Chiffrer un dossier sous Bullseye (ecryptfs ?)

Bonjour à tous,

je me prépare à réinstaller mon système.
Jusqu’à là, en utilisant Buster ou les versions précédentes, j’ai utilisé ecryptfs pour créer un dossier chiffré dans ma /home où je mettais entre autre, les dossiers du profile de Icedove, Iceweasel etc (les données « sensibles », quoi).

Je me demande si l’utilisation de cette méthode est encore d’actualité ou bien il y en a d’autres plus appropriées et à l’ordre du jour.

Je ne souhaitais chiffrer toute la /home ou le système en entier pour des questions de performance (mais c’est vrai qu’avec un SSD, c’est peut être inutile ?) et de commodité d’utilisation au quotidien (le dossier chiffré était déchiffré en mettant mes identifiants au login, par PAM), voire aussi de récupération en cas de pépin.

J’exclue l’utilisation de Veracrypt car elle n’est pas adapté pour chiffrer des dossier/fichiers qui sont menées à être utilisés (comme je disais, le profile de FF, par exemple).

J’avais fait à peu près comme ça avant : ecryptfs : Chiffrer son dossier personnel - Wiki - Wiki

Je reste sur cette méthode ou bien vous en avez des plus sûres/performantes/pratiques à conseiller ?

PS. je n’ai pas spécifié, mais concernant ma politique de sécurité des données, je ne cherche pas la sécurité optimale (sinon, voilà, TAILS et puis c’est tout mais juste un compromis avec une petite attention à la sécurité des données tout en préservant un confort d’utilisation quotidien.

Ahh, j’oubliais, dans un deuxième temps, j’aimerais aussi pouvoir synchroniser certains fichiers entre plusieurs machines avec Syncthing (pas forcement ceux chiffrés), du coup, c’est pour cela aussi que je suis réticente à vouloir tout chiffrer…

Merci beaucoup

Bonjour,

ecryptfs (http://en.wikipedia.org/wiki/Filesystem-level_encryption) est un système de fichier de chiffrement basé sur les fichiers alors que dm-crypt (https://wiki.archlinux.org/index.php/Dm-crypt) est un système de chiffrement de bloc.

La notion de sécurité optimale n’existe pas sauf chez les marketeux

L’inconfort d’utilisation de données sécurisé est en général du à l’inadaptation de la configuration, ou plus vulgairement, à l’usine à gaz de la configuration.

si tu utilise dm-crypt, avec un système entièrement chiffré, tu n’a pas de problématique de synchronisation (le système en démarrant à déchiffré les partitions) si tu as fait du LVM onLUKS par exemple. l’inverse serait idiot d’ailleurs en terme performance en particulier.
je pense que c’est un peu plus compliqué à faire avec ecryptfs, mais je ne connais pas assez. Personnellement j’utilise dm-crypt avec du LVM on LUKS et je n’ai aucun problème d’inconfort quel qu’il soit. d’autant qu’il est possible désormais d’utiliser une clé USB par exemple pour que la gestion du mot de passe soit simplifiée (le système regarde s’il y a la clef avec le bon mot de passe ou la clef, et sinon il demande un mot de passe) ce qui permet d’utiliser un clef nitokey ou yubiko ou autre du moment que c’est compatible linux

Merci de ta réponse,

oui j’aurais du dire que j’utilise ecryptfs-utils, bon on s’est compris, je crois.
En tout cas, je ne chiffre qu’un dossier et pas tout le disque.

Toi tu conseilles donc l’installation avec le disque chiffré en entier ?
Celle qui est proposé par l’installateur Debian ?

J’avoue, comme je disais dans un autre post, avoir galéré pour faire marcher le dual-boot du coup à cause de LVM (mais ça date, je ne me souviens plus c’était quoi les problèmes exactes --mais résolus).

En plus dans ma future install j’aurai trois disques : sda un SSD avec / (sda1) et /home (sda2), un SSD avec le système Windows (sdb1), un HDD avec une /home/donnees sdc1 (montée directement par fstab, comme on en discutait dans un autre post) et une partie pour Windows sdc2…et entre autre j’aimerais pouvoir récupérer les données de la /home de l’ancienne install qui sont sur sdc3…j’ai peur que ça devienne le bordel

Quels sont à ton avis les points négatifs d’avoir un dossier chiffré avec ecryptfs ?

Il semblerait que ce n’est plus développé, c’est ça ?

src : fscrypt - ArchWiki

Du coup, à défaut de chiffrer tout le disque, il vaut mieux se diriger vers fscrypt si je comprends bien ?

[quote]The preffered way to get encrypted disks, these days, is to do full disk encryption using LUKS.

If per-directory encryption is required, it is recommended to use fscrypt support in e.g. ext4.

Support for installing using ecryptfs encrypted /home has been disabled in the installers.

Please demote ecryptfs-utils to universe for bionic+[/quote]

Il semblerait pourtant que fscrypt ne chiffre pas les métadonnées des fichiers ?
https://www.malekal.com/quelles-solutions-pour-chiffrer-ses-disques-et-donnees-sur-linux/

Ah oui, le système avec une clé USB à la place du mdp, je m’en étais intéressée il y a plusieurs années…après ce que je trouve un peu bête, c’est que du coup le risque potentiel est de laisser la clé avec l’ordi…et en cas de vol par exemple, ça faciliterait les choses pour le déchiffrage…

Ce qui me freine dans l’installation avec disque chiffré c’est qu’en cas de problèmes hardware du disque la récupération des données serait impossible du coup, même en ayant les pass-phrases. Mais bon c’est une éventualité assez lointaine finalement…

Faut que je me décide vite, ma clé d’installe est prête

Merci en tout cas

Oui je confirme fscrypt c’est mieux. l’intérêt du disque entièrement chiffré c’est que tout est chiffré et donc il n’y a pas de « fuites ».
dans le chiffrage d’un disque, la difficulté c’est le /boot.
en effet, GRUB2 et LUKS2 ne sont pas compatible en mode standard sauf à utiliser PBKDF2 comme fonction de dérivation de clé au lieu de Argon2 qui est la valeur par défaut de l’installeur Debian(et qui ne permet pas de le changer).
je crois qu’il est possible de le faire en utilisant le PBKDF2, ce qui permet de chiffrer le /boot aussi (et dans le cas d’une machine non EFI de n’avoir qu’un seul disque chiffré LUKs avec des partitions LVM2 quelque soit ce que l’on veut (perso j’utilise swap, /, /boot, /home, /var, /var/log, /var/log/audit, /var/tmp, /tmp).

J’avais commencé à essayer de le faire, mais l’installeur, y compris en mode preseed, ne permet pas de le faire directement.
Il faut donc faire une installation avec /boot à l’extérieur de la partition LUKS2.
Puis une fois le système opérationnel, modifier la fonction de dérivation de clef, intégrer la partition /boot et modifier GRUB.
l’opération n’est pas simple, et le risque principal est de flinguer les données ou le chiffrement LUKS.

Actuellement, j’ai une machine avec deux disque, l’un avec /dev/sda1 pour /boot, et /dev/sda2 pour LUKS dans lequel se trouve toutes les autres partitions avec LVM. j’ai ensuite intégré le deuxième disque avec le même chiffrement, que j’ai ajouté au volume physique, et le volume group du LVM.

de la même façon, j’avais utilisé les deux disques en RAID1 sur lequel /dev/sda2 etait chiffré dans lequel ensuite LVm état configuré:

+------+------+-----+------------+
| RAID | LUKS | LVM | Partitions |
|      |      |     +------------+
|      |      +------------------+
|      +-------------------------+
|      | /boot                   |
|      +-------------------------+
+--------------------------------+

Merci pour la réponse,

effectivement, en considérant mes besoins de sécurité et les contraintes hardware (et windowsienne), je crois que je vais rester sur l’idée du dossier chiffré pour éviter les galères…

je me renseigne mieux sur fscrypt du coup !

ca ne change rien pour un dual boot

tu peux très bien avoir un disque mettoins de 1 To. Tu installe ton windows sur les 500 premiers Go par exemple. Puis tu utilise les 500 restant pour ton debian, avec le chiffrement Luks de la partition système (hors /boot).

Ca marche très bien, c’est ce que j’avais sur mon PC perso, et maintenant j’ai juste 2 disques SSD (2To+1To) sur la partie windows et 1 disque nvme 1To sur mon linux debian 11 chiffré.
Après j’ai encore 1 SSD de 1tO et 1 Hybrid de 1To de dispo encore