Разочарован, увидев, что установщик 18.04 больше не предлагает возможность зашифровать домашний каталог. Согласно этому отчету об ошибках, указанному в установщике, рекомендуемый метод шифрования в наши дни - полный диск с LUKS или fscrypt для каталогов. Полное шифрование диска кажется мне немного излишним, и все ошибки и предостережения, упомянутые в вики , не делают его очень привлекательным вариантом. Все, что я действительно хочу, - это защитить мой домашний каталог от доступа к моим документам, фотографиям и т. Д., Если мой ноутбук будет украден, что делает fscrypt для меня.
На странице fscrypt GitHub есть несколько примеров того, как ее настроить, но я не могу найти никакой документации, направленной на шифрование домашнего каталога в Ubuntu. Старый инструмент ecryptfs все еще доступен, но после его настройки Ubuntu иногда зависает на экране входа в систему.
Итак, мой вопрос: как мне настроить fscrypt для шифрования моего / home каталога и расшифровки при входе в систему? Мне также понравилось, как ecryptfs позволяет расшифровывать папку вручную (например, из образов дисков).
(Подобный вопрос был размещен здесь и, к сожалению, закрыт за то, что он является «не по теме» отчет об ошибке. Для пояснения, это не отчет об ошибке. Тот факт, что опция шифрования домашнего каталога была удалена из установщика, была преднамеренной. прошу вот как настроить fscrypt.)
источник
why encrypt the home?
, когда много пользователей, это полезно. Когда вы входите в систему, расшифровывается только ваш дом, но не остальныеОтветы:
Обновление 2019-07
Я использую несколько зашифрованных домов с
fscrypt
. Установите вашу систему без шифрования и используйте это руководство для реализацииfscrypt
в вашем доме.Будьте уверены, что
chmod 700
вы дома и / или использовать,umask 077
потому что fscrypt не устанавливает автоматически права доступа, как это былоecryptfs
раньше.API
fscrypt
может измениться в будущем, поэтому обязательно сделайте резервную копию важных файлов, если вы попытаетесь обновить свою систему.(Эта функция не широко используется на рабочем столе. Используйте на свой страх и риск.)
Обновление 2018-11
TL: DR; Вы можете попробовать
fscrypt
в Ubuntu 18.10+ или Linux Mint 19.1+Похоже, это было наконец исправлено. Вот упреждающее руководство: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html
Я не цитирую здесь инструкции, потому что это требует некоторых хаков, и вы можете потерять свои домашние данные.
Далее мой оригинальный ответ:
Оригинальный ответ 2018-05
TL; DR: используйте классическое домашнее шифрование с Linux Mint 19 Tara .
fscrypt
для дома шифрование все еще не работает.Это то, что многие из нас хотят. Похоже, что команда Ubuntu не смогла
ecryptfs
работать без ошибок в Ubuntu 18.04 и не смогла исправить ошибкиfscrypt
для опции домашнего шифрования во время запланированного выпуска Ubuntu 18.04.Для
fscrypt
, по крайней мере, одна критическая ошибка, которая делает его непригодным для домашнего шифрования на данный момент:Кроме того, нам нужен прозрачный способ аутентификации / разблокировки, прежде чем он станет реалистичной альтернативой «старому» домашнему шифрованию типа ecryptfs. Это отслеживается здесь:
Открыв эти проблемы, вы можете считать, что домашнее шифрование на этом этапе нарушено. При этом мы с коллегами считаем Ubuntu
18.0418.04.1 незавершенным на данный момент и надеемся, что домашнее шифрование будет восстановлено (с использованием нового и намного лучшегоfscrypt
метода) в Ubuntu18.04.118.04.2.До этого времени мы придерживаемся Ubuntu 16.04.Мы перевели все наши машины на Linux Mint 19 Tara с классическим домашним шифрованиемecryptfs
. Прочитайте раздел «известные проблемы» в Замечаниях по выпуску для Linux Mint 19 Tara обecryptfs
ограничениях и посмотрите, приемлемо ли это для вас:Если вы попробовали
fscrypt
и обнаружили, что он неисправен для вашего использования, вы можете проголосовать «эта ошибка также влияет на меня» при следующей ошибке на панели запуска:Обратите внимание, что
fscrypt
/ext4-crypt
(будущее «шифрование дома») - самый быстрый вариант, аecryptfs
(старое «шифрование дома») - самый медленный вариант.LUKS
(«Зашифровать весь диск») находится посередине.По этой причине рекомендуется использовать шифрование всего диска. Потому что, если у вас очень большие проекты с большим количеством маленьких файлов, вы часто используете управление ревизиями, делаете большие компиляции и так далее, вы обнаружите, что избыточное шифрование всего диска на самом деле того стоит по сравнению с медлительностью старого типа ecryptfs домашнее шифрование.
В конце концов, шифрование всего диска имеет несколько недостатков:
Удивительно, что Canonical решила, что «нам это больше не нужно» в своей версии LTS, известной как их более «серьезный» дистрибутив.
источник
/home/myuser
каталога. По какой-то причине он был root, поэтому смена владельца на моего пользователя решила проблему.Из ответа Пантеры здесь Полное шифрование диска шифрует все, включая / home, а шифрование только определенного каталога, такого как / home, шифруется только тогда, когда вы не вошли в систему.
Для шифрования существующего пользователя home dir:
Сначала выйдите из этой учетной записи и войдите в учетную запись администратора:
установите утилиты шифрования для работы:
из этой ошибки на панели запуска ecryptfs-utils теперь находится в репозитории юниверсов.
перенести домашнюю папку этого пользователя:
затем пароль пользователя этой учетной записи
Затем выйдите из системы и войдите в зашифрованную учетную запись пользователя - до перезагрузки! завершить процесс шифрования
Внутри учетной записи распечатайте и запишите пароль восстановления:
Теперь вы можете перезагрузиться и войти в систему. Как только вы будете удовлетворены, вы можете удалить резервную домашнюю папку.
Также, если вы хотите создать нового пользователя с зашифрованным домашним каталогом:
Для получения дополнительной информации: man ecryptfs-migrate-home ; man ecryptfs-setup-private
источник
Лично я почти никогда не рекомендовал бы использовать шифрование файловой системы (FSE) кому-либо, для большинства случаев использования. Есть несколько причин, не в последнюю очередь это факт существующих и более эффективных альтернатив. Вы все говорите так, будто есть только два варианта: FSE или FDE (Full Disk Encryption). Однако это просто не тот случай. Фактически, есть два других варианта, которые принесут больше пользы OP, это шифрование контейнеров файлов и зашифрованные архивы.
Шифрование контейнера файлов - это то, для чего написано программное обеспечение, такое как Veracrypt, и теперь уже несуществующий Truecrypt. Контейнерное шифрование встроено в большинство программ архивирования сжатых файлов, таких как Winzip и 7zip, в качестве опции при создании такого архива.
Оба имеют много преимуществ по сравнению с FSE, наиболее очевидным из которых является то, что вам не нужно оставлять их подключенными, пока вы не работаете с зашифрованными файлами. Это препятствует тому, чтобы кто-либо имел доступ к тому, кто может переопределить защиту ключа профиля пользователя и блокировки экрана. Кроме того, вы можете сделать что-то глупое, например отойти от компьютера, но забыть заблокировать экран или разрешить кому-либо пользоваться компьютером, надеясь, что они не заглянут в ваши скрытые каталоги. Кроме того, вы можете легко перемещать большое количество файлов за раз, без необходимости шифровать их другим способом, так как контейнеры переносимы.
Одним из преимуществ того, что контейнеры Veracrypt настолько полезны, является тот факт, что их можно монтировать как диск, и это позволяет форматировать их в отдельной файловой системе, предпочтительно файловой системе без журналирования, такой как EXT2 или FAT32. Журналирование файловой системы потенциально может привести к утечке информации злоумышленнику. Однако, если все, что вы делаете, это скрывает свои личные фотографии, это может быть не совсем уместно для вас. Если, с другой стороны, у вас есть государственные секреты или данные, защищенные законом, то это возможно. Вы также можете настроить их на автоматическое монтирование при загрузке, если используете файл ключа. Однако это не рекомендуется, поскольку файл ключа должен храниться где-то менее надежно, чем в том случае, когда FSE хранит ключ профиля пользователя.
Оба предлагают возможность использовать сжатие файлов. Вы также можете скрыть имена файлов, однако, это не всегда так при использовании сжатых архивов, в зависимости от используемого алгоритма сжатия.
Лично я использую контейнерное шифрование для файлов, которые не будут перемещены, и зашифрованные архивы для файлов, которые будут перемещаться или храниться в облаке, поскольку он имеет меньший размер.
Шифрование домашнего каталога все еще возможно с шифрованием контейнера. Может быть, хранить свой ключ шифрования на YubiKey?
В любом случае, я просто хотел предложить вам некоторые альтернативы, которые не упоминались другими авторами. Не стесняйтесь соглашаться или не соглашаться со всем, что я сказал.
источник
Если вы, как и я, делаете новую установку Ubuntu 18.04 поверх Ubuntu 16.04 и ранее зашифровали свою
/home
, вы увидите, что после установки вы не можете войти в систему. Все, что вам нужно сделать, это установить связанные с ecryptfs пакеты:sudo apt install ecryptfs-utils cryptsetup
перезагрузиться и войти в систему.Чтобы установить эти пакеты, вы можете либо войти в систему в свободном tty после загрузки budgie ( Cntrl+ Alt+ F1), либо войти в режим восстановления linux и установить его оттуда.
источник