====== Créer un coffre-fort de données ====== * [[/Article/|Les articles]] * [[/Contact/]] Cet article est une suite de [[article:creer_un_disque_a_l_aide_d_un_fichier|Créer un disque à l'aide d'un fichier]]. Bien que le fichier support du disque virtuel n'est pas lisible directement il peut l'être pour des personne mal attentionnées connaissant bien les dessous des systèmes de fichiers. Aussi cet article propose d'utiliser un système d'encodage/décodage de données fort qui se positionnera entre le fichier/disque et le montage disque/dossier pour accéder au données contenues à l'aide d'une clef créée lors de la création de ce coffre-fort ! ++++ Réalisation du coffre-fort| L'article propose donc de créer un coffre-fort dans une dossier /Data qui accueille vos données. Toutes les opérations doivent être réalisées par un administrateur de la machine. L'outil logiciel est le programme **cryptsetup** qui assurera l'encodage/décodage de données. - Création du dossier Coffre-fort : sudo mkdir -p /Data/Coffre-fort - Création du fichier support des données encodées Ko=1 Mo=$[ 1024 * $Ko ] Go=$[ 1024 * $Mo ] taille=$[ 16 * $Go ] sudo dd if=/dev/zero of=/Data/coffre-fort.fermé bs=1024 count=0 seek=$taille - Préparation de l'encodage du fichier selon la "cuisine" de **cryptsetup**. Lors de cette préparation il vous est demandé de fixer la valeur de la clef d'encodage/décodage des données. sudo cryptsetup luksFormat /Data/coffre-fort.fermé - Avant de formater le disque "virtuel" en **ext4** le système **cryptsetup** s'intermpose en passant la commande : sudo cryptsetup luksOpen /Data/coffre-fort.fermé coffre-fort.ouvert Le paramètre **coffre-fort.ouvert** permet, dès la commande exécutée, l'accès des données en clair par l'administrateur de la machine à l'emplacement /dev/mapper/**coffre-fort.ouvert**. - Formatage en **ext4** du fichier /Data/coffre-fort.fermé au travers de **cryptsetup** en utilisant l'accès /dev/mapper/**coffre-fort.ouvert** en passant la commande : sudo mkfs.ext4 /dev/mapper/coffre-fort.ouvert - Montage du "coffre-fort ouvert" vers le dossier /Data/Coffre-fort en passant la commande : sudo mount -t ext4 /dev/mapper/coffre-fort.ouvert /Data/Coffre-fort A partir de cette dernière commande toutes les opérations effectuées logiquement sur et dans le dossier /Data/Coffre-fort seront réellement réalisées dans le fichier /Data/coffre-fort.fermé réputé indécodable sans la connaissance de la clef d'encodage. * Le Coffre-fort pour être réellement accessible qu'à vous, en tant-qu'administrateur devez vous en attribuer l'usage exclusif en passant la commande : sudo chmod 700 /Data/Coffre-fort sudo chown $USER:$USER /Data/Coffre-fort Comme cela à chaque fois que vous "monterez" le coffre-fort et vous sera automatiquement attribué ! * Il est bien sur utile de réaliser la fermeture du Coffre-fort pas les commandes : sudo umount /Data/Coffre-fort sudo cryptsetup luksClose /dev/mapper/coffre-fort.ouvert ++++ ++++ Bonus sur l'encodage| **cryptsetup** permet de disposer d'options supplémentaires. * Infos sur un fichier encodé dans notre cas en passant la commande : cryptsetup luksDump /Data/coffre-fort.fermé * Ajout d'une clef encodage/décodage en passant la commande : sudo cryptsetup luksAddKey /Data/coffre-fort.fermé * suppression d'une clef encodage/décodage en passant la commande : sudo cryptsetup luksKillSlot /Data/coffre-fort.fermé ++++ Au quotidien 2 opérations sont utiles pour ce coffre-fort * Ouverture du coffre-fort : sudo cryptsetup luksOpen /Data/coffre-fort.fermé coffre-fort.ouvert sudo mount -t ext4 /dev/mapper/coffre-fort.ouvert /Data/Coffre-fort * Fermeture du coffre-fort : sudo umount /Data/Coffre-fort sudo cryptsetup luksClose /dev/mapper/coffre-fort.ouvert Dans l'exemple de cet article le **Coffre-fort** et son support **coffre-fort.fermé** se situent dans le dossier /Data qui est accessible que par l'administrateur de la machine (mode parano). Il est possible de placer **Coffre-fort** dans son Dossier Personnel et d'avoir son **coffre-fort.fermé** sur un support connecté à sa machine (clef USB, disque dur USB, dossier distant). Pour adapter l'exemple de l'article