Jak zaszyfrować / home na Ubuntu 18.04?

57

Rozczarowany, widząc, że instalator 18.04 nie oferuje już opcji szyfrowania katalogu domowego. Według tego raportu o błędach, do którego odwołuje się instalator, zalecaną obecnie metodą szyfrowania jest użycie pełnego dysku z LUKS lub fscrypt dla katalogów. Szyfrowanie całego dysku wydaje się nieco przesadne dla moich potrzeb, a wszystkie błędy i zastrzeżenia wymienione na Wiki nie sprawiają, że jest to bardzo atrakcyjna opcja. Wszystko, czego naprawdę chcę, to chronić mój katalog domowy przed kimś, kto ma dostęp do moich dokumentów, zdjęć itp., Jeśli mój laptop zostanie skradziony, dzięki czemu fscrypt jest dla mnie opcją.

Strona fscrypt GitHub zawiera kilka przykładów, jak to skonfigurować, ale nie mogę znaleźć żadnej dokumentacji mającej na celu zaszyfrowanie katalogu domowego na Ubuntu. Stare narzędzie ecryptfs jest nadal dostępne, ale po skonfigurowaniu system Ubuntu czasami zawiesza się na ekranie logowania.

Więc moje pytanie brzmi: jak skonfigurować fscrypt do szyfrowania mojego katalogu / home i odszyfrowywania po zalogowaniu? Podobało mi się również, w jaki sposób ecryptfs umożliwia ręczne odszyfrowanie folderu (np. Z obrazów dysku).

(Podobne pytanie zostało zamieszczone tutaj i zostało niestety zamknięte jako raport o błędach „nie na temat”. Aby to wyjaśnić, nie jest to raport o błędzie. Fakt, że opcja instalowania katalogu głównego szyfrowania została usunięta z instalatora, była zamierzona. Pytam tutaj, jak skonfigurować fscrypt.)

elight24
źródło
2
@Panther Czy LUKS pozwala na odszyfrowanie plików przechowywanych na dysku kopii zapasowej? Powodem, dla którego pytam, jest to, że wykonuję pełne kopie zapasowe systemu z systemu Windows za pomocą Macrium Reflect. Gdybym musiał wyciągnąć kilka plików z kopii zapasowej, potrzebowałbym sposobu na odszyfrowanie plików z kopii zapasowej. W przypadku ecryptfs wystarczyło podłączyć dysk i uruchomić skrypt zapisany w zaszyfrowanym folderze.
elight24
7
A co z tymi z nas, którzy mają nasz folder domowy zaszyfrowany od 16.04, ale nie mogą go zamontować nowy, ponieważ opcja „szyfruj folder domowy” nie ma już instalatora? Nie możemy się nawet zalogować. To niedorzeczne.
SunnyDaze
2
@ SunnyDaze Minęło trochę czasu, odkąd musiałem ręcznie zamontować swoje dane, ale wydaje mi się, że polecenie to brzmi „ecryptfs-mount-private”.
elight24
3
Być może mylisz się przy użyciu LUKS na całej płycie, nie będzie to działać z podwójnym systemem Windows, w porównaniu z używaniem LUKS na partycji Ubuntu, działa dobrze z podwójnym uruchomieniem systemu Windows. Nie czytałem strony wiki
Panther
2
Pełne szyfrowanie dysku jest świetne i spełnia swoje zadanie. Ale wystarczy, jeśli to ty jesteś komputerem osobistym i jesteś jedynym użytkownikiem. Jeśli ktoś się zastanawia why encrypt the home?, gdy jest wielu użytkowników, jest to przydatne. Kiedy się logujesz, tylko Twój dom jest odszyfrowywany, ale nie pozostałe
AnthonyB

Odpowiedzi:

25

Aktualizacja 2019-07

Korzystam z wielu zaszyfrowanych domów fscrypt. Zainstaluj system bez szyfrowania i skorzystaj z tego przewodnika, aby wdrożyć go fscryptw domu.

Pamiętaj o chmod 700swoim domu i / lub użyciu, umask 077ponieważ fscrypt nie ustawia automatycznie uprawnień, tak jak ecryptfskiedyś.

Interfejs API, który fscryptmoże ulec zmianie w przyszłości, więc wykonaj kopię zapasową ważnych plików, jeśli spróbujesz zaktualizować system.

(Ta funkcja nie jest powszechnie używana na komputerze. Korzystaj z niej na własne ryzyko).

Aktualizacja 2018-11

TL: DR; Możesz spróbować fscryptw Ubuntu 18.10+ lub Linux Mint 19.1+

Wygląda na to, że w końcu zostało to naprawione. Oto wyprzedzający przewodnik: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Nie cytuję tutaj instrukcji, ponieważ wymaga to trochę włamań i możesz stracić swoje dane domowe.

Ostrzeżenie: Ostrzeżenie od użytkownika @dpg : UWAŻAJ : Postępowałem zgodnie z instrukcjami z tego„ przewodnika wyprzedzającego ”(zrobiłem to pod tty) i otrzymałem nieskończoną pętlę logowania.”

Rozważ ten przewodnik wyłącznie w celach edukacyjnych.

Następna jest moja oryginalna odpowiedź:

Oryginalna odpowiedź 2018-05

TL; DR: Użyj klasycznego domowego szyfrowania w Linux Mint 19 Tara .

fscrypt ponieważ szyfrowanie w domu jest nadal zepsute.


Jak skonfigurować fscrypt do szyfrowania mojego katalogu / home i odszyfrowywania po zalogowaniu?

To jest coś, czego wielu z nas chce. Wygląda na to, że zespół Ubuntu nie mógł bezbłędnie ecryptfspracować na Ubuntu 18.04 i nie mógł naprawić błędów fscryptopcji szyfrowania w domu przed zaplanowanym wydaniem Ubuntu 18.04.

Bo fscryptjest co najmniej jeden krytyczny błąd, który sprawia, że ​​obecnie nie nadaje się do szyfrowania w domu:

Ponadto potrzebowalibyśmy przejrzystego sposobu uwierzytelniania / odblokowywania, zanim będzie to realistyczna alternatywa dla „starego” szyfrowania domowego typu ecryptfs. Jest to śledzone tutaj:

Po otwarciu tych problemów można uznać, że szyfrowanie domowe zostało zerwane w tym momencie. Dzięki temu moi koledzy i ja uważamy, że Ubuntu 18.04 18.04.1 jest niedokończony, i mam nadzieję, że szyfrowanie domowe zostanie przywrócone (przy użyciu nowej i znacznie lepszej fscryptmetody) w Ubuntu 18.04.1 18.04.2.

Do tego czasu trzymamy się Ubuntu 16.04. Wszystkie nasze maszyny zmieniliśmy na Linux Mint 19 Tara z klasycznym szyfrowaniem domowym ecryptfs. Przeczytaj sekcję „znane problemy” w Uwagach do wydania dla systemu Linux Mint 19 Tara na temat ecryptfsograniczeń i sprawdź, czy jest to do zaakceptowania:

(...) pamiętaj, że w wersji Mint 19 i nowszych zaszyfrowany katalog domowy nie jest już odmontowywany podczas wylogowywania.

Jeśli próbowałeś fscrypti okazało się, że jest uszkodzony z powodu twojego użycia, możesz głosować „ten błąd dotyczy mnie też” w następującym błędzie startera:


Zauważ, że fscrypt/ ext4-crypt(przyszły „szyfruj dom”) jest najszybszą opcją, a ecryptfs(stary „szyfruj dom”) jest najwolniejszą opcją. LUKS(„szyfruj cały dysk”) znajduje się na środku.

Z tego powodu zalecane jest „wygodne” szyfrowanie całego dysku. Ponieważ jeśli masz bardzo duże projekty z wieloma małymi plikami, często korzystaj z zarządzania poprawkami, twórz duże kompilacje itp., Przekonasz się, że przesada szyfrowania całego dysku jest tego warta w porównaniu do powolności starego typu ecryptfs szyfrowanie domu.

Ostatecznie szyfrowanie całego dysku ma wiele wad:

  • Konto gościa
  • Laptop rodzinny z kontami prywatnymi
  • Korzystanie z podobnego do PREY oprogramowania antywłamaniowego

Zastanawiające jest to, że Canonical zdecydował, że „już tego nie potrzebujemy” w wersji LTS, która stała się znana jako bardziej „poważna” dystrybucja.

Redsandro
źródło
2
Ubuntu 18.04.1 zostało wydane dzisiaj, a oba błędy nadal występują. Mam nadzieję zobaczyć fscrypt w 18.04.2, ale teraz jestem trochę mniej optymistyczny. Proszę zaktualizować!
Nonny Moose
2
@NonnyMoose zaktualizowano - patrz pogrubiona sekcja w połowie mojego postu.
Redsandro
3
łał! kiedy ludzie dokonają aktualizacji z 16.04 do 18.04, co stanie się z ich ~!?
MaxB
2
UWAŻAJ: Postępowałem zgodnie z instrukcjami z tego „przewodnika wyprzedzającego” (zrobiłem to pod tty) i otrzymałem nieskończoną pętlę logowania. Próbowałem dwa razy przy świeżej instalacji 18.10 z tym samym rezultatem.
PetroCliff,
2
Na wypadek, gdyby ktoś zaszyfrował się w nieskończonej pętli logowania, ale może zalogować się w tty. W moim przypadku było to spowodowane niewłaściwym właścicielem /home/myuserkatalogu. Z jakiegoś powodu był to root, więc zmiana właściciela na mojego użytkownika rozwiązała problem.
PetroCliff,
8

Z odpowiedzi Panther tutaj Szyfrowanie całego dysku szyfruje wszystko, w tym / home, a szyfrowanie tylko określonego katalogu, takiego jak / home, jest szyfrowane tylko wtedy, gdy nie jesteś zalogowany.

Aby zaszyfrować istniejącego domu użytkowników reż:

Najpierw wyloguj się z tego konta i zaloguj się na konto administratora:

zainstaluj narzędzia szyfrujące dla zadania:

 sudo apt install ecryptfs-utils cryptsetup

z tego błędu startera ecryptfs-utils jest teraz w repozytorium wszechświata.

migruj folder domowy tego użytkownika:

sudo ecryptfs-migrate-home -u <user>

następnie hasło użytkownika do tego konta

Następnie wyloguj się i zaloguj na konto zaszyfrowanych użytkowników - przed ponownym uruchomieniem! aby zakończyć proces szyfrowania

Wewnątrz konta wydrukuj i zapisz hasło odzyskiwania:

ecryptfs-unwrap-passphrase

Możesz teraz ponownie uruchomić komputer i zalogować się. Gdy będziesz zadowolony, możesz usunąć kopię zapasową folderu domowego.

Również jeśli chcesz utworzyć nowego użytkownika z zaszyfrowanym katalogiem domowym:

sudo adduser --encrypt-home <user>

Aby uzyskać więcej informacji: man ecryptfs-migrate-home ; man ecryptfs-setup-private

ptetteh227
źródło
2
Dzięki za odpowiedź, ptetteh. Kiedyś wypróbowałem tę metodę, ale zdawało się, że powoduje problemy podczas logowania. Czasami zawieszał się na ekranie logowania i powodował, że musiałem się restartować. Ponownie zainstalowałem 18.04 tylko po to, aby upewnić się, że nie jest to przyczyną problemu, a do tej pory wszystko wydaje się w porządku. Jeśli ecryptfs zostanie teraz domyślnie uznany za nieodpowiedni do włączenia, myślę, że najlepszą rzeczą byłoby dla mnie użycie LUKS lub fscrypt.
elight24
1
Działa dla mnie w czystej instalacji (18.04.1). Musiałem to zrobić w „trybie odzyskiwania”. Rozpakowanie nie było wymagane, ponieważ podczas logowania powiadomi Cię o tym i poprosi o zapisanie wygenerowanego hasła. Dzięki!
lepe
2
ecryptfs nie będzie działać, jeśli masz dłuższe nazwy ścieżek (> ~ 140 znaków) w swoim katalogu domowym. Zobacz unix.stackexchange.com/questions/32795/…
Sebastian Stark
1

Osobiście prawie nigdy nie polecałbym nikomu używania szyfrowania systemu plików (FSE), w większości przypadków. Istnieje kilka powodów, z których nie mniej ważnym jest fakt istnienia skuteczniejszych alternatyw. Wszyscy mówicie, jakby były tylko dwie opcje, albo FSE albo FDE (pełne szyfrowanie dysku). Jednak tak po prostu nie jest. W rzeczywistości istnieją dwie inne opcje, z których obie przyniosłyby znacznie większe korzyści OP, a mianowicie szyfrowanie kontenerów plików i szyfrowanie archiwów.

Do szyfrowania kontenerów plików służy oprogramowanie takie jak Veracrypt i nieistniejący już Truecrypt. Szyfrowanie kontenerów jest wbudowane w większość programów do archiwizacji kompresji plików, takich jak Winzip i 7zip, jako opcja przy tworzeniu takiego archiwum.

Oba mają wiele zalet w stosunku do FSE, najbardziej oczywistym jest to, że nie musisz pozostawiać ich zamontowanych, gdy nie pracujesz z zaszyfrowanymi plikami. Uniemożliwia to każdemu dostęp do tego, kto może zastąpić zabezpieczenia klucza profilu użytkownika i blokady ekranu. Możesz też zrobić coś głupiego, na przykład odejść od komputera, ale zapomnij zablokować ekran lub zezwolić komuś na korzystanie z komputera, mając nadzieję, że nie zajrzy on do twoich ukrytych katalogów. Ponadto możesz łatwo przenosić duże ilości plików jednocześnie, bez potrzeby szyfrowania ich w inny sposób, ponieważ pojemniki są przenośne.

Jedną z zalet, że kontenery Veracrypt są tak przydatne, jest fakt, że można je zamontować jako dysk, co pozwala na ich sformatowanie za pomocą osobnego systemu plików, najlepiej systemu plików bez dzienników, takiego jak EXT2 lub FAT32. System plików kronikowania może potencjalnie ujawnić atakującemu informacje. Jeśli jednak wszystko, co robisz, to ukrywanie osobistych zdjęć, może to nie być dla Ciebie istotne. Jeśli z drugiej strony masz tajemnice państwowe lub dane chronione prawnie, może to mieć miejsce. Możesz również ustawić je tak, aby automatycznie instalowały się podczas uruchamiania, jeśli używasz pliku klucza. Nie jest to jednak zalecane, ponieważ plik klucza musiałby być przechowywany w miejscu mniej bezpiecznym niż tam, gdzie FSE przechowuje klucz profilu użytkownika.

Oba oferują możliwość korzystania z kompresji plików. Możesz także ukryć nazwy plików, chociaż nie zawsze tak jest w przypadku korzystania ze skompresowanych archiwów, w zależności od użytego algorytmu kompresji.

Osobiście używam szyfrowania kontenera dla plików, które nie zostaną przeniesione, oraz zaszyfrowanych archiwów dla plików, które zostaną przeniesione lub zapisane w chmurze, ponieważ jest to mniejszy rozmiar pliku.

Szyfrowanie katalogu domowego jest nadal możliwe dzięki szyfrowaniu kontenerów. Może przechowujesz swój klucz szyfrujący na YubiKey?

Tak czy inaczej, chciałem zaoferować wam wszystkie alternatywy, o których inni nie wspominali. Możesz się zgodzić lub nie zgodzić z tym, co powiedziałem.

Pan Cypherpunk
źródło
8
Cześć. Mam kilka uwag na temat twojego przykładu „opiekunka do dziecka”: - po pierwsze, w wielu miejscach ludzie mogą oczekiwać, że przeciętny opiekunka do dziecka jest domyślnie nastolatkiem, co sprawia, że ​​wpadanie w taki wątek jest trochę niepokojące. Po drugie, chcę tylko potwierdzić, że istnieją znacznie lepsze przypadki szyfrowania niż ukrywanie winy.
mwfearnley
Kontenery mają stały rozmiar, szyfrowanie systemu plików (fscrypt, eCryptfs, EncFS itp.) Zajmuje tylko tyle miejsca, co pliki, i może odpowiednio się powiększać i zmniejszać. CO BYŁO DO OKAZANIA. PS wydaje się, że nie zdajesz sobie sprawy, że eCryptfs może szyfrować tylko jeden katalog w domu, odszyfrowany tylko na kaprys.
Xen2050,
3
Szczerze mówiąc, ta odpowiedź jest przydatna, ale treść jest obraźliwa. Po prostu ze względu na powiązanie szyfrowania z działalnością przestępczą, tak jakby w mediach było go za mało. Szyfrowanie służy ochronie przed działalnością przestępczą. Z tego powodu nie mogę głosować pozytywnie. Usunę ten komentarz po dokonaniu edycji.
Todd,
1
Zauważ, że jeśli nie możesz zaufać rootowi (identyfikator użytkownika: 0), to nie możesz użyć systemu do żadnego szyfrowania (czy to FSE, kontenera czy archiwum). Wszystkie systemy szyfrowania są podatne na ataki, jeśli otworzysz szyfrowanie i odejdziesz od systemu bez bezpiecznego blokowania. Ponadto, jeśli nie zaszyfrujesz całego systemu plików, musisz zrozumieć, że potencjalnie wszystkie aplikacje, które dotykają tajnych plików, potencjalnie będą tworzyć niezaszyfrowane kopie poza bezpieczną partycją.
Mikko Rantalainen,
0

Jeśli, podobnie jak ja, przeprowadzasz świeżą instalację Ubuntu 18.04 na Ubuntu 16.04 i wcześniej zaszyfrowałeś swój system /home, zobaczysz, że po instalacji nie możesz się zalogować. Wszystko, co musisz zrobić, to zainstalować pakiety związane z ecryptfs:, sudo apt install ecryptfs-utils cryptsetupuruchom ponownie komputer i zaloguj się.

Aby zainstalować te pakiety, możesz zalogować się w zapasowym tty po załadowaniu budgie ( Cntrl+ Alt+ F1) lub wejść w tryb odzyskiwania systemu Linux i zainstalować go stamtąd.

Akronix
źródło