Jaki jest najprostszy sposób na zaszyfrowanie katalogu? (w systemie Ubuntu)

13

Jaki jest najprostszy sposób na zaszyfrowanie katalogu w systemie Ubuntu?

Załóżmy, że mam laptopa z systemem Ubuntu 10.04 i na nim mam dokumenty, które powinny być bezpieczne (jeśli stracę laptopa).

Powiedzmy, że wszystko w dokumentach znajduje się w katalogu o nazwie ~ / work /, i żaden sekret nie znajduje się poza tym katalogiem. Nie ma więc potrzeby szyfrowania całego katalogu domowego.

Powinien istnieć sposób na zablokowanie / odblokowanie tego katalogu z wiersza poleceń.

Wydaje się, że istnieją na to różne sposoby:

  • ecryptfs-utils
  • cryptsetup
  • truecrypt (jednak nie open source zatwierdzony przez OSI)

Ale jaka jest najłatwiejsza i najbardziej niezawodna metoda?

Dzięki, Johan


Aktualizacja : Powiązane pytanie, ale nie to samo Jaki jest najłatwiejszy sposób szyfrowania wszystkich moich plików w systemie Ubuntu 10.04?

Johan
źródło
2
Kogo to obchodzi, jeśli Truecrypt nie jest zatwierdzony przez OSI? OSI zatwierdziła ma nie równe lepsze oprogramowanie. Truecrypt jest najlepszy w okolicy, a nawet udaremnił FBI w kilku przypadkach.
TheLQ,
3
Oprogramowanie korzystające z licencji zatwierdzonych przez OSI jest bezpieczniejsze.
Johan

Odpowiedzi:

10

Istnieją trzy metody: skonfiguruj zaszyfrowany wolumin na partycji ( dm-cryptskonfigurowany z cryptsetup), skonfiguruj plik będący zaszyfrowanym woluminem (truecrypt), skonfiguruj katalog, w którym każdy plik jest szyfrowany osobno ( ecryptfslub encfs).

Konfigurowanie zaszyfrowanego woluminu zapewnia nieco większą poufność, ponieważ metadane (rozmiar, czas modyfikacji) plików są niewidoczne. Z drugiej strony jest mniej elastyczny (musisz wcześniej zdecydować o rozmiarze zaszyfrowanego woluminu). W ecryptfs FAQ przedstawiono niektóre różnice między tymi dwoma podejściami.

Jeśli zdecydujesz się szyfrować plik po pliku, znam dwie opcje: ecryptfsi encfs. Pierwsza wykorzystuje sterownik wbudowany w jądro, a druga FUSE. Może to dać ecryptfsprzewagę prędkości; daje encfsprzewagę elastyczności, ponieważ nie trzeba nic robić jako root. Możliwą korzyścią ecryptfsjest to, że po zakończeniu wstępnej konfiguracji możesz użyć hasła logowania jako hasła systemu plików dzięki pam_ecryptfsmodułowi.

Na własny użytek w podobnej sytuacji wybrałem encfs, ponieważ nie widziałem żadnych rzeczywistych korzyści bezpieczeństwa dla innych rozwiązań, więc decydującym czynnikiem była łatwość użycia. Wydajność nie była problemem. Przepływ pracy jest bardzo prosty (pierwsze uruchomienie encfstworzy system plików):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Zalecam również zaszyfrowanie przestrzeni wymiany i każdego miejsca, w którym można zapisać tymczasowe poufne pliki, takie jak /tmpi /var/spool/cups(jeśli drukujesz poufne pliki). Służy cryptsetupdo szyfrowania partycji wymiany. Najłatwiejszym sposobem radzenia sobie z tym /tmpjest zachowanie go w pamięci poprzez zamontowanie go jako tmpfs(może to w każdym przypadku dać niewielką poprawę wydajności).

Gilles „SO- przestań być zły”
źródło
Nie myślałem o / tmp, ale tmpfs rozwiązuje ten problem w przyjemny sposób. Po prostu wykonaj prawdziwe zamknięcie: s.
Johan
1
Dzięki za nauczanie encfs! To jest fantastyczne!
user39559
1

Używam wyłącznie TrueCrypt do takich rzeczy. Zatwierdzony przez OSI, czy nie, uważam, że nigdy mnie nie zawiódł i potrzebowałem szyfrowania wiele razy.

easyegoism
źródło
1

Szybki i łatwy sposób jest tari compressczym bcrypt.

tar cfj safe-archive.tar.bz2 Katalog / 
bcrypt safe-archive.tar.bz2 
# poprosi o hasło 8 znaków dwa razy, aby je zablokować.
# Pamiętaj jednak, aby po tym usunąć swój katalog,
rm -rf Katalog / 
# I mam nadzieję, że nie zapomnisz hasła lub danych nie ma!

Sprawia, safe-archive.tar.bz2.bfeże możesz zmienić nazwę, jeśli czujesz paranoję.

Aby otworzyć zaszyfrowaną paczkę,

bcrypt safe-archive.tar.bz2.bf3 # Lub jakkolwiek to nazwiesz
tar xfj safe-archive.tar.bz2 
# I twój katalog powrócił!

Jeśli jesteś gotowy, aby uzyskać więcej bałaganu, sugeruję truecrypti tworzenie zaszyfrowanych woluminów.
Ale nie sądzę, aby było to konieczne w przypadku zwykłych danych (powiedzmy, że nie są związane z bezpieczeństwem narodowym).

ps: zauważ, że nie sugeruję, że bcrypt jest słaby lub w żaden sposób niezdolny do bezpieczeństwa narodowego.


Odpowiedz na komentarze do mojej powyższej odpowiedzi.
Próbowałem udzielić prostej odpowiedzi - i zgadzam się, że mój wybór nie sugerowania Truecrypt jako pierwszej opcji może być nieodpowiedni dla niektórych tutaj.

Pytanie dotyczy łatwego sposobu zaszyfrowania katalogu.
Moja miara bezpieczeństwa opiera się tutaj na dwóch rzeczach:

  1. Co chcesz zabezpieczyć i
  2. Przed kim chcesz to zabezpieczyć

Oceniam to jako poziom twojej „paranoi”.

Teraz, nie mówiąc, że Truecrypt (lub inne podobne metody) są droższe,
wszystko co chcę powiedzieć, to, że sekwencja bcrypt uruchomiona w tmpfs jest wystarczająca do codziennego użytku dzisiaj
(prawdopodobnie nie będzie tak za około dekadę) zgadnij, ale tak naprawdę jest na razie).
Zakładam również, że wartość zabezpieczanych tutaj danych nie będzie porównywalna dla próby „odzyskiwania” klasy mona-lisa.

Proste pytanie - czy spodziewasz się, że ktoś spróbuje złapać wyłączonego laptopa i spróbować odzyskać dane z zimnej pamięci RAM?
Jeśli to zrobisz, prawdopodobnie powinieneś najpierw ponownie przeanalizować swój sprzęt i oprogramowanie, sprawdzić, z którym usługodawcą internetowym się łączysz, kto może usłyszeć twoje naciśnięcia klawiszy i tak dalej.

ps: Lubię Truecrypt i używam go. Zgodność z OSI lub jej brak tak naprawdę nie ma znaczenia. I nie inscenizuję, bcrypta program zaproponowany tutaj stanowi dla niego konkurencję.

nik
źródło
2
Chociaż daję odpowiedź +1, dla naprawdę paranoika wśród nas ... w zależności od wartości twoich danych może to być zły pomysł. Użytkownik musi zdać sobie sprawę, że ta metoda oczywiście pozostawia pliki usuniętego katalogu na dysku, na którym potencjalnie mogą je odzyskać „złoczyńcy”. Wystarczy rozejrzeć się za SU w celu „odzyskania usuniętych plików w systemie Linux”, aby zobaczyć, jak bezpieczne jest to ...
hotei
@hotei, tak, poradzi Truecryptsobie z takimi komplikacjami. Inną sztuczką byłoby użycie tmpfsmontowania w pamięci RAM do pracy z zaszyfrowanym katalogiem - skopiuj na bferamdysk, pracuj z nim, zaszyfruj ponownie i zapisz zaszyfrowane archiwum z powrotem do systemu plików.
nik
2
Chciałbym pójść o krok dalej niż @hotei i powiedzieć, że tak naprawdę nie jest to szyfrowanie, ponieważ można je łatwo odzyskać (istnieje cały rynek poświęcony odzyskiwaniu plików). Szyfrowanie musi być szyfrowaniem. To tylko fałszywe poczucie szyfrowania
TheLQ
2
@nik: Jak wyjaśnia hotei, metoda zawarta w odpowiedzi jest nie tylko niepewna, ale również podatna na błędy (co jeśli zapomnisz usunąć odszyfrowane pliki?). Nawet twoja propozycja użycia tmpfsjest bardzo ryzykowna: co jeśli zapomnisz ponownie zaszyfrować pliki i stracisz modyfikacje? co jeśli komputer się zawiesi (stracisz wszystkie swoje modyfikacje)? Jest to również niepotrzebnie skomplikowane. Istnieje wiele rzeczywistych sposobów rozwiązania tego problemu za pomocą odpowiednich narzędzi, wystarczy użyć jednego z nich.
Gilles „SO- przestań być zły”
1
@nik Na pobliskim uniwersytecie była wystawa, która pokazała, że ​​nawet po godzinie braku pamięci RAM nadal można zrobić zdjęcie załadowanej do pamięci Mona Lisy. Chyba że natychmiast potem ponownie uruchomisz komputer, bardzo łatwo jest odzyskać dane z pamięci RAM. Truecrypt, IIRC, szyfruje swoją pamięć RAM.
digitxp
1

Jeśli martwisz się tylko utratą laptopa, Ubuntu ecryptfsjuż dla Ciebie skonfigurowało.

Po prostu wybierz „zaszyfrowany katalog domowy” podczas tworzenia konta użytkownika i nadaj mu przyzwoite hasło. To ochroni wszystko, co znajduje się w twoim folderze domowym.

Tak, szyfruje więcej niż ~/work, ale jest bezproblemowy.

Do /tmpużytku tmpfs.

Plusy:

  • Nie musisz nic więcej robić, Ubuntu robi wszystko za Ciebie.
  • Twoi znajomi mogą korzystać z twojego komputera w podróży, będą potrzebować hasła tylko, jeśli będą chcieli uzyskać dostęp do twoich plików.

Kon:

  • Są inne miejsca, w których robisz dane o wycieku - odpowiedź Gillesa jest najbardziej kompletna (+1 dla niego).

Jeśli więc nie uważasz, że jakiś ekspert kryminalistyczny spróbuje uzyskać dane z wydrukowanych materiałów, jest to wystarczająco dobre.

ecryptfsmoże również szyfrować swap, ale zalecamy wyłączenie swap, chyba że zdarzyło Ci się, że nie masz pamięci RAM. Życie jest lepsze bez zamiany. (lub po prostu uruchom ecryptfs-setup-swapi postępuj zgodnie z instrukcjami, aby zmienić fstab)


Ostrzeżenie : W każdym razie, jeśli nie masz tego laptopa, na twoim dysku twardym jest już wiele rzeczy. Znalazłem w sobie mnóstwo rzeczy i nic tego nie wyjaśni. Musisz wykonać kopię zapasową na inny dysk lub partycję, zastąpić bieżący system plików zerami i przywrócić pliki (oczywiście przywracaj wrażliwe pliki dopiero po skonfigurowaniu szyfrowania).

użytkownik39559
źródło
1

Najłatwiejszym i najszybszym sposobem na skonfigurowanie tego jest zainstalowanie narzędzi ecryptfs-utils i cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Następnie, po zakończeniu, zajrzyj do swojego paska zadań. Zobaczysz ikonę dwóch kluczy. Kliknij i wybierz Nowy zaszyfrowany folder. Wpisz nazwę i kliknij przycisk Prześlij (dziwnie w lewym dolnym rogu, a nie w prawo). Następnie wpisz żądane hasło, potwierdź je ponownie, kliknij ponownie przycisk Przekaż, a następnie OK.

Spowoduje to zamontowanie zaszyfrowanego folderu i skopiowanie do niego plików. Po zakończeniu wylogowanie lub odznaczenie zamontowanego folderu (aby to zrobić, kliknij ikonę Klawisze na pasku zadań) będzie wymagało hasła przed ponownym zamontowaniem.

Volomike
źródło