Attention, cet article a plus d'une année d'ancienneté. Il est possible que les informations présentées ne soient plus à jour, spécialement dans le cadre d'un article technique.
Bonjour à tous,
Toujours dans la suite des articles sur OpenMediaVault, aujourd’hui on va voir comment créer un dossier partagé chiffré avec Ecryptfs à la manière de ce qui se fait sur un synology : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/File_Sharing/How_to_encrypt_and_decrypt_shared_folders_on_my_Synology_NAS
Installation et utilisation de Ecryptfs :
Dans un premier temps, assurez-vous d’avoir suivi mon précédent article sur l’installation d’OpenMediaVault pour créer un dossier partagé.
Ici on se servira du dossier Crypted qui se trouve dans (bien sûr le dossier est et doit rester vide pour le moment) :
/media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/
Une fois votre dossier créer, installez Ecryptfs avec la commande suivante :
apt-get install ecryptfs-utils
Faites une sauvegarde de votre dossier si nécessaire, sinon, on se lance directement dans le chiffrement du dossier avec la commande suivante :
mount -t ecryptfs /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/ /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/
Ici on va chiffrer les fichiers avec de l’AES-256, suivez ce cheminement :
root@openmediavault:~# mount -t ecryptfs /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/ /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/ Select key type to use for newly created files: 1) passphrase 2) tspi Selection: 1 Passphrase: Select cipher: 1) aes: blocksize = 16; min keysize = 16; max keysize = 32 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 Selection [aes]: 1 Select key bytes: 1) 16 2) 32 3) 24 Selection [16]: 32 Enable plaintext passthrough (y/n) [n]: n Enable filename encryption (y/n) [n]: n Attempting to mount with the following options: ecryptfs_unlink_sigs ecryptfs_key_bytes=32 ecryptfs_cipher=aes ecryptfs_sig=bc69feaf7de58b90 Mounted eCryptfs
Et voilà, votre dossier chiffré est monté. Pour tester son bon fonctionnement, mettez un fichier de test dedans et remplissez-le.
Par exemple :
Maintenant, fermez le fichier et démontez le partage chiffré avec la commande suivante :
umount /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/
Rouvrez le fichier et vous verrez quelque chose dans ce style :
Si cela marche, félicitations votre dossier est bien chiffré 🙂
Maintenant, on va se faire un petit mémo avec une commande qui contient toutes les options avec lesquelles ont a créer notre partage histoire de ne pas tout refaire à chaque fois :
mount -t ecryptfs /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/ /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/ -o ecryptfs_cipher=aes,ecryptfs_key_bytes=32,key=passphrase
Réentrez simplement votre passphrase et tous vos fichiers reviendront en clair 🙂
Bonus : Démontage automatique
Ici, on ne va pas faire un démontage automatique à la fermeture de SSH, chez moi ça n’aurait aucun sens.
Généralement, je me sers de mes fichiers sur cette partition chiffrée quelques jours dans la semaine et je ne travaille jamais la nuit. J’ai donc fait un cron pour que le partage se démonte automatiquement tous les soirs à minuit pile histoire d’éviter de laisser des données sensibles déchiffrées qui traînent pour rien.
Ouvrez votre cron en tant que root :
crontab -e
Et ajoutez ceci :
0 0 * * * umount /media/d866791b-fb82-4698-ba2b-3c7f737fde12/Data/crypted/
Et c’est tout pour aujourd’hui 🙂