#1 Le 03/06/2013, à 17:50
- Scharx
Truecrypt et SSH : monter->décrypter ou décrypter->monter...?
Bonsoir à tous!
Alors voilà, je me pose une question : j'ai un portable A connecté à un disque dur externe, sur lequel se trouve une partition cryptée. Jusqu'ici, je lançais les commandes ci-dessous qui me permettaient via mon portable B de :
(1)me connecter à A
(2) puis décrypter la partition cryptée dans mon dossier Vidéos sur A
(3) enfin monter le dossier Vidéos décrypté de A dans le dossier Vidéos mon portable B via sshfs.
ssh -t user@192.x.x.x -p 123 'truecrypt /dev/sdb1 /home/user/Vidéos'
sudo sshfs user@192.x.x.x:Vidéos/ /home/user/Vidéos -p 123 -o allow_other
J'aimerai maintenant essayer de faire l'inverse, mais je n'ai auuuuuucune idée si cela est réalisable... C'est-à-dire via mon portable B:
(1)me connecter à A
(2)puis monter /dev/sdb1 via 'je-ne-sais-pas-quoi' directement sur B
(3)enfin décrypter sur B mon /dev/sdb1
Le mieux serait de pouvoir monter mon /dev/sdb1 via sshfs mais ce n'est pas possible OU d'avoir une commande du type 'truecrypt user@192.x.x.x:/dev/sdb1 /home/user/Vidéos -p 123 -o allow_other'
Mais forcement ce serait trop simple...!
Si vous avez des idées d'bidouilles, je suis preneur
Merci bien!
Hors ligne
#2 Le 03/06/2013, à 18:29
- Zakhar
Re : Truecrypt et SSH : monter->décrypter ou décrypter->monter...?
Avec ma Synology je fais ça via iSCSI.
La Synology (dans ton énoncé le portable A) expose un iSCSI target en mode "bloc" qui n'est autre que la partition contenant le truecrypt.
Le poste client (portable B dans ton cas) se connecte au iSCSI target via iSCSI initiator (1 commande). L'effet est alors la création d'un autre périphérique sur "portable B", comme si tu avais connecté un nouveau disque. Dans mon cas, je vois apparaître /dev/sdc.
Il suffit alors de monter /dev/sdc en truecrypt.
Aucun usage de ssh n'est nécessaire. De toute façon, sur le réseau ne transitent que des blocs de données qui sont chiffrés par truecrypt. Celui-ci les déchiffre/chiffre uniquement sur "portable B", qui est donc le seul à voir les données en clair. Les autres intermédiaires sur le réseau ou même "portable A" ne voient que des données chiffrées.
Ce sera bien plus rapide que sshfs/truecrypt, puisque tu as un seul chiffrement/déchiffrement au lieu de 2.
Par contre il existe un inconvénient, c'est qu'un seul "client" peut être connecté à l'instant T à ton iSCSI target en mode bloc. Logique, ça créerait un beau mélange si 2 clients tentaient d'écrire au même moment sur les structures système du périphérique !..
Dans ton cas, ou dans le iSCSI mode fichiers, on peut connecter autant de clients que l'on veut une fois l'unité distante montée.
Autre inconvénient, "portable A" n'ayant aucune idée de ce qu'il manipule ne peut pas faire de copies locales des autres disques de "portable A" vers le trucrypt local (puisqu'il ne sait même pas que c'est un trucrypt en fait !).
Donc avec le iSCSI bloc, si portable B et Desktop C veulent accéder au trucrypt de portable A, ils devront le faire chacun à leur tour.
Dernière modification par Zakhar (Le 03/06/2013, à 18:31)
"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)
Hors ligne
#3 Le 03/06/2013, à 19:23
- Scharx
Re : Truecrypt et SSH : monter->décrypter ou décrypter->monter...?
Merci Zakhar!
Je ne connaissais pas du tout iSCSI mais ca a l'air très très très intéressant. Ma partition est bien repérée par mon portable B puis detruecryptée (...ca existe), un fdisk me donne bien les bonnes infos, mon dossier s'affiche, vlc et clementine prennent le relai--> TOP
Un petit point négatif qui n'en est pas vraiment un : dans ma configuration précédente (via sshfs), le temps de chargement de mon dossier (quelques Gb x100 ...) était très rapide, mais j'avais une latence entre chaque Musique ou Film, une mise en mémoire tampon pour vlc par exemple. Maintenant, via iSCSI, mon dossier met bien 1-2min à se charger, mais la réactivité entre les musiques ou films est excellente, comme si mon dossier était vraiment en local.
Ta solution est top, je l'adopte! Mais si d'autres ont d'autres idées, je suis toujours curieux..
Hors ligne
#4 Le 04/06/2013, à 21:28
- Zakhar
Re : Truecrypt et SSH : monter->décrypter ou décrypter->monter...?
Ce n'est pas le dossier qui met 1 à 2 min à se charger, c'est Nautilus qui n'est pas très gentil avec les unités réseau.
A sa décharge, il n'a pas trop de moyen de savoir que c'est un "dossier réseau" en l'occurrence, puisque tu simules un disque local.
En réalité, la première fois qu'il voit un dossier, Nautilus va l'indexer et lancer le "thumbnailer" sur chacun des fichiers du répertoire. S'il s'agit de films par exemple, il te mettra une petite vignette qui permet de repérer visuellement de quel film il s'agit. Ces vignettes se trouvent sauvegardées dans ton home, sous un répertoire caché.
La fois suivante, il vérifie juste que tout est bien indexé, et ça va plus vite.
Tu peux te rendre compte de ce travail que fait Nautilus en regardant les process. Tu verras apparaître des "thumbnailer" puis ils disparaissent dès que c'est indexé.
Autrement dit, si tu as par exemple 200 vidéos sur un répertoire, Nautilus va faire se travail sur chaque vidéo, et en lire des morceaux pour calculer l'image. La première fois ça prend énoooormément de temps vu que tu lis une quantité considérable de données pour faire ce travail.
La fois suivante ça va plus vite. Il se contente de vérifier les fichiers et si rien n'a changé il va afficher directement les images de la cache des .thumbnails.
Il y a probablement moyen de supprimer ce fonctionnement de Nautilus, mais en contrepartie ça retirera les "thumbnails" partout, y compris sur les répertoires locaux... à moins qu'il n'y ait un moyen sophistiqué de lui demander de ne pas indexer certains répertoires.
J'avoue je n'ai pas cherché à creuser cette question !..
Donc ré-essaye pour tes répertoires, ça devrait passer mieux la deuxième fois.
D'ailleurs tu peux te rendre compte que c'est bien Nautilus puisque si tu fais un simple 'ls' en ligne de commande, il n'y a absolument aucun ralentissement !
Et ravi que la solution suggérée te donne satisfaction.
En la mettant en place sur mon Synology, j'ai trouvé ça très élégant. D'ailleurs ça fonctionne même via un tunnel VPN pour quand je suis à distance, mais pour ça il faut un peu bricoler avec le iptables car le protocole iSCSI décide tout seul de l'interface sur lequel il écoute, et contrairement à des trucs comme Apache, il ne va pas écouter d'emblée sur le VPN (probablement qu'il le trouve trop lent !).
Dernière modification par Zakhar (Le 04/06/2013, à 21:32)
"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)
Hors ligne