Chapitre 3. Système de fichiers chiffré
Red Hat Enterprise Linux 6 offre un aperçu technologique de eCryptfs, un « pseudo-système de fichiers » qui fournit le chiffrage des données et des noms de fichiers basé sur fichier. Le terme « pseudo-système de fichiers » fait référence au fait qu'eCryptfs ne possède pas de format sur disque. Il s'agit plutôt d'une couche de système de fichiers qui réside sur un système de fichiers réel. La couche eCryptfs offre des capacités de chriffrement.
eCryptfs fonctionne comme un montage de liaison en interceptant les opérations de fichier qui écrivent sur le systèmes de fichier sous-jacent (qui est chiffré). La couche eCryptfs ajoute un en-tête aux métadonnées des fichiers dans le système de fichiers sous-jacent. Ces métadonnées décrivent le chiffrement de ce fichier et eCryptfs chiffre les données du fichier avant que celui-ci ne soit passé au système de fichiers chiffré. Optionnellement, eCryptfs peut aussi chiffrer les noms de fichiers.
eCryptfs n'est pas un système de fichiers sur disque. Ainsi, il n'est pas nécessaire de le créer via des outils tels que
mkfs. Au contraire, eCryptfs est initié par l'exécution d'une commande de montage particulière. Pour gérer des systèmes de fichiers protégés par eCryptfs, le paquet ecryptfs-utils doit tout d'abord être installé.
3.1. Monter un système de fichiers comme chiffré
Pour chiffrer un système de fichiers avec eCryptfs, veuillez exécuter la commande suivante :
# mount -t ecryptfs /source /destination
Chiffrer une hiérarchie de répertoires (
/source dans l'exemple ci-dessus) avec eCryptfs signifie le monter sur un point de montage chiffré par eCryptfs (/destination dans l'exemple ci-dessus). Toutes les opérations sur /destination seront passées chiffrées au système de fichiers sous-jacent /source. Cependant, dans certains cas, il peut être possible pour une opération de fichier de modifier /source directement, sans passer par la couche eCryptfs, ce qui pourrait mener à des incohérences.
C'est pourquoi Red Hat recommande, pour la plupart des environnements, que les noms des répertoires
/source et /destination soient identiques. Par exemple :
# mount -t ecryptfs /home /home
Cela signifie le chiffrage et le montage d'un système de fichiers sur lui-même. Ce faire permet de s'assurer que ţoutes les opérations de fichier sur
/home passent effectivement via la couche eCryptfs.
Pendant les processus de montage et de chiffrement,
mount permettra aux paramètres suivants d'être configurés :
- Type de clé de chiffrement
openssl,tspi, oupassphrase(« phrase de passe »). Lorsque vous choisissezpassphrase,mountvous demandera une phrase de passe.- Cipher
aes,blowfish,des3_ede,cast6, oucast5.- Taille d'octets de la clé
16,32, ou24.passthrough texte clair- Activé ou désactivé.
chiffrement du nom de fichier- Activé ou désactivé.
Après la dernière étape d'un montage interactif,
mount affichera toutes les sélections effectuées et procédera au montage. Cette sortie contient les équivalences des options de ligne de commande de chaque paramètre choisi. Par exemple, pour monter /home avec un type de clé phrase de passe, un chiffrement aes, une taille d'octet de 16 avec le relais en texte clair et le chiffrement de nom de fichier désactivés, la sortie sera :
Attempting to mount with the following options: ecryptfs_unlink_sigs ecryptfs_key_bytes=16 ecryptfs_cipher=aes ecryptfs_sig=c7fed37c0a341e19 Mounted eCryptfs
Les options affichées ici peuvent être directement passées à la ligne de commande pour chiffrer et monter un système de fichiers en utilisant la même configuration. Pour ce faire, veuillez utiliser chaque option en tant qu'argument de l'option
-o de la commande mount. Par exemple :
# mount -t ecryptfs /home /home -o ecryptfs_unlink_sigs\ecryptfs_key_bytes=16 ecryptfs_cipher=aes ecryptfs_sig=c7fed37c0a341e19[2]
[2]
Ceci est une seule commande divisée sur plusieurs lignes pour accommoder les versions PDF et imprimées de ce document. Toutes les lignes concaténées — précédées d'une barre oblique inversée (\) — doivent être considérées comme formant une seule et même commande, sans barres obliques inversées.
