12

Какой самый простой способ зашифровать каталог в системе на основе Ubuntu?

Допустим, у меня есть ноутбук с Ubuntu 10.04, и у меня есть некоторые документы, которые следует хранить в безопасности (если я потеряю ноутбук).

Допустим, все документы находятся в каталоге ~/work/, и ничего секретного в этом каталоге нет. Так что не нужно шифровать весь домашний каталог.

Должен быть способ заблокировать / разблокировать этот каталог из командной строки.

Кажется, есть несколько разных способов сделать это:

  • ecryptfs-Utils
  • Cryptsetup
  • truecrypt (однако не утвержденный OSI с открытым исходным кодом)

Но какой самый простой и надежный метод?

Спасибо Йохан


Обновление: связанный вопрос, но не тот же. Какой самый простой способ зашифровать все мои файлы в Ubuntu 10.04?

5 ответов5

9

Существует три способа: настроить зашифрованный том в разделе (dm-crypt , настроенный с помощью cryptsetup), настроить файл, который является зашифрованным томом (truecrypt), настроить каталог, в котором каждый файл зашифрован отдельно (ecryptfs или encfs).

Настройка зашифрованного тома обеспечивает немного большую конфиденциальность, поскольку метаданные (размер, время изменения) ваших файлов невидимы. С другой стороны, он менее гибкий (вам нужно заранее определиться с размером зашифрованного тома). Часто задаваемые вопросы ecryptfs перечисляют некоторые различия между этими двумя подходами.

Если вы решите зашифровать файл за файлом, мне известны две опции: ecryptfs и encfs . Первый использует драйвер в ядре, а второй использует FUSE. Это может дать ecryptfs преимущество в скорости; это дает encfs преимущество в гибкости, так как ничего не нужно делать как root. Возможное преимущество ecryptfs заключается в том, что после первоначальной настройки вы можете использовать свой пароль для входа в систему в качестве пароля файловой системы благодаря модулю pam_ecryptfs .

Для моего собственного использования в аналогичной ситуации я выбрал encfs , потому что я не видел никакой реальной выгоды для безопасности от других решений, поэтому определяющим фактором была простота использования. Производительность не была проблемой. Рабочий процесс очень прост (при первом запуске encfs создается файловая система):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Я также рекомендую вам зашифровать пространство подкачки и любое место, куда могут быть записаны временные конфиденциальные файлы, такие как /tmp и /var/spool/cups (если вы печатаете конфиденциальные файлы). Используйте cryptsetup для шифрования вашего раздела подкачки. Самый простой способ работы с /tmp - это сохранить его в памяти, смонтировав его как tmpfs (в любом случае это может дать небольшой выигрыш в производительности).

1

Если вы беспокоитесь только о потере своего ноутбука, Ubuntu уже настроил ecryptfs для вас.

Просто выберите "Зашифрованный домашний каталог", когда вы создаете свою учетную запись, и дайте ей достойный пароль. Это защитит все, что находится внутри вашей домашней папки.

Да, он будет шифровать больше, чем ~/work , но это без проблем.

Для /tmp используйте tmpfs .

Плюсы:

  • Вам не нужно больше ничего делать, Ubuntu сделает все за вас.
  • Ваши друзья могут использовать ваш компьютер на ходу, им потребуется пароль, только если они хотят получить доступ к вашим файлам.

Против:

  • Есть и другие места, где вы делаете утечку данных - ответ Жиля является наиболее полным (+1 для него).

Итак, если вы не думаете, что какой-то судебный эксперт попытается получить данные из напечатанного вами материала, этого достаточно.

ecryptfs может зашифровать своп, но я рекомендую вам просто отключить своп, если только с вами не случилось, что вы вышли из ОЗУ. Жизнь лучше без свопа. (или просто запустите ecryptfs-setup-swap и следуйте инструкциям для изменения fstab)


Предупреждение . В любом случае, если только вы не приобрели этот ноутбук, на вашем жестком диске уже записано много материала. Я нашел кучу вещей в моем, и ничто не прояснило бы это. Вам необходимо сделать резервную копию на другом диске или разделе, перезаписать текущую файловую систему нулями и восстановить ваши файлы (разумеется, восстанавливать конфиденциальные файлы можно только после настройки шифрования).

1

Самый простой и быстрый способ установить это - установить ecryptfs-utils и cryptkeeper:

sudo apt-get install ecryptfs-utils cryptkeeper

Затем, когда закончите, загляните в свой систрей. Вы увидите значок двух ключей. Нажмите на нее и выберите «Новая зашифрованная папка». Введите имя и нажмите кнопку «Вперед» (странно внизу слева, а не справа). Затем введите нужный пароль, подтвердите его и снова нажмите «Переслать», а затем нажмите «ОК».

Это смонтирует зашифрованную папку, и вы сможете скопировать в нее файлы. Когда вы закончите, если вы выйдете из системы или снимите флажок с этой смонтированной папки (для этого щелкните значок «Ключи» в системном окне), для повторного подключения потребуется пароль.

1

Я исключительно использую TrueCrypt для таких вещей. Одобрено OSI или нет, я нахожу, что это никогда не подводит меня, и мне много раз требовалось шифрование.

0

Быстрый и простой способ - tar и compress а затем bcrypt .

tar cfj safe-archive.tar.bz2 Directory/ 
bcrypt safe-archive.tar.bz2 
# will ask you an 8 char password twice to lock it up.
# But, remember to delete your Directory after this,
rm -rf Directory/ 
# And, I hope you don't forget the password, or your data is gone!

Делает safe-archive.tar.bz2.bfe - который вы можете переименовать, если вы чувствуете себя параноиком по этому поводу.

Чтобы открыть зашифрованный пакет,

bcrypt safe-archive.tar.bz2.bf3 # Or, whatever you called it
tar xfj safe-archive.tar.bz2 
# And, your directory is back!

Если вы готовы запутаться, я бы предложил truecrypt и создавал зашифрованные тома.
Но я не думаю, что это необходимо для регулярных данных (например, не связанных с национальной безопасностью).

PS: обратите внимание, что я не утверждаю, что bcrypt является слабым или неспособным к национальной безопасности в любом случае.


Ответьте на комментарии к моему ответу выше.
Я попытался дать простой ответ - и я согласен, что мой выбор не предлагать Truecrypt в качестве первого варианта может быть неподходящим для некоторых здесь.

Вопрос требует простого способа шифрования каталога.
Моя мера безопасности здесь основана на двух вещах,

  1. Что вы хотите обезопасить и
  2. От кого вы хотите его обезопасить?

Я оцениваю это как уровень вашей «паранойи».

Теперь, не говоря уже о том, что Truecrypt (или другие подобные методы) стоят дороже,
все, что я хочу сказать, это то, что последовательности bcrypt, запущенной в tmpfs, достаточно для вашего ежедневного использования сегодня
(Наверное, не так, наверное, через десять лет, но пока это действительно так).
И я также предполагаю, что ценность защищаемых здесь данных не будет сопоставимой для попытки «восстановления» класса Мона-Лизы.

Простой вопрос - ожидаете ли вы, что кто-то попытается захватить ваш выключенный ноутбук и попытаться восстановить данные из его холодного пространства ОЗУ?
Если вы это сделаете, вам, возможно, следует сначала пересмотреть свое аппаратное и программное обеспечение, проверить, к какому интернет-провайдеру вы подключаетесь, кто может слышать нажатия клавиш и т.д.

PS: я люблю Truecrypt и использую его. Соответствие OSI или его отсутствие не имеет большого значения. И я не ставлю bcrypt и схему, предложенную здесь, чтобы конкурировать с ней.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .