Jaki jest najprostszy sposób na zaszyfrowanie katalogu w systemie Ubuntu?
Załóżmy, że mam laptopa z systemem Ubuntu 10.04 i na nim mam dokumenty, które powinny być bezpieczne (jeśli stracę laptopa).
Powiedzmy, że wszystko w dokumentach znajduje się w katalogu o nazwie ~ / work /, i żaden sekret nie znajduje się poza tym katalogiem. Nie ma więc potrzeby szyfrowania całego katalogu domowego.
Powinien istnieć sposób na zablokowanie / odblokowanie tego katalogu z wiersza poleceń.
Wydaje się, że istnieją na to różne sposoby:
- ecryptfs-utils
- cryptsetup
- truecrypt (jednak nie open source zatwierdzony przez OSI)
Ale jaka jest najłatwiejsza i najbardziej niezawodna metoda?
Dzięki, Johan
Aktualizacja : Powiązane pytanie, ale nie to samo Jaki jest najłatwiejszy sposób szyfrowania wszystkich moich plików w systemie Ubuntu 10.04?
Odpowiedzi:
Istnieją trzy metody: skonfiguruj zaszyfrowany wolumin na partycji (
dm-crypt
skonfigurowany zcryptsetup
), skonfiguruj plik będący zaszyfrowanym woluminem (truecrypt), skonfiguruj katalog, w którym każdy plik jest szyfrowany osobno (ecryptfs
lubencfs
).Konfigurowanie zaszyfrowanego woluminu zapewnia nieco większą poufność, ponieważ metadane (rozmiar, czas modyfikacji) plików są niewidoczne. Z drugiej strony jest mniej elastyczny (musisz wcześniej zdecydować o rozmiarze zaszyfrowanego woluminu). W ecryptfs FAQ przedstawiono niektóre różnice między tymi dwoma podejściami.
Jeśli zdecydujesz się szyfrować plik po pliku, znam dwie opcje:
ecryptfs
iencfs
. Pierwsza wykorzystuje sterownik wbudowany w jądro, a druga FUSE. Może to daćecryptfs
przewagę prędkości; dajeencfs
przewagę elastyczności, ponieważ nie trzeba nic robić jako root. Możliwą korzyściąecryptfs
jest to, że po zakończeniu wstępnej konfiguracji możesz użyć hasła logowania jako hasła systemu plików dziękipam_ecryptfs
modułowi.Na własny użytek w podobnej sytuacji wybrałem
encfs
, ponieważ nie widziałem żadnych rzeczywistych korzyści bezpieczeństwa dla innych rozwiązań, więc decydującym czynnikiem była łatwość użycia. Wydajność nie była problemem. Przepływ pracy jest bardzo prosty (pierwsze uruchomienieencfs
tworzy system plików):Zalecam również zaszyfrowanie przestrzeni wymiany i każdego miejsca, w którym można zapisać tymczasowe poufne pliki, takie jak
/tmp
i/var/spool/cups
(jeśli drukujesz poufne pliki). Służycryptsetup
do szyfrowania partycji wymiany. Najłatwiejszym sposobem radzenia sobie z tym/tmp
jest zachowanie go w pamięci poprzez zamontowanie go jakotmpfs
(może to w każdym przypadku dać niewielką poprawę wydajności).źródło
encfs
! To jest fantastyczne!Używam wyłącznie TrueCrypt do takich rzeczy. Zatwierdzony przez OSI, czy nie, uważam, że nigdy mnie nie zawiódł i potrzebowałem szyfrowania wiele razy.
źródło
Szybki i łatwy sposób jest
tar
icompress
czymbcrypt
.Sprawia,
safe-archive.tar.bz2.bfe
że możesz zmienić nazwę, jeśli czujesz paranoję.Aby otworzyć zaszyfrowaną paczkę,
Jeśli jesteś gotowy, aby uzyskać więcej bałaganu, sugeruję
truecrypt
i tworzenie zaszyfrowanych woluminów.Ale nie sądzę, aby było to konieczne w przypadku zwykłych danych (powiedzmy, że nie są związane z bezpieczeństwem narodowym).
ps: zauważ, że nie sugeruję, że bcrypt jest słaby lub w żaden sposób niezdolny do bezpieczeństwa narodowego.
Odpowiedz na komentarze do mojej powyższej odpowiedzi.
Próbowałem udzielić prostej odpowiedzi - i zgadzam się, że mój wybór nie sugerowania Truecrypt jako pierwszej opcji może być nieodpowiedni dla niektórych tutaj.
Pytanie dotyczy łatwego sposobu zaszyfrowania katalogu.
Moja miara bezpieczeństwa opiera się tutaj na dwóch rzeczach:
Oceniam to jako poziom twojej „paranoi”.
Teraz, nie mówiąc, że Truecrypt (lub inne podobne metody) są droższe,
wszystko co chcę powiedzieć, to, że sekwencja bcrypt uruchomiona w tmpfs jest wystarczająca do codziennego użytku dzisiaj
(prawdopodobnie nie będzie tak za około dekadę) zgadnij, ale tak naprawdę jest na razie).
Zakładam również, że wartość zabezpieczanych tutaj danych nie będzie porównywalna dla próby „odzyskiwania” klasy mona-lisa.
Proste pytanie - czy spodziewasz się, że ktoś spróbuje złapać wyłączonego laptopa i spróbować odzyskać dane z zimnej pamięci RAM?
Jeśli to zrobisz, prawdopodobnie powinieneś najpierw ponownie przeanalizować swój sprzęt i oprogramowanie, sprawdzić, z którym usługodawcą internetowym się łączysz, kto może usłyszeć twoje naciśnięcia klawiszy i tak dalej.
ps: Lubię Truecrypt i używam go. Zgodność z OSI lub jej brak tak naprawdę nie ma znaczenia. I nie inscenizuję,
bcrypt
a program zaproponowany tutaj stanowi dla niego konkurencję.źródło
Truecrypt
sobie z takimi komplikacjami. Inną sztuczką byłoby użycietmpfs
montowania w pamięci RAM do pracy z zaszyfrowanym katalogiem - skopiuj nabfe
ramdysk, pracuj z nim, zaszyfruj ponownie i zapisz zaszyfrowane archiwum z powrotem do systemu plików.tmpfs
jest bardzo ryzykowna: co jeśli zapomnisz ponownie zaszyfrować pliki i stracisz modyfikacje? co jeśli komputer się zawiesi (stracisz wszystkie swoje modyfikacje)? Jest to również niepotrzebnie skomplikowane. Istnieje wiele rzeczywistych sposobów rozwiązania tego problemu za pomocą odpowiednich narzędzi, wystarczy użyć jednego z nich.Jeśli martwisz się tylko utratą laptopa, Ubuntu
ecryptfs
już dla Ciebie skonfigurowało.Po prostu wybierz „zaszyfrowany katalog domowy” podczas tworzenia konta użytkownika i nadaj mu przyzwoite hasło. To ochroni wszystko, co znajduje się w twoim folderze domowym.
Tak, szyfruje więcej niż
~/work
, ale jest bezproblemowy.Do
/tmp
użytkutmpfs
.Plusy:
Kon:
Jeśli więc nie uważasz, że jakiś ekspert kryminalistyczny spróbuje uzyskać dane z wydrukowanych materiałów, jest to wystarczająco dobre.
ecryptfs
może również szyfrować swap, ale zalecamy wyłączenie swap, chyba że zdarzyło Ci się, że nie masz pamięci RAM. Życie jest lepsze bez zamiany. (lub po prostu uruchomecryptfs-setup-swap
i postępuj zgodnie z instrukcjami, aby zmienić fstab)Ostrzeżenie : W każdym razie, jeśli nie masz tego laptopa, na twoim dysku twardym jest już wiele rzeczy. Znalazłem w sobie mnóstwo rzeczy i nic tego nie wyjaśni. Musisz wykonać kopię zapasową na inny dysk lub partycję, zastąpić bieżący system plików zerami i przywrócić pliki (oczywiście przywracaj wrażliwe pliki dopiero po skonfigurowaniu szyfrowania).
źródło
Najłatwiejszym i najszybszym sposobem na skonfigurowanie tego jest zainstalowanie narzędzi ecryptfs-utils i cryptkeeper :
sudo apt-get install ecryptfs-utils cryptkeeper
Następnie, po zakończeniu, zajrzyj do swojego paska zadań. Zobaczysz ikonę dwóch kluczy. Kliknij i wybierz Nowy zaszyfrowany folder. Wpisz nazwę i kliknij przycisk Prześlij (dziwnie w lewym dolnym rogu, a nie w prawo). Następnie wpisz żądane hasło, potwierdź je ponownie, kliknij ponownie przycisk Przekaż, a następnie OK.
Spowoduje to zamontowanie zaszyfrowanego folderu i skopiowanie do niego plików. Po zakończeniu wylogowanie lub odznaczenie zamontowanego folderu (aby to zrobić, kliknij ikonę Klawisze na pasku zadań) będzie wymagało hasła przed ponownym zamontowaniem.
źródło