EncFS fournit un système de fichiers chiffré dans l'espace utilisateur. Il s'exécute sans aucune autorisation spéciale et utilise la bibliothèque FUSE et le module du noyau Linux pour fournir l'interface du système de fichiers. Il s'agit d'un système de fichiers pass-through, pas d'un périphérique de bloc chiffré, ce qui signifie qu'il est créé au-dessus d'un système de fichiers existant. Ce tutoriel montre comment vous pouvez utiliser EncFS sur Debian Jessie pour chiffrer vos données.
1 Remarque préliminaire
J'utilise le nom d'utilisateur jusqu'à sur mon système Debian Jessie dans ce tutoriel.
2 Installation d'EncFS
Connectez-vous en tant qu'utilisateur root sur votre serveur ou bureau, lorsque vous utilisez un serveur distant, vous pouvez par ex. connexion par SSH. EncFS peut être installé avec apt comme suit (nous avons besoin des privilèges root) :
apt-get -y install encfs
Vous recevrez l'avertissement suivant :
Informations sur la sécurité d'Encfs
Selon un audit de sécurité réalisé par Taylor Hornby (Defuse Security), l'implémentation actuelle d'Encfs est vulnérable ou potentiellement vulnérable à plusieurs types d'attaques. Par exemple, un attaquant disposant d'un accès en lecture/écriture aux données chiffrées pourrait réduire la complexité du déchiffrement des données chiffrées ultérieurement sans que cela ne soit remarqué par un utilisateur légitime, ou pourrait utiliser une analyse temporelle pour déduire des informations.
Jusqu'à ce que ces problèmes sont résolus, encfs ne doit pas être considéré comme un refuge pour les données sensibles dans les scénarios où de telles attaques sont possibles.
Bien qu'encfs ne soit peut-être pas une solution pour chiffrer les données des grandes organisations ou des gouvernements ou pour être utilisé sur des serveurs où des tiers ont un accès en écriture à vos données de la manière décrite ci-dessus, il doit toujours être suffisamment sécurisé pour une utilisation personnelle sur votre bureau. Veuillez en tenir compte lorsque vous décidez d'utiliser encfs.
Vous voudrez peut-être jeter un coup d'œil à la page de manuel EncFS pour vous familiariser avec ses options maintenant :
man encfs
3 Utiliser EncFS
Je vais maintenant créer les répertoires chiffrés et déchiffrés dans mon répertoire personnel :
mkdir -p ~/crypté
mkdir -p ~/décrypté
Le répertoire déchiffré sert de point de montage pour le répertoire chiffré. Pour monter ~/encrypted sur ~/decrypted, exécutez simplement :
encfs ~/chiffré ~/déchiffré
Si vous exécutez cette commande pour la première fois, l'installation d'EncFS est lancée et vous devez définir un mot de passe pour le volume chiffré :
[email protected] :~$ encfs ~/encrypted ~/decrypted
Création d'un nouveau volume chiffré.
Veuillez choisir l'une des options suivantes :
entrez "x" pour une configuration experte mode,
entrez "p" pour le mode paranoïa préconfiguré,
autre chose, ou une ligne vide sélectionnera le mode standard.
?> <-- p
Configuration paranoïa sélectionnée.
Configuration terminée. Le système de fichiers à créer a
les propriétés suivantes :
Chiffrement du système de fichiers :"ssl/aes", version 3:0:2
Encodage du nom de fichier :"nameio/block", version 3:0 :1
Taille de la clé :256 bits
Taille du bloc :1 024 octets, dont un en-tête MAC de 8 octets
Chaque fichier contient un en-tête de 8 octets avec des données IV uniques.
Noms de fichiers codés à l'aide du chaînage IV mode.
Les données de fichier IV sont chaînées au nom de fichier IV.
Les trous de fichier sont transmis au texte chiffré.
---------------------- AVERTISSEMENT -------------------- ------
L'option de chaînage de vecteur d'initialisation externe a été
activée. Cette option désactive l'utilisation de liens physiques sur le
système de fichiers. Sans liens physiques, certains programmes peuvent ne pas fonctionner.
Les programmes 'mutt' et 'procmail' sont connus pour échouer. Pour
plus d'informations, veuillez consulter la liste de diffusion encfs.
Si vous souhaitez choisir un autre paramètre de configuration,
veuillez appuyer sur CTRL-C maintenant pour abandonner et recommencer.
Maintenant, vous devrez entrer un mot de passe pour votre système de fichiers.
Vous devrez vous souvenir de ce mot de passe, car il n'y a absolument
aucun mécanisme de récupération. Cependant, le mot de passe peut être modifié
plus tard à l'aide de encfsctl.
Nouveau mot de passe Encfs :<-- saisissez un mot de passe sécurisé
Vérifiez le mot de passe Encfs :<-- saisissez un mot de passe sécurisé
[email protected] :~$
Assurez-vous de vous souvenir du mot de passe car il n'y a aucun moyen de récupérer vos données cryptées si vous oubliez le mot de passe !
Vous devriez maintenant trouver le volume EncFS dans les sorties de
monter
[email protected] :~$ mount
sysfs sur /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
proc sur /proc type proc (rw,nosuid,nodev,noexec ,relatime)
udev sur /dev type devtmpfs (rw,relatime,size=10240k,nr_inodes=125548,mode=755)
devpts sur /dev/pts type devpts (rw,nosuid,noexec,relatime ,gid=5,mode=620,ptmxmode=000)
tmpfs sur /run type tmpfs (rw,nosuid,relatime,size=204216k,mode=755)
/dev/sda1 sur /type ext4 (rw,relatime,errors=remount-ro,data=ordered,jqfmt=vfsv0,usrjquota=aquota.user,grpjquota=aquota.group)
securityfs sur /sys/kernel/security type securityfs (rw,nosuid, nodev,noexec,relatime)
tmpfs sur /dev/shm type tmpfs (rw,nosuid,nodev)
tmpfs sur /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs sur /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup sur /sys/fs/cgroup/systemd type cgroup (rw,nosuid, nodev,noexec,relatime,xattr,release_agent=/lib/systemd/systemd-cgroups-agent,name=systemd)
pstore sur /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
cgroup sur /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup sur /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup sur /sys/fs/cgroup/devices type cgroup (rw ,nosuid,nodev,noexec,relatime,devices)
cgroup sur /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup sur /sys/fs /cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime, blkio)
cgroup sur /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
systemd-1 sur /proc/sys/fs/binfmt_misc type autofs ( rw,relatime,fd=23,pgrp=1,timeout=300,minproto=5,maxproto=5,direct)
mqueue sur /dev/mqueue type mqueue (rw,relatime)
debugfs sur / sys/kernel/debug type debugfs (rw,relatime)
fusectl sur /sys/fs/fuse/ connexions type fusectl (rw,relatime)
hugetlbfs sur /dev/hugepages type hugetlbfs (rw,relatime)
rpc_pipefs sur /run/rpc_pipefs type rpc_pipefs (rw,relatime)
encfs sur /home /till/decrypted type fuse.encfs (rw,nosuid,nodev,relatime,user_id=5004,group_id=5005,default_permissions)
et
df -h
[email protected] :~$ df -h
Taille du système de fichiers utilisé % d'utilisation disponible monté sur
/dev/sda1 57G 2.2G 52G 5% /
udev 10M 0 10M 0% /dev
tmpfs 200M 4.7M 195M 3% /run
tmpfs 499M 0 499M 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 499M 0 499M 0% /sys/fs/cgroup
encfs 57G 2.2G 52G 5% /home/till/decrypted
Pour enregistrer vos données sous forme cryptée, placez vos données dans le répertoire décrypté, comme vous le feriez avec un répertoire normal :
cd ~/déchiffré
echo "hello foo"> foo
echo "hello bar"> bar
ln -s foo foo2
Si vous vérifiez le contenu du répertoire, vous verrez que vous pouvez le voir sous forme non chiffrée...
ls -l
[email protected] :~/decrypted$ ls -l
total 8
-rw-r--r-- 1 jusqu'au 10 janvier 14 10:38 bar
-rw -r--r-- 1 au 10 janvier 14 10:38 foo
lrwxrwxrwx 1 au 3 janvier 14 10:38 foo2 -> foo
[email protected] :~/decrypted$... alors que dans le répertoire chiffré, il est chiffré :
cd ~/chiffré
ls -l[email protected] :~/encrypted$ ls -l
total 8
lrwxrwxrwx 1 jusqu'au 24 janvier 14 10:38 ewoacflDuTvKLjSZxXsipVZh -> nwekRkg2xWwmUW-P3YgCFNzI
-rw-r- -r-- 1 jusqu'au 26 janvier 14 10:38 nwekRkg2xWwmUW-P3YgCFNzI
-rw-r--r-- 1 jusqu'au 26 janvier 14 10:38 r7sj2xc9OJEHk,nETdYAtMZu
[email protected] :~/$crypté
4 Monter et démonter des volumes encfs
Pour démonter le volume chiffré, exécutez :
cd
fusermount -u ~/déchiffréVérifier les sorties de...
monter... et...
df -h... et vous verrez que le volume EncFS n'est plus listé.
Pour le remonter, exécutez
encfs ~/chiffré ~/déchiffréIl vous sera demandé le mot de passe que vous avez défini précédemment :
[email protected] :~$ encfs ~/encrypted ~/decrypted
Mot de passe EncFS :<-- votremotdepassesecret
[email protected] :~$Si vous spécifiez le mot de passe correct, cela montera le répertoire ~/encrypted sur ~/decrypted à partir duquel vous pourrez accéder à vos données cryptées sous forme non cryptée. Si vous oubliez le mot de passe, vos données cryptées sont perdues !
5 Modifier le mot de passe encfs
Si vous voulez changer le mot de passe, vous pouvez le faire avec le
encfsctl passwd ~/cryptécommande.
[email protected] :~$ encfsctl passwd ~/encrypted
Entrez le mot de passe Encfs actuel
Mot de passe EncFS :<-- votremotdepassesecret
Entrez le nouveau mot de passe Encfs
Nouveau mot de passe Encfs :<-- newsecretpassword
Vérifiez le mot de passe Encfs :<-- newsecretpassword
Clé de volume mise à jour avec succès.
6 liens
- EncFS :http://www.arg0.net/encfs
- Debian :http://www.debian.org/