| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| article:creer_un_coffre-fort_de_donnees [2024/04/23 17:25] – estro | article:creer_un_coffre-fort_de_donnees [2024/04/23 20:30] (Version actuelle) – estro |
|---|
| Cet article est une suite de [[article:creer_un_disque_a_l_aide_d_un_fichier|Créer un disque à l'aide d'un fichier]]. Bien que le fichier support du disque virtuel n'est pas lisible directement il peut l'être pour des personne mal attentionnées connaissant bien les dessous des systèmes de fichiers. Aussi cet article propose d'utiliser un système d'encodage/décodage de données fort qui se positionnera entre le fichier/disque et le montage disque/dossier pour accéder au données contenues à l'aide d'une clef créée lors de la création de ce coffre-fort ! | Cet article est une suite de [[article:creer_un_disque_a_l_aide_d_un_fichier|Créer un disque à l'aide d'un fichier]]. Bien que le fichier support du disque virtuel n'est pas lisible directement il peut l'être pour des personne mal attentionnées connaissant bien les dessous des systèmes de fichiers. Aussi cet article propose d'utiliser un système d'encodage/décodage de données fort qui se positionnera entre le fichier/disque et le montage disque/dossier pour accéder au données contenues à l'aide d'une clef créée lors de la création de ce coffre-fort ! |
| </adm> | </adm> |
| | ++++ Réalisation du coffre-fort| |
| <adm achievement Réalisation du coffre-fort> | <adm achievement Réalisation du coffre-fort> |
| L'article propose donc de créer un coffre-fort dans une dossier /Data qui accueille vos données. | L'article propose donc de créer un coffre-fort dans une dossier /Data qui accueille vos données. |
| Toutes les opérations doivent être réalisées par un administrateur de la machine. L'outil logiciel est le programme **cryptsetup** qui assurera l'encodage/décodage de données. | Toutes les opérations doivent être réalisées par un administrateur de la machine. L'outil logiciel est le programme **cryptsetup** qui assurera l'encodage/décodage de données. |
| |
| - Création du dossier Coffre-fort : <code bash>sudo mkdir /Data/Coffre-fort </code> | - Création du dossier Coffre-fort : <code bash>sudo mkdir -p /Data/Coffre-fort </code> |
| - Création du fichier support des données encodées <code bash> | - Création du fichier support des données encodées <code bash> |
| Ko=1 | Ko=1 |
| taille=$[ 16 * $Go ] | taille=$[ 16 * $Go ] |
| |
| dd if=/dev/zero of=/Data/coffre-fort.fermé bs=1024 count=0 seek=$taille | sudo dd if=/dev/zero of=/Data/coffre-fort.fermé bs=1024 count=0 seek=$taille |
| </code> | </code> |
| - Préparation de l'encodage du fichier selon la <color #ed1c24>"cuisine"</color> de **cryptsetup**. Lors de cette préparation il vous est demandé de fixer la valeur de la clef d'encodage/décodage des données. <code bash> | - Préparation de l'encodage du fichier selon la <color #ed1c24>"cuisine"</color> de **cryptsetup**. Lors de cette préparation il vous est demandé de fixer la valeur de la clef d'encodage/décodage des données. <code bash> |
| cryptsetup luksFormat /Data/coffre-fort.fermé | sudo cryptsetup luksFormat /Data/coffre-fort.fermé |
| </code> | </code> |
| - Avant de formater le disque "virtuel" en **ext4** le système **cryptsetup** s'intermpose en passant la commande : <code bash> | - Avant de formater le disque "virtuel" en **ext4** le système **cryptsetup** s'intermpose en passant la commande : <code bash> |
| cryptsetup luksOpen /Data/coffre-fort.fermé coffre-fort.ouvert | sudo cryptsetup luksOpen /Data/coffre-fort.fermé coffre-fort.ouvert |
| </code> Le paramètre **coffre-fort.ouvert** permet de fixer un nom à l'accès en clair des données à l'emplacement imposé par **cryptsetup**. Dès la commande exécutée les données en clair sont accessibles par l'administrateur de la machine à l'emplacement /dev/mapper/**coffre-fort.ouvert**. | </code> Le paramètre **coffre-fort.ouvert** permet, dès la commande exécutée, l'accès des données en clair par l'administrateur de la machine à l'emplacement /dev/mapper/**coffre-fort.ouvert**. |
| - Formatage en **ext4** du fichier /Data/coffre-fort.fermé au travers de **cryptsetup** en utilisant l'accès /dev/mapper/**coffre-fort.ouvert** en passant la commande : <code bash> | - Formatage en **ext4** du fichier /Data/coffre-fort.fermé au travers de **cryptsetup** en utilisant l'accès /dev/mapper/**coffre-fort.ouvert** en passant la commande : <code bash> |
| mkfs.ext4 /dev/mapper/coffre-fort.ouvert | sudo mkfs.ext4 /dev/mapper/coffre-fort.ouvert |
| </code> | </code> |
| - Montage du "coffre-fort ouvert" vers le dossier /Data/Coffre-fort en passant la commande : <code bash> | - Montage du "coffre-fort ouvert" vers le dossier /Data/Coffre-fort en passant la commande : <code bash> |
| mount -t ext4 /dev/mapper/coffre-fort.ouvert /Data/Coffre-fort | sudo mount -t ext4 /dev/mapper/coffre-fort.ouvert /Data/Coffre-fort |
| </code> | </code> |
| A partir de cette dernière commande toutes les opérations effectuées logiquement sur et dans le dossier /Data/Coffre-fort seront réellement réalisées dans le fichier /Data/coffre-fort.fermé réputé indécodable sans la clef d'encodage. | A partir de cette dernière commande toutes les opérations effectuées logiquement sur et dans le dossier /Data/Coffre-fort seront réellement réalisées dans le fichier /Data/coffre-fort.fermé réputé indécodable sans la connaissance de la clef d'encodage. |
| |
| * Le Coffre-fort pour être réellement accessible à vous l'administrateur doit avant tout usage vous en réserver la primauté. Partant du principe que vous êtes un administrateur vous allez "monter" vôtre Coffre-fort et passer la commande : <code bash> | * Le Coffre-fort pour être réellement accessible qu'à vous, en tant-qu'administrateur devez vous en attribuer l'usage exclusif en passant la commande : <code bash> |
| sudo chmod 700 /Data/Coffre-fort | sudo chmod 700 /Data/Coffre-fort |
| sudo chown $USER:$USER /Data/Coffre-fort | sudo chown $USER:$USER /Data/Coffre-fort |
| </code> | </code> Comme cela à chaque fois que vous "monterez" le coffre-fort et vous sera automatiquement attribué ! |
| * Il est bien sur utile de réaliser le la fermeture du Coffre-fort pas les commandes :<code bash> | * Il est bien sur utile de réaliser la fermeture du Coffre-fort pas les commandes :<code bash> |
| umount /Data/Coffre-fort | sudo umount /Data/Coffre-fort |
| cryptsetup luksClose /dev/mapper/coffre-fort.ouvert | sudo cryptsetup luksClose /dev/mapper/coffre-fort.ouvert |
| </code> | </code> |
| |
| </adm> | </adm> |
| | ++++ |
| | ++++ Bonus sur l'encodage| |
| | <adm note Bonus sur l'encodage> |
| | **cryptsetup** permet de disposer d'options supplémentaires. |
| | * Infos sur un fichier encodé dans notre cas en passant la commande : <code bash> |
| | cryptsetup luksDump /Data/coffre-fort.fermé |
| | </code> |
| | * Ajout d'une clef encodage/décodage en passant la commande : <code bash> |
| | sudo cryptsetup luksAddKey /Data/coffre-fort.fermé |
| | </code> |
| | * suppression d'une clef encodage/décodage en passant la commande : <code bash> |
| | sudo cryptsetup luksKillSlot /Data/coffre-fort.fermé <numero_de_slot> |
| | </code> |
| | </adm> |
| | ++++ |
| <adm tip Utilisation du Coffre-fort au quotidien> | <adm tip Utilisation du Coffre-fort au quotidien> |
| | Au quotidien 2 opérations sont utiles pour ce coffre-fort |
| | * Ouverture du coffre-fort : <code bash> |
| | sudo cryptsetup luksOpen /Data/coffre-fort.fermé coffre-fort.ouvert |
| | sudo mount -t ext4 /dev/mapper/coffre-fort.ouvert /Data/Coffre-fort |
| | </code> |
| | * Fermeture du coffre-fort : <code bash> |
| | sudo umount /Data/Coffre-fort |
| | sudo cryptsetup luksClose /dev/mapper/coffre-fort.ouvert |
| | </code> |
| | </adm> |
| | <adm information Excès de zèle> |
| | Dans l'exemple de cet article le **Coffre-fort** et son support **coffre-fort.fermé** se situent dans le dossier /Data qui est accessible que par l'administrateur de la machine (mode parano). Il est possible de placer **Coffre-fort** dans son Dossier Personnel et d'avoir son **coffre-fort.fermé** sur un support connecté à sa machine (clef USB, disque dur USB, dossier distant). |
| | |
| | Pour adapter l'exemple de l'article |
| | |
| |
| </adm> | </adm> |
