Chciałbym użyć ecryptfs do zaszyfrowania losowego katalogu (tj. Nie mojego katalogu domowego lub jego podkatalogu, głównie z powodu ograniczeń miejsca na dysku na mojej partycji domowej) i zamontowania tego katalogu po zalogowaniu się na swoje konto. Nie widzę, jak to zrobić, ani nawet jeśli jest to naprawdę możliwe w przypadku istniejącego oprogramowania. Widziałem posty, które zawierają niejasne sugestie (np. Do użycia mount.ecryptfs_private
z opcją ALIAS), ale wciąż muszę znaleźć proste instrukcje krok po kroku, jak to zrobić. Czy ktoś byłby w stanie przekazać te instrukcje lub skierować mnie do miejsca, w którym je znajdę?
mount
encryption
ecryptfs
użytkownik3004015
źródło
źródło
ecryptsfs-setup-private
, nie jestem pewien, co się stanie, jeśli masz już zaszyfrowany dom i naprawdę nie chcesz się obawiać, że zrobi to źle.gpg
. Powiedz, że chcesz bezpiecznie przechowywać folder,mydata
a następnie możesz użyć gotar -c mydata | gpg --symmetric > mydata.tar.gpg && rm -rf mydata
do przechowywania danych igpg --decrypt mydata.tar.gpg | tar -x
przywracania danych. Możesz łatwo użyć klucza prywatnego / publicznego do ochrony swoich danych, co wydaje się wskazane. Metodą tą należy przechowywać tylko niewielkie ilości danych. @Rinzwindrm -fR mydata
. Dane te można odzyskać z dysku długo po jego „usunięciu”. Nie jestem pewien, jak bezpieczne to jest, ale ja skłaniają się ku A „rekurencyjny” shred zamiast:find mydata -type f -exec shred -uz -- {} \;
. Uwaga: niszczenie jest skuteczne tylko w nieskatalogowanych systemach plików i niektórych typach urządzeń. Tam, gdzie ma to znaczenie, należy zbadać najlepszy sposób. Nie sądzę, że jest to bezpieczna praktyka: szyfrowanie i deszyfrowanie takiego archiwum. Szanse są nieskuteczne.Odpowiedzi:
Patrzysz tylko na super łatwe skrypty, takie jak
ecryptsfs-setup-private
iecryptsfs-mount-private
, używają one bardziej „ogólnych” narzędzi, których wydajesz się szukać:mount.ecryptfs
iecryptfs-add-passphrase
. Zobacz ichman
strony, aby uzyskać więcej informacji.Link opublikowany przez Rinzwind zawiera wszystkie potrzebne informacje, w dalszej części strony w obszarze Konfiguracja ręczna . Są dość długie, ale bardzo krótka wersja to:
Sposób „konfiguracji ręcznej” (archlinux wiki)
Najpierw wybierz ALIAS, jak chcesz. W tej sekcji ALIAS będzie tajny. Utwórz wymagane katalogi / pliki:
~/.secret
Katalogu odbędzie zaszyfrowanych danych.~/secret
Katalog jest punktem montowania gdzie~/.secret
zostanie zamontowany jako ecryptfs plików.[Teraz utwórz rzeczywiste hasło montowania (łatwe skrypty wybiorą pseudolosowe 32 znaki
/dev/urandom
), uczyń je dobrym]Zapisz sygnaturę wyjściową (ecryptfs_sig) z poprzedniego polecenia do ~ / .ecryptfs / secret.sig:
Można użyć drugiego hasła do szyfrowania plików. Jeśli tak, dodaj go do breloka:
Jeśli uruchomisz powyższe polecenie, dołącz jego sygnaturę wyjściową (ecryptfs_fnek_sig) do ~ / .ecryptfs / secret.sig:
Na koniec, aby zamontować ~ / .secret na ~ / secret:
Aby odmontować ~ / .secret:
Albo możesz naprawdę ubrudzić sobie ręce i postępować zgodnie ze wskazówkami Bez ecryptfs-utils .
Lub jeśli już spojrzałeś na proste skrypty
ecryptsfs-setup-private
iecryptsfs-mount-private
możesz je skopiować i edytować, aby wskazać preferowane katalogi, z odrobiną umiejętności i cierpliwości.Lub po prostu zapisz hasło (a) w jakikolwiek sposób (najlepiej bezpiecznie) i postępuj jak
man ecryptfs
w przypadku przykładu strony (musisz przeczytać strony podręcznika):Poza zaszyfrowanymi folderami domowymi i zaszyfrowanym folderem wewnątrz domu - zagnieżdżone foldery eCryptfs
I zaszyfrowany folder domowy zwykle przechowuje pliki
/home/.ecryptfs/user/
, podczas gdy zaszyfrowany folder prywatny zawiera pliki w twoim własnym folderze domowym. Można nie używać obu jednocześnie, ecryptfs nie zrobi zagnieżdżone zaszyfrowanych folderów. Ale posiadanie zaszyfrowanego domu i zaszyfrowanych folderów poza domem jest w porządku.Właśnie próbowałem utworzyć nowego użytkownika z zaszyfrowanym domem
sudo adduser --encrypt-home jack
Utworzył
/home/.ecryptfs/
folder z:/home/.ecryptfs/jack/.ecryptfs/
- owinięte hasła i pliki konfiguracyjne do automatycznego podłączenia domu Jacka podczas logowania/home/.ecryptfs/jack/.Private/
- rzeczywiste zaszyfrowane pliki domowe, zamontowane/home/jack/
po zalogowaniu.A także
/home/jack/
folder, ale zawierał on łącze, które pozostaje tam bez względu na to, czy jesteś zalogowany, czy nie:/home/jack/.ecryptfs/ -> /home/.ecryptfs/jack/.ecryptfs
Następnie zalogowałem się jako jack, ale łącze nadal tam było, więc próba uruchomienia
ecryptfs-setup-private
spowodowała, że to zajrzał,/home/jack/.ecryptfs/
ale naprawdę zobaczył istniejące pliki,/home/.ecryptfs/jack/.ecryptfs
więc nie udało się utworzyć kolejnego pliku hasła i nie powiodło sięERROR: wrapped-passphrase file already exists, use --force to overwrite.
Próba wykonania powyższych kroków „ALIAS” przy użyciu folderu .secret w zaszyfrowanym domu nie powiodła się z następującymi błędami:
Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
Reading sb failed; rc = [-22]
„Zagnieżdżanie zaszyfrowanych katalogów wewnątrz zaszyfrowanych katalogów nie jest obsługiwane przez eCryptfs. Przepraszamy.”- autor i opiekun eCryptfs
Zmienianie folderu ALIAS poza domem Jacka, próbowanie
/tmp/.secret/
i/tmp/secret/
działa . ALE jeśli Jack wyloguje się, nowy zaszyfrowany folder pozostanie podłączony , więc musisz go odmontować (umount.ecryptfs_private secret
).źródło
mount
linii, nie potrzebujesz.conf
pliku ani dodawać kluczy, po prostu przeczytajman ecryptfs
strony z dostępnymi opcjami. Następnie wrzuć plik „uruchom przy logowaniu”/home/user/.config/autostart/
. Ale bezpieczeństwo hasła może być zagrożone, jeśli jest przechowywane nieprawidłowoJeśli chcesz go używać jak encfs, możesz to zrobić za pomocą następującego wpisu w
/etc/fstab
/tmp/.geheim /tmp/geheim ecryptfs rw,no_sig_cache,ecryptfs_fnek_sig=1f7aefb9e239099f,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_enable_filename_crypto=y,ecryptfs_passthrough=n,passphrase_passwd=geheimpw,user,noauto 0 0
geheim to niemieckie słowo określające tajemnicę, ale zapewnia, że nie jest to słowo kluczowe. Najpierw musisz utworzyć katalogi. Za pierwszym razem powinieneś odejść
ecryptfs_fnek_sig=1f7aefb9e239099f
. Następniemount /tmp/geheim
pokaże prawidłową wartość.Możesz przechowywać hasło w innym miejscu i ustawić bardziej wyrafinowane opcje. Wszystkie opcje znajdziesz w
man ecryptfs
.źródło
na przykład:
użyj powyższego polecenia, aby utworzyć i zamontować zaszyfrowany system, w którym pliki zapisane w RANDOMDIRECTORY są szyfrowane i zapisywane w EFILES.
dodatkowe uwagi. upewnij się, że RANDOMDIRECTORY jest pusty na początku. Po uruchomieniu powyższej komendy, gdy system zostanie podłączony i będzie gotowy do pracy, wszystkie pliki zapisane w RANDOMDIRECTORY zostaną zaszyfrowane w systemie EFILES, jeśli system zostanie zamontowany. Aby szybko zamontować / odmontować, możesz albo utworzyć skrypt bash i uruchomić go za pomocą skrótu do aplikacji lub utworzyć polecenie aliasu do szybkiego montażu.
Używam tego od ponad roku.
EDYCJA: poszedł do domu, aby potwierdzić, twoje polecenie nie jest ecryptfs. jego enfs tj
przepraszam za to. Dzięki temu będziesz musiał zainstalować nowy program, który (prawdopodobnie)
źródło
ecryptfs
i odpowiada ono na polecenie nie znalezione.man ecryptfs
wyświetla stronę podręcznikamount -t ecryptfs
, ale tak naprawdę nie wyjaśnia, jak stworzyć taki zaszyfrowany system plików.ecryptfs
polecenie jest ostatnim dodatkiem?