Chiffrer un container sans droits root

Bonjour,
j’ai un utilisateur qui n’a aucun droit sudo, su, etc…
je voudrais que cet utilisateur puisse néanmoins chiffrer un container (un répertoire dans lequel je peux mettre des fichiers).
eCryptfs et Zulucrypt nécessitent tous les deux des droits root pour être utilisés (en partie du au fait de pouvoir monter ensuite le container).
Mais apparemment il semble que ce ne soit pas possible.

je vois pas bien l’objectif :confused:
est-ce que le fait que ça soit un container change vraiment les choses ?
est-ce que le dossier/partition est déverrouillé en permanence ? si c’est en permanence, root y aura accès.
à ma connaissance on peut chiffrer des fichiers, des dossiers, ou des partitions. à partir de là les choix sont restreints.
il est possible de déverrouiller un volume luks en insérant une clé usb contenant la passphrase mais il faut un accès physique.
est-ce que le fait que ça doit être fait coté utilisateur est une nécessité ? est-ce que la mise en place de sudo est impossible ?

Est-ce que ça doit être géré au niveau du système ou de l’appli. Par exemple, avec Nextcloud, il me semble que l’utilisateur peut générer un clé de chiffrement donc les données ne sont pas en clair coté serveur.

Pour avancer creuser le sujet, il faudrait plus d’infos sur le Schmilblick

1 J'aime

Oui parce que je veux juste pouvoir y mettre quelques fichiers pour lesquels il n’est pas nécessaire que ceux-ci soient visible, car très confidentiels.
Le dossier n’est pas déverrouillé en permanence. Ce n’est pas une partition.

Ca se fait les doigts dans le nez avec zulucrypt. Mais zulucrypt nécessite d’avoir les droits root donc sudo.

La VM est dédiée à une utilisation précise qui ne peut se faire à distance (le paramétrage empêche de pouvoir l’utiliser à distance).
C’est simplement un container chiffré que je veux pouvoir ouvrir sans avoir de droit root. Mais le fait d’avoir à monter ce container implique apparemment d’avoir des droits root (sudo) pour le faire.

L’objectif de ne pas avoir de droit root sur ce user est d’éviter toute possibilité d’escalade de droit.

Bonjour.
De ce que je comprends, tu pourrais utiliser/configurer la commande doas (à installer). Tu configures pour cet usager juste le droit d’exécuter la commande concernée…

Ou avec sudo c’est pareil. Mais c’est justement là le soucis, je cherche en premier une solution qui ne nécessite pas d’élévation de droit.
Mais apparemment il n’en existe pas.
Ce qui est intéressant car cela signifie qu’un utilisateur lambda ne peut pas faire de chiffrement de ses données facilement (au delà du fichier par fichier).

Bon en fait, j’avais pris pour du sudo un action qui relevait en fait de polkit. Donc le sujet est clos, car je ne voulais ni sudo ni doas :slight_smile: