Какой самый простой способ зашифровать каталог? (в Ubuntu)

13

Какой самый простой способ зашифровать каталог в системе на основе Ubuntu?

Допустим, у меня есть ноутбук с Ubuntu 10.04, и у меня есть некоторые документы, которые следует хранить в безопасности (если я потеряю ноутбук).

Допустим, все документы находятся в каталоге ~ / work /, и ничего секретного в этом каталоге нет. Так что не нужно шифровать весь домашний каталог.

Должен быть способ заблокировать / разблокировать этот каталог из командной строки.

Кажется, есть несколько разных способов сделать это:

  • ecryptfs-Utils
  • Cryptsetup
  • truecrypt (однако не утвержденный OSI с открытым исходным кодом)

Но какой самый простой и надежный метод?

Спасибо Йохан


Обновление : связанный вопрос, но не тот же. Какой самый простой способ зашифровать все мои файлы в Ubuntu 10.04?

Johan
источник
2
Кого волнует, если Truecrypt не одобрен OSI? OSI одобрил это не равный лучшее программное обеспечение. Трюкрипт - лучший из всех, и в некоторых случаях он даже мешал ФБР.
TheLQ
3
Программное обеспечение, использующее одобренные OSI лицензии, безопаснее.
Йохан

Ответы:

10

Существует три способа: установить зашифрованный том в разделе ( dm-cryptнастроенный с помощью cryptsetup), настроить файл, который является зашифрованным томом (truecrypt), настроить каталог, в котором каждый файл зашифрован отдельно ( ecryptfsили encfs).

Настройка зашифрованного тома обеспечивает немного большую конфиденциальность, поскольку метаданные (размер, время изменения) ваших файлов невидимы. С другой стороны, он менее гибкий (вам нужно заранее определиться с размером зашифрованного тома). В ecryptfs FAQ перечислены некоторые различия между этими двумя подходами.

Если вы решите зашифровать файл за файлом, мне известны два варианта: ecryptfsи encfs. Первый использует драйвер в ядре, а второй использует FUSE. Это может дать ecryptfsпреимущество в скорости; это дает encfsпреимущество гибкости, так как ничего не нужно делать как root. Возможное преимущество ecryptfsзаключается в том, что после выполнения начальной настройки вы можете использовать свой пароль для входа в систему в качестве пароля файловой системы благодаря pam_ecryptfsмодулю.

Для своего собственного использования в подобной ситуации я выбрал encfs, потому что я не видел никакой реальной выгоды в плане безопасности для других решений, поэтому определяющим фактором была простота использования. Производительность не была проблемой. Рабочий процесс очень прост (при первом запуске encfsсоздается файловая система):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Я также рекомендую вам зашифровать пространство подкачки и любое место, куда могут быть записаны временные конфиденциальные файлы, такие как /tmpи /var/spool/cups(если вы печатаете конфиденциальные файлы). Используйте cryptsetupдля шифрования вашего раздела подкачки. Самый простой способ справиться с этим /tmp- сохранить его в памяти, смонтировав его так tmpfs(в любом случае это может дать небольшой выигрыш в производительности).

Жиль "ТАК - перестань быть злым"
источник
Я не думал о / tmp, но tmpfs хорошо решает эту проблему. Просто сделайте реальное отключение: s.
Йохан
1
Спасибо за обучение encfs! Это фантастика!
user39559 9.09.10
1

Я исключительно использую TrueCrypt для таких вещей. Одобрено OSI или нет, я нахожу, что это никогда не подводит меня, и мне много раз требовалось шифрование.

easyegoism
источник
1

Быстрый и легкий путь к tarи , compressа затем bcrypt.

tar cfj safe-archive.tar.bz2 Каталог / 
bcrypt safe-archive.tar.bz2 
# дважды попросит вас ввести пароль из 8 символов, чтобы заблокировать его.
# Но не забудьте удалить ваш каталог после этого,
Каталог rm -rf / 
# И, надеюсь, вы не забудете пароль, или ваши данные исчезли!

Делает safe-archive.tar.bz2.bfe- что вы можете переименовать, если вы чувствуете себя параноиком по этому поводу.

Чтобы открыть зашифрованный пакет,

bcrypt safe-archive.tar.bz2.bf3 # Или как вы там это называли
tar xfj safe-archive.tar.bz2 
# И ваш каталог вернулся!

Если вы готовы стать более грязным, я бы предложил truecryptи делать зашифрованные тома.
Но я не думаю, что это необходимо для регулярных данных (например, не связанных с национальной безопасностью).

PS: обратите внимание, что я не утверждаю, что bcrypt слаб или неспособен обеспечить национальную безопасность.


Ответьте на комментарии к моему ответу выше.
Я попытался дать простой ответ - и я согласен, что мой выбор не предлагать Truecrypt в качестве первого варианта может быть неподходящим для некоторых здесь.

Вопрос требует простого способа шифрования каталога.
Моя мера безопасности здесь основана на двух вещах,

  1. Что вы хотите обезопасить и
  2. От кого вы хотите его обезопасить?

Я оцениваю это как уровень вашей «паранойи».

Теперь, не говоря уже о том, что Truecrypt (или другие подобные методы) являются более дорогостоящими,
все, что я хочу сказать, это то, что последовательность bcrypt, запущенная в tmpfs, достаточна для вашего ежедневного использования сегодня
(этого не будет, вероятно, примерно через десятилетие, я Угадай, но это действительно пока).
И я также предполагаю, что ценность защищаемых здесь данных не будет сопоставимой для попытки «восстановления» класса Мона-Лизы.

Простой вопрос - ожидаете ли вы, что кто-то попытается захватить ваш выключенный ноутбук и попытаться восстановить данные из его холодного пространства ОЗУ?
Если вы это сделаете, вам, вероятно, следует сначала пересмотреть свое аппаратное и программное обеспечение, проверить, к какому интернет-провайдеру вы подключаетесь, кто может слышать нажатия клавиш и т. Д.

PS: я люблю Truecrypt и использую его. Соответствие OSI или его отсутствие не имеет большого значения. И я не ставлю bcryptи схему, предложенную здесь, в конкурсе на это.

Nik
источник
2
Хотя я даю ответ +1, для истинно параноиков среди нас ... в зависимости от ценности ваших данных это может быть плохой идеей. Пользователь должен понимать, что этот метод, очевидно, оставляет файлы удаленного каталога на диске, где они потенциально могут быть восстановлены «плохими парнями». Просто посмотрите на SU для «восстановления удаленных файлов в Linux», чтобы увидеть, насколько это безопасно ...
hotei
@ Хотей, да, Truecryptбудет решать такие осложнения. Еще один прием - использовать tmpfsмонтирование в ОЗУ для работы с зашифрованным каталогом - скопировать его bfeна ramdisk, поработать с ним там, снова зашифровать и сохранить зашифрованный архив обратно в файловую систему.
Ник
2
Я бы пошел на шаг дальше, чем @hotei, и сказал бы, что на самом деле это не качество, как шифрование, поскольку восстановить файлы так просто (есть целый рынок, посвященный восстановлению файлов). Шифрование должно быть шифрованием. Это только ложное чувство шифрования
TheLQ
2
@nik: Мало того, что метод в вашем ответе небезопасен, как объяснил Хотей, он также подвержен ошибкам (что, если вы забудете удалить расшифрованные файлы?). Даже ваше предложение об использовании tmpfsочень рискованно: что если вы забудете перешифровать файлы и потерять свои модификации? что если компьютер выйдет из строя (вы потеряете все свои модификации)? Это также излишне сложно. Есть много реальных способов решить эту проблему с помощью соответствующих инструментов, просто используйте один из них.
Жиль "ТАК - перестать быть злым"
1
@nik Была выставка в соседнем университете, которая показала, что даже после часа работы ОЗУ вы все равно можете разглядеть фотографию Моны Лизы, которая была загружена в память. Если вы сразу не перезагрузите компьютер, восстановить данные из оперативной памяти будет очень легко. Truecrypt, IIRC, шифрует свою оперативную память.
digitxp
1

Если вы беспокоитесь только о потере ноутбука, Ubuntu ecryptfsуже настроен для вас.

Просто выберите «Зашифрованный домашний каталог», когда вы создаете свою учетную запись, и дайте ей хороший пароль. Это защитит все, что находится внутри вашей домашней папки.

Да, он будет шифровать более, чем ~/work, но это без проблем.

Для /tmpиспользования tmpfs.

Плюсы:

  • Вам не нужно больше ничего делать, Ubuntu сделает все за вас.
  • Ваши друзья могут использовать ваш компьютер на ходу, им потребуется пароль только для доступа к вашим файлам.

Против:

  • Есть и другие места, где вы делаете утечку данных - ответ Жиля самый полный (+1 для него).

Итак, если вы не думаете, что какой-то судебный эксперт попытается получить данные из напечатанного вами материала, этого достаточно.

ecryptfsМожно также зашифровать файл подкачки, но я рекомендую вам просто отключить обмен, если с вами не случилось, что вы вышли из ОЗУ. Жизнь лучше без свопа. (или просто запустите ecryptfs-setup-swapи следуйте инструкциям, чтобы изменить fstab)


Предупреждение . В любом случае, если только вы не приобрели этот ноутбук, на вашем жестком диске уже записано много материала. Я нашел кучу вещей в себе, и ничто не прояснило бы это. Вам необходимо сделать резервную копию на другом диске или разделе, перезаписать текущую файловую систему нулями и восстановить ваши файлы (разумеется, восстанавливать конфиденциальные файлы можно только после настройки шифрования).

user39559
источник
1

Самый простой и быстрый способ установить это - установить ecryptfs-utils и cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Затем, когда закончите, загляните в свой систрей. Вы увидите значок двух ключей. Нажмите на нее и выберите «Новая зашифрованная папка». Введите имя и нажмите кнопку «Вперед» (странно внизу слева, а не справа). Затем введите нужный пароль, подтвердите его и снова нажмите «Переслать», а затем нажмите «ОК».

Это смонтирует зашифрованную папку, и вы сможете скопировать в нее файлы. Когда вы закончите, если вы выйдете из системы или снимите флажок с этой смонтированной папки (для этого щелкните значок «Ключи» в системном окне), для повторного подключения потребуется пароль.

Volomike
источник