Chapitre 34. Sécurité sous Linux / 34.3. Chiffrer des partitions et des fichiers | ||||
|---|---|---|---|---|
 | 34.2. SSH – travailler en réseau en toute sécurité | 34.4. Sécurité et confidentialité |  | |
Chapitre 34. Sécurité sous Linux / 34.3. Chiffrer des partitions et des fichiers | ||||
|---|---|---|---|---|
| 34.2. SSH – travailler en réseau en toute sécurité | 34.4. Sécurité et confidentialité | | |
Chaque utilisateur possède certaines données confidentielles auxquelles les tiers ne sont pas censés pouvoir accéder. Plus vous travaillez en réseau et plus vous vous déplacez souvent, plus vous devriez être méfiant à propos de vos données. Le chiffrement des fichiers ou de partitions entières se justifie toujours lorsque les tiers ont accès au système, que ce soit au moyen d'une connexion réseau ou en y accédant physiquement. La liste suivante décrit quelques scénarios d'utilisation que l'on peut envisager.
Si vous voyagez avec votre ordinateur portable, il peut être très judicieux de chiffrer les partitions sur le disque dur qui contient des données confidentielles. Si vous perdez votre ordinateur portable ou si on vous le vole, vos données sont à l'abri des indiscrétions au sein d'un système de fichiers chiffré ou d'un fichier chiffré unique.
Les clés USB ou les disques durs externes risquent d'être volés, tout comme les ordinateurs portables. Un système de fichiers chiffré vous offre une protection contre les tiers dans ces cas.
YaST propose de chiffrer des fichiers ou des partitions aussi bien pendant l'installation que sur un système déjà installé. On peut toujours créer un fichier chiffré, car il s'intègre sans problème à un schéma de partitionnement existant. Pour chiffrer une partition entière, vous devez dédier une partition à cet effet dans le schéma de partitionnement. La proposition de partitionnement standard telle que la suggère YaST ne prévoit pas, par défaut, de partition chiffrée. Ajoutez-la à la main dans la boîte de dialogue de partionnement.
![[Warning]](admon/warning.png) | Saisie du mot de passe |
|---|---|
Observez les avertissements sur la sécurité du mot de passe lorsque vous créez le mot de passe des partitions chiffrées et retenez-le bien. Sans le mot de passe, il est impossible d'accéder aux données chiffrées. | |
La boîte de dialogue de partitionnement en mode expert décrite dans la section Section 2.7.5, « Partitionnement » offre les options nécessaires pour créer une partition chiffrée. Cliquez sur comme lors de la création d'une partition normale. Dans la boîte de dialogue qui apparaît, saisissez les paramètres de partitionnement de la nouvelle partition, tels que le type de formatage et le point de montage souhaités. Terminez la création en cliquant sur . Dans la boîte de dialogue suivante, définissez le mot de passe et répétez-le pour des raisons de sécurité. La nouvelle partition chiffrée est créée dès que la boîte de dialogue de partitionnement est achevée en cliquant sur . Le système d'exploitation demande ce mot de passe à l'utilisateur lors de l'amorçage, avant que la partition ne puisse être montée.
Si vous ne souhaitez pas monter la partition chiffrée au cours du démarrage, appuyez sur Entrée lorsque vous êtes invité à saisir le mot de passe. Puis déclinez l'offre de saisir le mot de passe à nouveau. Le système de fichiers chiffré n'est pas monté dans ce cas et le système d'exploitation continue à amorcer, ce qui est le moyen le plus sûr de protéger vos données. La partition est à la disposition de tous les utilisateurs une fois qu'elle a été montée.
Si le système de fichiers chiffré ne doit être montré que quand
c'est nécessaire, cochez dans la boîte de dialogue . La partition correspondante ne sera pas montée pendant le
démarrage du système. Pour la mettre à disposition par la suite, montez-la
manuellement avec
mount nom_de_la_partition point_de_montagenom_de_la_partition pour
éviter que d'autres utilisateurs ne puissent y obtenir accès.
| Activer le chiffrement sur un système en cours de fonctionnement |
|---|---|
Il est également possible de créer des partitions chiffrées sur un système en cours de fonctionnement, de la même manière que pendant l'installation. Toutefois, le chiffrement d'une partition existante détruit toutes les données qu'elle contient. | |
Sur un système en cours de fonctionnement, choisissez + dans le Centre de Contrôle de YaST. Cliquez sur pour continuer. Au lieu de choisir , comme mentionné ci-dessus, cliquez sur . Le reste de la procédure est identique.
Tout comme on peut utiliser une partition, il est possible de créer des systèmes de fichiers chiffrés à l'intérieur de fichiers séparés qui contiendront des données confidentielles. Ceux-ci sont créés à partir de la même boîte de dialogue de YaST. Choisissez et saisissez le chemin du fichier à créer ainsi que sa taille prévue. Acceptez les paramètres proposés pour le type de formatage et le type de système de fichiers. Indiquez ensuite le point de montage et décidez si le système de fichiers chiffré devra être monté au cours de l'amorçage.
Les fichiers chiffrés présentent l'avantage de pouvoir être ajoutés sans modification du partitionnement du disque dur. Ils sont montés comme un périphérique virtuel (loop device) et se comportent alors comme des partitions normales.
L'utilisation de partitions chiffrées présentent un inconvénient : pendant que
cette partition est montée, l'utilisateur root, au moins, peut accéder aux données.
Pour éviter cette situation, il est possible d'utiliser vi en mode chiffré.
Utilisez vi -x nom_de_fichier
pour éditer un nouveau fichier. vi vous demandera un mot de passe puis chiffrera
le contenu du fichier. Lorsque vous accéderez à nouveau à ce fichier, vi vous
demandera le mot de passe correct.
Pour une sécurité encore plus importante, vous pouvez mettre votre fichier texte chiffré dans une partition déjà sécurisée. Ceci est utile car le mécanisme de chiffrement utilisé dans vi est connu pour ne pas être très solide.
Les supports amovibles, comme les disques dur externes ou les clés USB sont reconnus par YaST comme tout autre disque dur. Il est possible de chiffrer des fichiers ou des partitions sur de tels supports en procédant comme décrit ci-dessus. Ne choisissez pas de monter ces supports pendant l'amorçage, car il ne sont en principe mis en place qu'au cours du fonctionnement du système.
