Как Зашифровать / домой на Ubuntu 18.04?
Разочарованный видеть, что 18,04 установщиков больше не предлагают опции зашифровать корневой каталог. Согласно этому отчету об ошибках, на который ссылаются в установщике, рекомендуемый метод для шифрования в эти дни является полным диском с LUKS или fscrypt для каталогов. Полное шифрование диска кажется небольшим излишеством для моих потребностей, и все ошибки и протесты, упомянутые на Wiki, не делают его очень привлекательной опцией. Все, что я действительно хочу, должно защитить мой корневой каталог от кого-то получающего доступ к моим документам, фотографиям, и т.д. если бы мой ноутбук должен был быть украден, делая fscrypt опцию для меня.
fscrypt страница GitHub имеет некоторые примеры того, как настроить ее, но я не могу найти документацию нацеленной на шифрование корневого каталога на Ubuntu. Старый ecryptfs инструмент все еще доступен, но после установки его Ubuntu иногда замораживалась бы в экране входа в систему.
Таким образом, мой вопрос: Как я устанавливаю fscrypt, чтобы зашифровать мой / корневой каталог и дешифровать, когда я вхожу в систему? Мне также понравилось, как ecryptfs позволил дешифровать папку вручную (например, от образов дисков).
(Подобный вопрос был отправлен здесь и был, к сожалению, закрыт для того, чтобы быть "вне темы" отчет об ошибках. Для разъяснения это не отчет об ошибках. То, что зашифровать опция корневого каталога была удалена из установщика, было намеренным. Все, что я спрашиваю здесь, - то, как установить fscrypt.)
4 ответа
Если вы, как и я, выполняете новую установку Ubuntu 18.04 поверх Ubuntu 16.04, и вы ранее зашифровали свой / home , вы увидите, что не можете войти в систему после установки. Все, что вам нужно сделать, это установить пакеты, связанные с ecryptfs:
sudo apt install ecryptfs-utils cryptsetup , перезагрузитесь и войдите в систему.
Чтобы установить эти пакеты, вы можете войти в систему на свободном терминале после загрузки budgie ( Cntrl + Alt + F1 ) или войдите в режим восстановления linux и установите его оттуда.
Из Ответ Пантеры здесь Полное шифрование диска шифрует все, включая / home при шифровании только определенного каталога, такого как / home, зашифровывается только тогда, когда вы не вошли в систему.
Для шифрования существующего домашнего каталога пользователей:
- Сначала выйдите из этой учетной записи и войдите в учетную запись администратора.
1241] Установите утилиты шифрования для задания:
sudo apt install ecryptfs-utils cryptsetupиз-за этой ошибки панели запуска ecryptfs-utils теперь находится в репозитории юниверса.
Перенести домашнюю папку этого пользователя:
sudo ecryptfs-migrate-home -u, за которым следует пароль пользователя этой учетной записи
Выйдите из системы и войдите в зашифрованную учетную запись пользователя перед перезагрузкой для завершения процесса шифрования.
Внутри учетной записи распечатайте и запишите кодовую фразу для восстановления:
кодовая фраза ecryptfs-unwrap
Теперь вы можете перезагрузиться и войти в систему. Если вы удовлетворены, вы можете удалить резервную домашнюю папку.
Кроме того, если вы хотите создать нового пользователя с зашифрованным домашним каталогом:
sudo adduser --encrypt-home <user>
Для получения дополнительной информации: man ecryptfs-migrate-home , man ecryptfs-setup-private .
Обновление 2020-02
Я использую несколько зашифрованных домов с помощью fscrypt . Установите систему без шифрования и используйте это руководство для реализации fscrypt в вашем доме.
API для fscrypt может измениться в будущем, поэтому убедитесь, что для резервного копирования важных файлов, если вы попытаетесь обновить систему.
(Эта функция не широко используется на ПК. Используйте на свой страх и риск.)
Обновление 2018-11
TL: DR; Вы можете попробовать fscrypt в Ubuntu 18.10+ или Linux Mint 19.1+
Похоже, это наконец-то исправлено. Вот предварительное руководство: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html
Я не цитирую здесь инструкции, потому что это требует некоторых хаков, и вы можете в конечном итоге потеряете данные вашего дома.
Предупреждение: Предупреждение от пользователя @dpg : «БУДЬТЕ ОСТОРОЖНЫ: я выполнил инструкции из этого« упреждающего руководства »(сделал это в соответствии с tty) и получил бесконечный цикл входа в систему. "
Рассматривайте это руководство только в образовательных целях.
Затем мой исходный ответ:
Исходный ответ 2018-05
TL; DR: используйте классическое домашнее шифрование с Linux Mint 19 Tara .
fscrypt для домашнего шифрования все еще не работает.
Как мне настроить fscrypt для шифрования моего каталога / home и дешифрования при входе в систему?
Это это то, чего хотят многие из нас. Похоже, что команда Ubuntu не смогла заставить ecryptfs работать без ошибок в Ubuntu 18.04 и не смогла исправить ошибки в fscrypt для опции домашнего шифрования вовремя для также запланирован выпуск Ubuntu 18.04.
Для fscrypt есть по крайней мере одна критическая ошибка, которая делает его непригодным для домашнего шифрования в настоящий момент:
Кроме того, мы ' Мне нужен прозрачный способ аутентификации / разблокировки, прежде чем он станет реальной альтернативой «старому» домашнему шифрованию типа ecryptfs. Это отслеживается здесь:
Открыв эти проблемы, вы можете считать, что домашнее шифрование сломано. При этом мы с коллегами считаем Ubuntu 18.04 18.04.1 незавершенным на данный момент и надеемся, что домашнее шифрование будет возвращено (с использованием нового и намного лучшего метода fscrypt ). в Ubuntu 18.04.1 18.04.2.
До этого момента мы придерживаемся Ubuntu 16.04. Мы переключили все наши машины на Linux Mint 19 Tara с классическим домашним шифрованием с использованием ecryptfs . Прочтите раздел «Известные проблемы» в Примечаниях к выпуску Linux Mint 19 Tara об ограничениях ecryptfs и посмотрите, приемлемо ли это для вас:
(...) имейте в виду, что в Mint 19 и более новых выпусках ваш зашифрованный домашний каталог больше не отключается при выходе из системы.
Если вы пробовали fscrypt и обнаружили, что это сломан для вашего использования,вы можете проголосовать «эта ошибка влияет и на меня» за следующую ошибку на панели запуска:
Обратите внимание, что fscrypt / ext4 -crypt (будущий «шифрование дома») - самый быстрый вариант, а ecryptfs (старый «шифрование дома») - самый медленный вариант. LUKS («зашифровать весь диск») находится посередине.
По этой причине «удобно» рекомендуется шифрование всего диска. Потому что, если у вас очень большие проекты с большим количеством маленьких файлов, вы часто используете управление версиями, делаете большие компиляции и так далее, вы обнаружите, что чрезмерное шифрование всего вашего диска действительно того стоит по сравнению с медлительностью старого типа ecryptfs. домашнее шифрование.
В конце концов, шифрование всего диска имеет несколько недостатков:
- Гостевая учетная запись
- Семейный ноутбук с частными учетными записями
- Использование PREY-подобного противоугонного программного обеспечения
Это озадачивает, что Canonical решила что «нам это больше не нужно» в их версии LTS, которая стала известна как их более «серьезный» дистрибутив.
Лично я почти никогда не рекомендовал бы кому-либо использовать шифрование файловой системы (FSE) для большинства случаев использования. Есть несколько причин, не последняя из которых - факт существования более эффективных альтернатив. Вы все говорите так, будто есть только два варианта: FSE или FDE (полное шифрование диска). Однако это просто не так. Фактически, есть два других варианта, которые принесут большую пользу OP: это шифрование файлового контейнера и зашифрованные архивы.
Шифрование файловых контейнеров - это то, для чего написаны такие программы, как Veracrypt и ныне несуществующий Truecrypt. Шифрование контейнера встроено в большинство программ для сжатия файлов, таких как Winzip и 7zip, в качестве опции при создании такого архива.
У обоих есть много преимуществ перед FSE, наиболее очевидным из которых является то, что вам не нужно оставлять их подключенными, пока вы не работаете с зашифрованными файлами. Это предотвращает доступ любого, кто может переопределить защиту ключа профиля пользователя и блокировки экрана. Кроме того, вы можете сделать что-то глупое, например отойти от компьютера, но забыть заблокировать экран или позволить кому-либо использовать компьютер, надеясь, что они не будут заглядывать в ваши скрытые каталоги. Кроме того, вы можете легко перемещать большие объемы файлов за один раз без необходимости шифровать их другим способом, поскольку контейнеры переносимы.
Одним из преимуществ того, что контейнеры Veracrypt так полезны, является тот факт, что они могут быть смонтированы как диск , и это позволяет вам форматировать их в отдельной файловой системе, предпочтительно в файловой системе без ведения журнала, например EXT2 или FAT32. Файловая система журналирования потенциально может привести к утечке информации злоумышленнику. Однако, если все, что вы делаете, это скрываете свои личные фотографии, это может быть не так важно для вас. Если же у вас есть государственная тайна или данные, охраняемые законом, то может. Вы также можете настроить их автоматическое монтирование при загрузке, если используется ключевой файл. Однако это не рекомендуется, поскольку файл ключа нужно будет хранить в менее безопасном месте, чем то, где FSE хранит ключ профиля пользователя.
Оба предлагают возможность использовать сжатие файлов. Вы также можете скрыть имена файлов, хотя это не всегда происходит при использовании сжатых архивов, в зависимости от используемого алгоритма сжатия.
Лично я использую шифрование контейнера для файлов, которые не будут перемещены, и зашифрованные архивы для файлов, которые будут перемещается или хранится в облаке, поскольку это файл меньшего размера.
Шифрование домашнего каталога все еще возможно с помощью шифрования контейнера. Может быть, сохранить свой ключ шифрования на YubiKey?
В любом случае, я просто хотел предложить вам все альтернативы, которые не упоминались в других плакатах. Не стесняйтесь соглашаться или не соглашаться со всем, что я сказал.