Séparation de l'acces au données

paul200 · Février 21, 2016, 8:55pm

Bonjour
Je souhaite savoir s’il est possible sous debian d’avoir une configuration qui limite l’accès au données sur un disque externe au profil utilisateur ou alors que l’utilisateur sois muni d’un login/ pwd.
Faut il pour avoir ce type de configuration passer obligatoirement par du cryptage ?

Si cela est possible qu’elle est la configuration à réaliser sur le disque.

Je m’explique : j’ai un disque ou je souhaite avoir une séparation des données :
-photos

video
administration
etc …

Les accès aux données ne dois être permis qu’à certain utilisateurs.
Cette séparation est a faire sur un disque externe.

Merci a vous

jelopo · Février 21, 2016, 8:55pm

Bonjour,

La gestion classique des droits utilisateur/groupe n’est pas suffisante ?

$ man chown $ man chmod

A+

PascalHambourg · Février 21, 2016, 8:55pm

Si le disque externe peut être connecté à une autre machine sur laquelle quiconque a un accès root, ce n’est pas suffisant.

jelopo · Février 21, 2016, 8:56pm

Bonjour,

Si la gestion au niveau des répertoires par les droits clasiques “ugo” n’est pas suffisante,
il est possible d’ajouter de la sécurité d’accès aux données en chiffrant les répertoires avec encfs.

(Pour plus d’infos voirs tutos sur le Net)

A+

etxeberrizahar · Février 21, 2016, 8:56pm

Pas de recette prête à l’emploi à te souffler. Il devrait être possible de coupler cryptmount et libpam-mount pour obtenir un système de fichiers qui se décrypte au login.

Système de fichiers
packages.debian.org/wheezy/cryptmount

Management of encrypted file systems

cryptmount is a utility for creating encrypted filesystems & swap partitions and which allows an ordinary user to mount/unmount filing systems without requiring superuser privileges.

It offers the following features:

easy and safe on-demand access to filesystems without su/sudo;

access passwords can be changed easily without involving the sys-admin;

filesystems can reside on raw disk partitions or ordinary files;

supports LUKS encrypted filesystems created by cryptsetup.

encrypted access keys can be stored on removable media
(e.g. USB flash disks);

includes support for encrypted swap partitions;

multiple filesystems can be stored in a single disk partition;

encrypted filesystems can be initialized at boot-up or on demand;

temporary filesystems can be setup via command-line,
for use in shell-scripts;

transparent configuration of dm-crypt & loopback devices during mounting;

access keys can optionally be made compatible with OpenSSL;

Montage au login :
packages.debian.org/wheezy/libpam-mount

[quote]
PAM module that can mount volumes for a user session

This module is aimed at environments with central file servers that a user wishes to mount on login and unmount on logout, such as (semi-)diskless stations where many users can logon.

The module also supports mounting local filesystems of any kind the normal mount utility supports, with extra code to make sure certain volumes are set up properly because often they need more than just a mount call, such as encrypted volumes. This includes SMB/CIFS, FUSE, dm-crypt and LUKS. [/quote]
Installe-les pour pouvoir lire les exemples, guides et fichiers README disponibles en /usr/share/doc.

hybridemoineau · Février 21, 2016, 8:56pm

[quote=“etxeberrizahar”]Pas de recette prête à l’emploi à te souffler. Il devrait être possible de coupler cryptmount et libpam-mount pour obtenir un système de fichiers qui se décrypte au login.
[/quote]

Effectivement, c’est ce que je fait. J’ai un disque dur externe usb crypté qui se monte en home sur les différents pcs que j’utilise, qui contient toutes mes données et fichiers de config, à condition d’entrer le bon login et le bon mot de passe (le même pour l’utilisateur et le décryptage)

Voici mes notes (désolé, je n’ai pas le temps de faire plus), en sachant qu’il faut crypter ton disque dur avant

intaller le paquet libpam-mount et cryptsetup-luks
retirer les références au disque dur externe dans /etc/fstab et /etc/crypttab
donner à l’utilisateur qui a acces au disque dur externe le même mot de passe que celui de la partition cryptée
éditer le fichier /etc/security/pam_mount.conf.xml, juste avant la dernière ligne (/pam mount)

Fonctionne mal avec la mise en veille, mais fonctionne avec l’hibernation à condition de ne pas brancher le disque dur externe sur un autre pc entre l’entrée et la sortie en hibernation, ce qui provoque des plantages profonds)

En cas de basculement sur un autre utilisateur, avant toute reconnection au compte du disque crypté, effectuer les manips suivantes, dans l’ordre:

tuer les processus de l’utilisateur précédent: su -c "kill -9 ps -u <username> -o "pid=""
démonter le disque crypté en tant que home : su -c “umount /home”
fermer le disque crypté : su -c “cryptsetup luksClose nomdudisque”
démonter tous les périphériques amovibles : su -c “umount -a”

Les pages qui m’avaient servi:
La première, plutôt pour le cryptage du disque
linuxpedia.fr/doku.php/exper … cryptsetup

La seconde est HS, plutôt pour le montage, copier collé

[quote]Crypter son disque dur avec LUKS

De nos jours, de plus en plus de personnes utilisent des portables et il peut s’avérer intéressant de crypter les données de son disque dur en cas de perte ou de vol de son matériel. dm_crypt permet justement d’encrypter son disque dur et voici comment faire …

Avant toute chose, nous allons installer le paquet cryptsetup :

apt-get install cryptsetup

puis charger les modules si nécessaire :

modprobe dm_crypt

modprobe dm_mod

modprobe aes

Sur mon macbook pro, sur lequel j’ai installé Debian, j’ai une partition dédiée pour mes données sensibles (celle-ci se nomme /dev/sda6).

Nous devons la formater afin de pouvoir bénéficier du cryptage. Procédons à son formatage qui va supprimer toutes les données de la partition en question :

cryptsetup luksFormat /dev/sda6

La partition NE DOIT PAS ETRE MONTEE, si c’est le cas pensez à la démonter avant :

umount /dev/sda6″

Une fois la partition formatée, utilisons ces deux commandes :

cryptsetup luksOpen /dev/sda6 confidential

Ceci va “ouvrir” la partition cryptée après avoir validé le mot de passe ou à l’aide de l’option --key-file (cf. man cryptsetup). Ceci créé également un “mapping” de la partition sda6 en /dev/mapper/confidential.

Nous devons ensuite créer un système de fichier sur ce mapping :

mkfs.xfs /dev/mapper/confidential

Ici le système de fichier choisi est XFS mais vous auriez pu également utiliser mkfs.ext3, mkfs.ext4 ou tout autre système de fichiers que vous affectionnez.

Maintenant, montons la partition cryptée :

mount -t xfs /dev/mapper/confidential /mnt

Maintenant, tous les fichiers copiés dans /mnt seront automatiquement cryptés et ne pourront être lus sans le mot de passe pour dévérouiller la partition cryptée.

Pour démonter la partition :

umount /mnt

cryptsetup luksClose confidential

Maintenant, il serait intéressant de monter automatiquement la partition au démarrage de votre portable. Pour cela, il faut éditer le fichier /etc/crypttab ainsi :

confidentail /dev/sda6 none luks

Puis le fichier /etc/fstab de la sorte :

/dev/mapper/confidential /mnt xfs defaults 0 1

Ainsi à chaque démarrage de votre machine, votre mot de passe LUKS vous sera demandé afin de monter la partition.
[/quote]