Zaszyfrowany katalog / home jest automatycznie montowany dla mnie po zalogowaniu. Mam drugi wewnętrzny dysk twardy, który sformatowałem i zaszyfrowałem za pomocą Narzędzia dyskowego. Chcę, aby był automatycznie montowany podczas logowania, podobnie jak mój zaszyfrowany katalog / home. Jak mam to zrobic?
Jest tu kilka bardzo podobnych pytań, ale odpowiedzi nie dotyczą mojej sytuacji. Być może najlepiej zamknąć / scalić moje pytanie tutaj i edytować drugie poniżej, ale myślę, że zostało ono porzucone (i dlatego nigdy nie powinno być oznaczone jako zaakceptowane).
To rozwiązanie nie jest bezpieczną metodą, obchodzi szyfrowanie.
Ten wymaga edycji fstab
, co wymaga wprowadzenia dodatkowego hasła podczas rozruchu. To nie jest automatyczne jak montaż / home.
To pytanie jest bardzo podobne, ale nie dotyczy szyfrowanego dysku. Rozwiązanie nie będzie działać dla moich potrzeb.
Oto jeden, ale dotyczy dysków NTFS, mój to ext4.
Mogę ponownie sformatować i ponownie zaszyfrować drugi dysk, jeśli rozwiązanie tego wymaga. Mam kopię zapasową wszystkich danych w innym miejscu.
źródło
Odpowiedzi:
Nie potrzebujesz już powyższych rozwiązań.
Wymagania wstępne:
Uwaga: ta metoda jest mniej bezpieczna niż ręczne instalowanie zaszyfrowanego dysku. Jeśli ktoś ma fizyczny dostęp do twojego komputera, jesteś nieostrożny z hasłem root lub twój komputer ma wielu kont użytkowników / gości, ta metoda nie jest bezpieczna ; dysk dodatkowy pozostaje zamontowany po wylogowaniu, ale nie wyłącza systemu, więc jego zawartość jest widoczna dla innych użytkowników.
Część 1: Zaszyfruj dysk dodatkowy.
Część 2: Automatycznie zamontuj dysk twardy podczas uruchamiania systemu.
Masz teraz zaszyfrowany dysk twardy, który zostanie automatycznie zamontowany po uruchomieniu komputera.
źródło
/etc/crypttab
. Aby uzyskać dostęp do partycji, nie jest wymagane hasło użytkownika. To ustawienie jest równoznaczne z brakiem szyfrowania i nie jest odpowiedzią na pytanie.Kiedy kilka lat temu napisałem tę odpowiedź, był to najlepszy sposób na wdrożenie rozwiązania. Sugeruję teraz, aby spojrzeć na następną odpowiedź, używając zamiast tego mount.ecryptfs_private.
Szukałem również sposobu na automatyczne zamontowanie drugiego woluminu eCryptfs. Poniższy zbiór skryptów i modyfikacji konfiguracji bezpiecznie i automatycznie zamontuje wolumin podczas logowania, zarówno w GUI, jak i CLI.
Istnieje lepsze rozwiązanie, które jest w trakcie tworzenia (choć myślę, że nie jest jeszcze gotowe do automatycznego montażu przy logowaniu użytkownika, ponieważ taki skrypt będzie miał ograniczony okres trwałości.):
ecryptfs na zbyt małym dysku twardym - jak dodać linki do szyfrowania?
Bezpieczeństwo skryptów zależy od szyfrowania twojego katalogu domowego za pomocą eCryptfs, tak aby skrypt i pliki z hasłem do rozpakowywania hasła były szyfrowane. Jeśli pozostawisz komputer odblokowany z otwartą powłoką roota po zalogowaniu, będziesz mieć dostęp do haseł, jednak użycie sudo NOPASSWD pozwala na bezpieczne zamontowanie partycji bez konieczności wprowadzania hasła lub pozostawiania hasła w pliku czytelnym dla użytkownika.
Jednym ze znanych wad tych skryptów jest to, że drugi wolumin nie zostanie odmontowany podczas wylogowywania, dlatego nie jest szczególnie odpowiedni dla systemów z wieloma użytkownikami.
Moje rozwiązanie zostało zaimplementowane z kilkoma częściami, dwoma skryptami powłoki, z których jedna wykonuje rzeczywiste montowanie, a druga służy jako opakowanie.
To jest skrypt otoki, który sprawdza, czy katalog jest już podłączony, jeśli nie jest, to wywoła skrypt montażowy za pomocą sudo:
/ home / johnf / scripts / automount_ecryptfs
Ten skrypt wywołuje / home / johnf / scripts / mount_other_ecryptfs, co jest następujące.
Zauważ, że ten skrypt zakłada, że masz włączone szyfrowanie nazw plików, jeśli nie, konieczne będzie zmodyfikowanie skryptu w celu obsługi wykrywania (spójrz na ecryptfs-recovery-private) lub możesz usunąć opcję montowania ecryptfs_fnek_sig.
Poniżej znajduje się skrypt / home / johnf / scripts / mount_other_ecryptfs:
Będziesz także musiał utworzyć plik z hasłem, ten plik będzie używany przez komendę eCryptfs mount:
/ home / johnf / scripts / ecryptfs_passphrase:
Musisz zmodyfikować uprawnienia do kilku plików:
Przed utworzeniem skryptów należy utworzyć konfigurację sudoers, aby umożliwić wykonanie skryptu instalacyjnego przy użyciu sudo bez podawania hasła sudo.
Dodaj następujące elementy do / etc / sudoers (lub pliku w /etc/sudoers.d). Będziesz chciał zastąpić johnf swoją nazwą użytkownika. Konieczne jest użycie bezwzględnej ścieżki do skryptu montowania.
Ostatnim krokiem jest wywołanie skryptu automount_ecryptfs podczas logowania.
W systemie Ubuntu Unity (i prawdopodobnie gnome) użyj apletu Aplikacje startowe, aby utworzyć nowy program startowy, który wywołuje / home / johnf / scripts / automount_ecryptfs.
Aby automatycznie zamontować drugi wolumin eCryptfs podczas logowania do powłoki bash, będziesz chciał zmodyfikować plik ~ / .bashrc. Dodaj następujące:
Po skonfigurowaniu tej konfiguracji powinieneś teraz automatycznie zamontować drugi wolumin eCryptfs.
źródło
mount.ecryptfs_private
odtąd zaleca stosowanieecryptfs-mount-private
również przez niego skryptu opakowującegomount.ecryptfs_private
. thesimplecomputer.info/... może być wart przeczytania ze względu na względne zalety ecryptfs i LUKS.Opierając się na odpowiedzi @ johnf, ale zamiast tego używając mount.ecryptfs_private :
/home/bob/
(np. na dysku SSD), przy użyciu normalnej zaszyfrowanej magii domowej Ubuntu./media/hdd/bob_extra/
(np. na dysku twardym), do którego ma zostać podłączony/home/bob/extra
. Powinno to zostać automatycznie zamontowane przy logowaniu, tak jak robi to katalog domowy.Stwórz To
Sprawdź to
uruchomiony
mount
, powinieneś zobaczyć:odmontować:
ustaw automount
Utwórz
/home/bob/bin/automount_ecryptfs.extra
, który zamontuje go, jeśli nie został jeszcze zamontowany.Ustaw go jako wykonywalny (
chmod +x
), a następnie dodaj go do/home/bob/.bashrc
:Następnie dodaj go również do aplikacji startowych Gnome.
źródło
ecryptfs-mount-private
który jest podobny, bardziej funkcjonalny. Np. Może automatycznie użyć klucza z kluczy użytkownika.Utwórz skrypt w zaszyfrowanym katalogu domowym
~/scripts/mount_storage.sh
:Dodaj do „Aplikacji startowych”:
Dodaj do
/etc/sudoers
:Musisz utworzyć
/storage
punkt montowania i zmienić UUID w powyższym skrypcie (znajdź go za pomocąblkid
).źródło
Obawiam się, że nie będzie to popularna odpowiedź ...
Nie będzie możliwe automatyczne zamontowanie żadnej zaszyfrowanej partycji bez obchodzenia bezpieczeństwa samego szyfrowania.
Zastanów się, co oznacza „ automatycznie ”, i zrozum, że automatycznie oznacza, że również zobaczą twoje dane.
źródło
Postępowanie w następujący sposób powinno być bezpieczne. Wymaganie hasła uniemożliwia innym użytkownikom dostęp do woluminu, nawet jeśli jest on zamontowany.
1. Otwórz dyski, wybierz napęd i kliknij wolumin LUKS. Kliknij koła zębate i odznacz „Domyślne ustawienia sesji użytkownika”. Wybierz „Odblokuj przy uruchomieniu systemu” i „Wymagaj dodatkowej autoryzacji, aby odblokować”:
2. Kliknij wolumin dysku (poniżej woluminu LUKS). Kliknij koła zębate i odznacz „Domyślne ustawienia sesji użytkownika”. Wybierz „Zamontuj przy starcie systemu” i „Pokaż w interfejsie użytkownika”:
Możesz również wymagać dodatkowego uwierzytelnienia w celu zamontowania woluminu, ale w takim przypadku montaż nie będzie automatyczny dla danego użytkownika.
źródło