 2009 21:20:40 +0200, Amandine Parmesan a écrit:
Moi je regrette juste que ext ne gere pas en natif la
compression/cryptage par dossier/fichier/partition comme le fait la
NTFS.
Moui.
Je vois vraiment pas l'intérêt d'une partition cryptée par rapport à un
container.
De plus truecrypt peut créer des partitions cryptées.
Parce que concrètement, tu cryptes ta partition /home dans la quelle tu
dois avoir au max 0.01% de data sensible parce que tout le reste c'est
des mp3 et des divx, ça me ferait bien chier de voir le pc passer son
temps à crypter/decrypter le dernier transformers ou le dernier album de
muse.
Dans mon container truecrypt, il y a uniquement :
.gnupg
.mozilla
.mozilla-thunderbird
perso
.ssh
www
mysql
Ce qui revient à ce que tu dis plus haut.
Intégrer des options de cryptage dans le fs lui même c'est plus une
lourdeur.
Mais bon, il y a des fs comme CFS qui le font.
Le Fri, 23 Oct 2009 21:20:40 +0200, Amandine Parmesan a écrit:
Moi je regrette juste que ext ne gere pas en natif la compression/cryptage par dossier/fichier/partition comme le fait la NTFS.
Moui. Je vois vraiment pas l'intérêt d'une partition cryptée par rapport à un container. De plus truecrypt peut créer des partitions cryptées.
Parce que concrètement, tu cryptes ta partition /home dans la quelle tu dois avoir au max 0.01% de data sensible parce que tout le reste c'est des mp3 et des divx, ça me ferait bien chier de voir le pc passer son temps à crypter/decrypter le dernier transformers ou le dernier album de muse.
Dans mon container truecrypt, il y a uniquement : .gnupg .mozilla .mozilla-thunderbird perso .ssh www mysql
Ce qui revient à ce que tu dis plus haut. Intégrer des options de cryptage dans le fs lui même c'est plus une lourdeur. Mais bon, il y a des fs comme CFS qui le font.
François Patte
Le 23/10/2009 00:44, Fabien LE LEZ a écrit :
Tu peux utiliser un système basé sur Fuse : encfs, Truecrypt, ...
Merci.
Finalement, après lecture de la doc et du "fil" actuel, j'ai opté pour un "sudo" de cryptsetup et une mention avec option "user" dans fstab
Pour résumer: le disque comportant les partitions cryptées des utilisateurs est démonté.
Chaque utilisateur peut monter la partition qui le concerne via:
Comme ça, une fois les partitions démontées et fermées, il n'y a plus de trace de rien...
-- François Patte Université Paris Descartes
Amandine Parmesan
On 24 Oct 2009 08:31:37 GMT, Arol wrote:
Le Sat, 24 Oct 2009 09:52:07 +0200, Sergio a écrit:
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un liveCD / clef-USB ou monter le disque dans une autre machine et explorer tranquillement le dossier /tmp...
heu non. ça me revient. Il y a bien 1 an, j'ai vérifié que le /tmp/.truecrypt_aux_mnt1/ n'existait pas tant que j'ai pas monté le container.
Donc, si il est pas monté, personne ne peut y accéder et tout est ok.
Exact. Et si on kill truecrypt, le bind n'existe plus dans /tmp
On 24 Oct 2009 08:31:37 GMT, Arol <annie.nomat@free.fr> wrote:
Le Sat, 24 Oct 2009 09:52:07 +0200, Sergio a écrit:
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un
liveCD / clef-USB ou monter le disque dans une autre machine et explorer
tranquillement le dossier /tmp...
heu non.
ça me revient.
Il y a bien 1 an, j'ai vérifié que le /tmp/.truecrypt_aux_mnt1/
n'existait pas tant que j'ai pas monté le container.
Donc, si il est pas monté, personne ne peut y accéder et tout est ok.
Exact.
Et si on kill truecrypt, le bind n'existe plus dans /tmp
Le Sat, 24 Oct 2009 09:52:07 +0200, Sergio a écrit:
Si le "voleur" sait que tu utiliseS Truecrypt... Il peut booter sur un liveCD / clef-USB ou monter le disque dans une autre machine et explorer tranquillement le dossier /tmp...
heu non. ça me revient. Il y a bien 1 an, j'ai vérifié que le /tmp/.truecrypt_aux_mnt1/ n'existait pas tant que j'ai pas monté le container.
Donc, si il est pas monté, personne ne peut y accéder et tout est ok.
Exact. Et si on kill truecrypt, le bind n'existe plus dans /tmp
Amandine Parmesan
On 24 Oct 2009 08:46:52 GMT, Arol wrote:
Mais bon, il y a des fs comme CFS qui le font.
Comme le dit si bien sergio, il ne s'agit pas forcement de crypter (ou l'option compresser) une partition, mais un fichier, un repertoire.
De ce coté là, la NTFS apporte un plus.
On 24 Oct 2009 08:46:52 GMT, Arol <annie.nomat@free.fr> wrote:
Mais bon, il y a des fs comme CFS qui le font.
Comme le dit si bien sergio, il ne s'agit pas forcement de crypter (ou
l'option compresser) une partition, mais un fichier, un repertoire.
Comme le dit si bien sergio, il ne s'agit pas forcement de crypter (ou l'option compresser) une partition, mais un fichier, un repertoire.
De ce coté là, la NTFS apporte un plus.
Kevin Denis
Le 24-10-2009, François Patte a écrit :
Comme ça, une fois les partitions démontées et fermées, il n'y a plus de trace de rien...
Je n'affirmerai pas ça.. On peut imaginer pleins de choses: -Une partie de ton document s'est retrouvé en SWAP à un moment ou à un autre. -Un outil traitant le document a utilisé le /tmp pour en poser une copie. -Ton historique bash peut te trahir si on y lit: cryptsetup LuksOpen etc... vi /mnt/machin/plan_de_domination_du_monde.txt cryptsetup LukClose -Ton appli traitant le document a crashé et laissé un core quelquepart, -Locate ou autre outil desktop de recherche de fichier a tourné alors que la partition était montée -Ton navigateur de fichiers a mis en cache des miniatures de fichiers alors que tu browsais ta partition chiffrée etc etc.. Donc affirmer qu'il n'y a aucune trace de rien, je ne m'avancerai pas trop.. -- Kevin
Le 24-10-2009, François Patte <francois.patte@mi.parisdescartes.fr> a écrit :
Comme ça, une fois les partitions démontées et fermées, il n'y a plus de
trace de rien...
Je n'affirmerai pas ça..
On peut imaginer pleins de choses:
-Une partie de ton document s'est retrouvé en SWAP à un moment ou à un
autre.
-Un outil traitant le document a utilisé le /tmp pour en poser une copie.
-Ton historique bash peut te trahir si on y lit:
cryptsetup LuksOpen etc...
vi /mnt/machin/plan_de_domination_du_monde.txt
cryptsetup LukClose
-Ton appli traitant le document a crashé et laissé un core quelquepart,
-Locate ou autre outil desktop de recherche de fichier a tourné alors
que la partition était montée
-Ton navigateur de fichiers a mis en cache des miniatures de fichiers
alors que tu browsais ta partition chiffrée
etc etc..
Donc affirmer qu'il n'y a aucune trace de rien, je ne m'avancerai pas trop..
--
Kevin
Comme ça, une fois les partitions démontées et fermées, il n'y a plus de trace de rien...
Je n'affirmerai pas ça.. On peut imaginer pleins de choses: -Une partie de ton document s'est retrouvé en SWAP à un moment ou à un autre. -Un outil traitant le document a utilisé le /tmp pour en poser une copie. -Ton historique bash peut te trahir si on y lit: cryptsetup LuksOpen etc... vi /mnt/machin/plan_de_domination_du_monde.txt cryptsetup LukClose -Ton appli traitant le document a crashé et laissé un core quelquepart, -Locate ou autre outil desktop de recherche de fichier a tourné alors que la partition était montée -Ton navigateur de fichiers a mis en cache des miniatures de fichiers alors que tu browsais ta partition chiffrée etc etc.. Donc affirmer qu'il n'y a aucune trace de rien, je ne m'avancerai pas trop.. -- Kevin
Nicolas George
Kevin Denis wrote in message :
-Une partie de ton document s'est retrouvé en SWAP à un moment ou à un autre.
Le swap peut être sur une partition chiffrée.
-Un outil traitant le document a utilisé le /tmp pour en poser une copie.
/tmp en tmpfs.
-Ton historique bash peut te trahir si on y lit: cryptsetup LuksOpen etc... vi /mnt/machin/plan_de_domination_du_monde.txt cryptsetup LukClose
Il faut bien sûr être prudent.
-Ton appli traitant le document a crashé et laissé un core quelquepart,
limit coredumpsize 0
-Locate ou autre outil desktop de recherche de fichier a tourné alors que la partition était montée
Si le montage est en FUSE, locate ne le voit pas.
Kevin Denis wrote in message
<slrnheb7c2.drl.kevin@slackwall.local.tux>:
-Une partie de ton document s'est retrouvé en SWAP à un moment ou à un
autre.
Le swap peut être sur une partition chiffrée.
-Un outil traitant le document a utilisé le /tmp pour en poser une copie.
/tmp en tmpfs.
-Ton historique bash peut te trahir si on y lit:
cryptsetup LuksOpen etc...
vi /mnt/machin/plan_de_domination_du_monde.txt
cryptsetup LukClose
Il faut bien sûr être prudent.
-Ton appli traitant le document a crashé et laissé un core quelquepart,
limit coredumpsize 0
-Locate ou autre outil desktop de recherche de fichier a tourné alors
que la partition était montée
