Rozczarowany, widząc, że instalator 18.04 nie oferuje już opcji szyfrowania katalogu domowego. Według tego raportu o błędach, do którego odwołuje się instalator, zalecaną obecnie metodą szyfrowania jest użycie pełnego dysku z LUKS lub fscrypt dla katalogów. Szyfrowanie całego dysku wydaje się nieco przesadne dla moich potrzeb, a wszystkie błędy i zastrzeżenia wymienione na Wiki nie sprawiają, że jest to bardzo atrakcyjna opcja. Wszystko, czego naprawdę chcę, to chronić mój katalog domowy przed kimś, kto ma dostęp do moich dokumentów, zdjęć itp., Jeśli mój laptop zostanie skradziony, dzięki czemu fscrypt jest dla mnie opcją.
Strona fscrypt GitHub zawiera kilka przykładów, jak to skonfigurować, ale nie mogę znaleźć żadnej dokumentacji mającej na celu zaszyfrowanie katalogu domowego na Ubuntu. Stare narzędzie ecryptfs jest nadal dostępne, ale po skonfigurowaniu system Ubuntu czasami zawiesza się na ekranie logowania.
Więc moje pytanie brzmi: jak skonfigurować fscrypt do szyfrowania mojego katalogu / home i odszyfrowywania po zalogowaniu? Podobało mi się również, w jaki sposób ecryptfs umożliwia ręczne odszyfrowanie folderu (np. Z obrazów dysku).
(Podobne pytanie zostało zamieszczone tutaj i zostało niestety zamknięte jako raport o błędach „nie na temat”. Aby to wyjaśnić, nie jest to raport o błędzie. Fakt, że opcja instalowania katalogu głównego szyfrowania została usunięta z instalatora, była zamierzona. Pytam tutaj, jak skonfigurować fscrypt.)
źródło
why encrypt the home?
, gdy jest wielu użytkowników, jest to przydatne. Kiedy się logujesz, tylko Twój dom jest odszyfrowywany, ale nie pozostałeOdpowiedzi:
Aktualizacja 2019-07
Korzystam z wielu zaszyfrowanych domów
fscrypt
. Zainstaluj system bez szyfrowania i skorzystaj z tego przewodnika, aby wdrożyć gofscrypt
w domu.Pamiętaj o
chmod 700
swoim domu i / lub użyciu,umask 077
ponieważ fscrypt nie ustawia automatycznie uprawnień, tak jakecryptfs
kiedyś.Interfejs API, który
fscrypt
może ulec zmianie w przyszłości, więc wykonaj kopię zapasową ważnych plików, jeśli spróbujesz zaktualizować system.(Ta funkcja nie jest powszechnie używana na komputerze. Korzystaj z niej na własne ryzyko).
Aktualizacja 2018-11
TL: DR; Możesz spróbować
fscrypt
w Ubuntu 18.10+ lub Linux Mint 19.1+Wygląda na to, że w końcu zostało to naprawione. Oto wyprzedzający przewodnik: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html
Nie cytuję tutaj instrukcji, ponieważ wymaga to trochę włamań i możesz stracić swoje dane domowe.
Następna jest moja oryginalna odpowiedź:
Oryginalna odpowiedź 2018-05
TL; DR: Użyj klasycznego domowego szyfrowania w Linux Mint 19 Tara .
fscrypt
ponieważ szyfrowanie w domu jest nadal zepsute.To jest coś, czego wielu z nas chce. Wygląda na to, że zespół Ubuntu nie mógł bezbłędnie
ecryptfs
pracować na Ubuntu 18.04 i nie mógł naprawić błędówfscrypt
opcji szyfrowania w domu przed zaplanowanym wydaniem Ubuntu 18.04.Bo
fscrypt
jest co najmniej jeden krytyczny błąd, który sprawia, że obecnie nie nadaje się do szyfrowania w domu:Ponadto potrzebowalibyśmy przejrzystego sposobu uwierzytelniania / odblokowywania, zanim będzie to realistyczna alternatywa dla „starego” szyfrowania domowego typu ecryptfs. Jest to śledzone tutaj:
Po otwarciu tych problemów można uznać, że szyfrowanie domowe zostało zerwane w tym momencie. Dzięki temu moi koledzy i ja uważamy, że Ubuntu
18.0418.04.1 jest niedokończony, i mam nadzieję, że szyfrowanie domowe zostanie przywrócone (przy użyciu nowej i znacznie lepszejfscrypt
metody) w Ubuntu18.04.118.04.2.Do tego czasu trzymamy się Ubuntu 16.04.Wszystkie nasze maszyny zmieniliśmy na Linux Mint 19 Tara z klasycznym szyfrowaniem domowymecryptfs
. Przeczytaj sekcję „znane problemy” w Uwagach do wydania dla systemu Linux Mint 19 Tara na tematecryptfs
ograniczeń i sprawdź, czy jest to do zaakceptowania:Jeśli próbowałeś
fscrypt
i okazało się, że jest uszkodzony z powodu twojego użycia, możesz głosować „ten błąd dotyczy mnie też” w następującym błędzie startera:Zauważ, że
fscrypt
/ext4-crypt
(przyszły „szyfruj dom”) jest najszybszą opcją, aecryptfs
(stary „szyfruj dom”) jest najwolniejszą opcją.LUKS
(„szyfruj cały dysk”) znajduje się na środku.Z tego powodu zalecane jest „wygodne” szyfrowanie całego dysku. Ponieważ jeśli masz bardzo duże projekty z wieloma małymi plikami, często korzystaj z zarządzania poprawkami, twórz duże kompilacje itp., Przekonasz się, że przesada szyfrowania całego dysku jest tego warta w porównaniu do powolności starego typu ecryptfs szyfrowanie domu.
Ostatecznie szyfrowanie całego dysku ma wiele wad:
Zastanawiające jest to, że Canonical zdecydował, że „już tego nie potrzebujemy” w wersji LTS, która stała się znana jako bardziej „poważna” dystrybucja.
źródło
/home/myuser
katalogu. Z jakiegoś powodu był to root, więc zmiana właściciela na mojego użytkownika rozwiązała problem.Z odpowiedzi Panther tutaj Szyfrowanie całego dysku szyfruje wszystko, w tym / home, a szyfrowanie tylko określonego katalogu, takiego jak / home, jest szyfrowane tylko wtedy, gdy nie jesteś zalogowany.
Aby zaszyfrować istniejącego domu użytkowników reż:
Najpierw wyloguj się z tego konta i zaloguj się na konto administratora:
zainstaluj narzędzia szyfrujące dla zadania:
z tego błędu startera ecryptfs-utils jest teraz w repozytorium wszechświata.
migruj folder domowy tego użytkownika:
następnie hasło użytkownika do tego konta
Następnie wyloguj się i zaloguj na konto zaszyfrowanych użytkowników - przed ponownym uruchomieniem! aby zakończyć proces szyfrowania
Wewnątrz konta wydrukuj i zapisz hasło odzyskiwania:
Możesz teraz ponownie uruchomić komputer i zalogować się. Gdy będziesz zadowolony, możesz usunąć kopię zapasową folderu domowego.
Również jeśli chcesz utworzyć nowego użytkownika z zaszyfrowanym katalogiem domowym:
Aby uzyskać więcej informacji: man ecryptfs-migrate-home ; man ecryptfs-setup-private
źródło
Osobiście prawie nigdy nie polecałbym nikomu używania szyfrowania systemu plików (FSE), w większości przypadków. Istnieje kilka powodów, z których nie mniej ważnym jest fakt istnienia skuteczniejszych alternatyw. Wszyscy mówicie, jakby były tylko dwie opcje, albo FSE albo FDE (pełne szyfrowanie dysku). Jednak tak po prostu nie jest. W rzeczywistości istnieją dwie inne opcje, z których obie przyniosłyby znacznie większe korzyści OP, a mianowicie szyfrowanie kontenerów plików i szyfrowanie archiwów.
Do szyfrowania kontenerów plików służy oprogramowanie takie jak Veracrypt i nieistniejący już Truecrypt. Szyfrowanie kontenerów jest wbudowane w większość programów do archiwizacji kompresji plików, takich jak Winzip i 7zip, jako opcja przy tworzeniu takiego archiwum.
Oba mają wiele zalet w stosunku do FSE, najbardziej oczywistym jest to, że nie musisz pozostawiać ich zamontowanych, gdy nie pracujesz z zaszyfrowanymi plikami. Uniemożliwia to każdemu dostęp do tego, kto może zastąpić zabezpieczenia klucza profilu użytkownika i blokady ekranu. Możesz też zrobić coś głupiego, na przykład odejść od komputera, ale zapomnij zablokować ekran lub zezwolić komuś na korzystanie z komputera, mając nadzieję, że nie zajrzy on do twoich ukrytych katalogów. Ponadto możesz łatwo przenosić duże ilości plików jednocześnie, bez potrzeby szyfrowania ich w inny sposób, ponieważ pojemniki są przenośne.
Jedną z zalet, że kontenery Veracrypt są tak przydatne, jest fakt, że można je zamontować jako dysk, co pozwala na ich sformatowanie za pomocą osobnego systemu plików, najlepiej systemu plików bez dzienników, takiego jak EXT2 lub FAT32. System plików kronikowania może potencjalnie ujawnić atakującemu informacje. Jeśli jednak wszystko, co robisz, to ukrywanie osobistych zdjęć, może to nie być dla Ciebie istotne. Jeśli z drugiej strony masz tajemnice państwowe lub dane chronione prawnie, może to mieć miejsce. Możesz również ustawić je tak, aby automatycznie instalowały się podczas uruchamiania, jeśli używasz pliku klucza. Nie jest to jednak zalecane, ponieważ plik klucza musiałby być przechowywany w miejscu mniej bezpiecznym niż tam, gdzie FSE przechowuje klucz profilu użytkownika.
Oba oferują możliwość korzystania z kompresji plików. Możesz także ukryć nazwy plików, chociaż nie zawsze tak jest w przypadku korzystania ze skompresowanych archiwów, w zależności od użytego algorytmu kompresji.
Osobiście używam szyfrowania kontenera dla plików, które nie zostaną przeniesione, oraz zaszyfrowanych archiwów dla plików, które zostaną przeniesione lub zapisane w chmurze, ponieważ jest to mniejszy rozmiar pliku.
Szyfrowanie katalogu domowego jest nadal możliwe dzięki szyfrowaniu kontenerów. Może przechowujesz swój klucz szyfrujący na YubiKey?
Tak czy inaczej, chciałem zaoferować wam wszystkie alternatywy, o których inni nie wspominali. Możesz się zgodzić lub nie zgodzić z tym, co powiedziałem.
źródło
Jeśli, podobnie jak ja, przeprowadzasz świeżą instalację Ubuntu 18.04 na Ubuntu 16.04 i wcześniej zaszyfrowałeś swój system
/home
, zobaczysz, że po instalacji nie możesz się zalogować. Wszystko, co musisz zrobić, to zainstalować pakiety związane z ecryptfs:,sudo apt install ecryptfs-utils cryptsetup
uruchom ponownie komputer i zaloguj się.Aby zainstalować te pakiety, możesz zalogować się w zapasowym tty po załadowaniu budgie ( Cntrl+ Alt+ F1) lub wejść w tryb odzyskiwania systemu Linux i zainstalować go stamtąd.
źródło