4.3. Codage des partitions et des fichiers

Tout utilisateur dispose de certaines données confidentielles dont l'accès doit être interdit aux tiers. Plus vous travaillez en réseau ou plus vous vous déplacez, plus vous devez traiter ces données avec précaution. Le codage de fichiers ou de partitions entières est recommandé si d'autres personnes y ont accès par une connexion réseau ou un accès physique direct.

[Warning]les supports codés offrent une protection limitée

Attention : les méthodes décrites dans cette section ne permettent pas de protéger votre système contre les tentatives d'attaque lorsqu'il est actif. Après le montage réussi des supports codés, tout utilisateur doté des autorisations adéquates peut y accéder. Le codage de support prend tout son sens si vous perdez votre ordinateur ou s'il est volé et que des utilisateurs non autorisés souhaitent lire vos données confidentielles.

Voici un certain nombre de scénarios d'utilisation possibles.

Ordinateurs portables

Si vous vous déplacez avec votre ordinateur portable, il peut s'avérer judicieux de coder les partitions du disque dur contenant des données confidentielles. Si vous perdez votre ordinateur portable ou s'il est volé, vos données seront protégées si elles sont stockées dans un système de fichiers codé ou dans un fichier codé unique.

Supports amovibles

Les lecteurs flash USB ou les disques durs externes sont tout aussi susceptibles d'être volés que les ordinateurs portables. Un système de fichiers codé fournit une protection contre un accès tiers.

Postes de travail

Dans les entreprises où presque tout le monde a accès à votre ordinateur, il peut s'avérer utile de coder une partition ou des fichiers individuels.

4.3.1. Configuration d'un système de fichiers codé avec YaST

YaST permet de coder des fichiers ou des partitions au cours de l'installation, ainsi que sur un système déjà installé. Un fichier codé peut être créé à tout moment car il s'adapte parfaitement à tout schéma de partitionnement existant. Pour coder intégralement une partition, dédiez la partition en question dans le schéma de partitionnement. La proposition de partitionnement standard de YaST ne comprend pas de partition codée par défaut. Ajoutez-la manuellement dans la boîte de dialogue de partitionnement.

4.3.1.1. Création d'une partition codée au cours de l'installation

[Warning]saisie du mot de passe

Prenez en compte les avertissements sur la sécurité par mot de passe lorsque vous définissez le mot de passe des partitions codées et mémorisez-le correctement. Sans le mot de passe, vous ne pouvez ni accéder aux données codées, ni les restaurer.

Décrite à la Section 2.9.5, « Partitionnement » (↑Démarrage), la boîte de dialogue YaST de partitionnement pour experts propose les options nécessaires à la création d'une partition codée. Cliquez sur Créer comme pour créer une partition normale. Dans la boîte de dialogue qui apparaît, entrez les paramètres de la nouvelle partition, notamment le formatage et le point de montage souhaités. Achevez le processus en cliquant sur Système de fichiers crypté. Dans la boîte de dialogue suivante, entrez deux fois le mot de passe. La nouvelle partition codée est créée dès que vous cliquez sur OK pour fermer la boîte de dialogue de partitionnement. Lors du démarrage, le système d'exploitation demande le mot de passe avant de monter la partition.

Si vous ne souhaitez pas monter la partition codée au démarrage, appuyez sur Entrée lorsque vous êtes invité à saisir le mot de passe. Refusez ensuite d'entrer à nouveau le mot de passe. Dans ce cas, le système de fichiers codé n'est pas monté et le système d'exploitation poursuit le démarrage en bloquant l'accès à vos données. La partition est disponible à tous les utilisateurs dès qu'elle a été montée.

Si le système de fichiers codé ne doit être monté qu'au cas par cas, activez Ne pas monter au démarrage du système dans la boîte de dialogue Options Fstab. La partition correspondante ne sera pas montée lors du démarrage du système. Pour la rendre disponible ultérieurement, montez-la manuellement avec mount nom de la partition point de montage. Entrez le mot de passe lorsque vous y êtes invité. Après avoir terminé votre travail sur la partition, démontez-la avec umount nom de la partition pour empêcher les autres utilisateurs d'y accéder.

4.3.1.2. Création d'une partition codée sur un système en cours d'exécution

[Warning]activation du codage sur un système en cours d'exécution

Il est également possible de créer des partitions codées sur un système en cours d'exécution, notamment au cours de l'installation. Cependant, le codage d'une partition existante détruit toutes les données qu'elle contient.

Sur un système en cours d'exécution, sélectionnez Système+Partitionnement dans le centre de contrôle YaST. Cliquez sur Oui pour poursuivre. Au lieu de sélectionner Créer comme dans la procédure ci-dessus, cliquez sur Modifier. Le reste de la procédure est identique.

4.3.1.3. Installation de fichiers codés

Au lieu d'utiliser une partition codée, vous avez la possibilité de créer des systèmes de fichiers codés au sein de fichiers individuels pour conserver des données confidentielles. Ces derniers sont créés à partir de la même boîte de dialogue YaST. Sélectionnez Fichier chiffrement et entrez le chemin du fichier à créer ainsi que la taille souhaitée. Acceptez les paramètres de formatage proposés et le type de système de fichiers. Indiquez ensuite le point de montage et si le système de fichiers codé doit être monté au démarrage du système.

L'avantage des fichiers codés est qu'ils peuvent être ajoutés sans repartitionner le disque dur. Ils sont montés à l'aide d'un périphérique de bouclage (loop) et se comportent comme des partitions normales.

4.3.1.4. Utilisation de vi pour coder des fichiers

L'utilisation de partitions codées présente un inconvénient. En effet, tant que la partition est montée, l'utilisateur root peut toujours accéder aux données. Pour contourner ce problème, vous pouvez utiliser vi en mode codé.

Utilisez vi -x nom de fichier pour modifier un nouveau fichier. vi vous demande de définir un mot de passe et code ensuite le contenu du fichier. Chaque fois que vous accédez à ce fichier, vi demande le mot de passe correct.

Pour une sécurité accrue, vous pouvez placer le fichier texte codé dans une partition codée. Cette opération est recommandée car le codage utilisé dans vi n'est pas très pointu.

4.3.2. Codage du contenu d'un support amovible

YaST considère les supports amovibles comme des disques durs externes ou les lecteurs flash USB comme tout autre disque dur. Les fichiers ou les partitions sur ce type de support peuvent être codés selon la procédure ci-dessus. Toutefois, ne montez pas ces supports lors du démarrage du système car ils ne sont, en principe, connectés que lorsque le système est en cours d'exécution.