Jak zaszyfrować / home na Ubuntu 18.04?

Rozczarowany, widząc, że instalator 18.04 nie oferuje już opcji szyfrowania katalogu domowego. Według tego raportu o błędach, do którego odwołuje się instalator, zalecaną obecnie metodą szyfrowania jest użycie pełnego dysku z LUKS lub fscrypt dla katalogów. Szyfrowanie całego dysku wydaje się nieco przesadne dla moich potrzeb, a wszystkie błędy i zastrzeżenia wymienione na Wiki nie sprawiają, że jest to bardzo atrakcyjna opcja. Wszystko, czego naprawdę chcę, to chronić mój katalog domowy przed kimś, kto ma dostęp do moich dokumentów, zdjęć itp., Jeśli mój laptop zostanie skradziony, dzięki czemu fscrypt jest dla mnie opcją.

Strona fscrypt GitHub zawiera kilka przykładów, jak to skonfigurować, ale nie mogę znaleźć żadnej dokumentacji mającej na celu zaszyfrowanie katalogu domowego na Ubuntu. Stare narzędzie ecryptfs jest nadal dostępne, ale po skonfigurowaniu system Ubuntu czasami zawiesza się na ekranie logowania.

Więc moje pytanie brzmi: jak skonfigurować fscrypt do szyfrowania mojego katalogu / home i odszyfrowywania po zalogowaniu? Podobało mi się również, w jaki sposób ecryptfs umożliwia ręczne odszyfrowanie folderu (np. Z obrazów dysku).

(Podobne pytanie zostało zamieszczone tutaj i zostało niestety zamknięte jako raport o błędach „nie na temat”. Aby to wyjaśnić, nie jest to raport o błędzie. Fakt, że opcja instalowania katalogu głównego szyfrowania została usunięta z instalatora, była zamierzona. Pytam tutaj, jak skonfigurować fscrypt.)

Aktualizacja 2019-07

Korzystam z wielu zaszyfrowanych domów fscrypt. Zainstaluj system bez szyfrowania i skorzystaj z tego przewodnika, aby wdrożyć go fscryptw domu.

Pamiętaj o chmod 700swoim domu i / lub użyciu, umask 077ponieważ fscrypt nie ustawia automatycznie uprawnień, tak jak ecryptfskiedyś.

Interfejs API, który fscryptmoże ulec zmianie w przyszłości, więc wykonaj kopię zapasową ważnych plików, jeśli spróbujesz zaktualizować system.

(Ta funkcja nie jest powszechnie używana na komputerze. Korzystaj z niej na własne ryzyko).

Aktualizacja 2018-11

TL: DR; Możesz spróbować fscryptw Ubuntu 18.10+ lub Linux Mint 19.1+

Wygląda na to, że w końcu zostało to naprawione. Oto wyprzedzający przewodnik: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Nie cytuję tutaj instrukcji, ponieważ wymaga to trochę włamań i możesz stracić swoje dane domowe.

Ostrzeżenie: Ostrzeżenie od użytkownika @dpg : „ UWAŻAJ : Postępowałem zgodnie z instrukcjami z tego„ przewodnika wyprzedzającego ”(zrobiłem to pod tty) i otrzymałem nieskończoną pętlę logowania.”

Rozważ ten przewodnik wyłącznie w celach edukacyjnych.

Następna jest moja oryginalna odpowiedź:

Oryginalna odpowiedź 2018-05

TL; DR: Użyj klasycznego domowego szyfrowania w Linux Mint 19 Tara .

fscrypt ponieważ szyfrowanie w domu jest nadal zepsute.

Jak skonfigurować fscrypt do szyfrowania mojego katalogu / home i odszyfrowywania po zalogowaniu?

To jest coś, czego wielu z nas chce. Wygląda na to, że zespół Ubuntu nie mógł bezbłędnie ecryptfspracować na Ubuntu 18.04 i nie mógł naprawić błędów fscryptopcji szyfrowania w domu przed zaplanowanym wydaniem Ubuntu 18.04.

Bo fscryptjest co najmniej jeden krytyczny błąd, który sprawia, że ​​obecnie nie nadaje się do szyfrowania w domu:

• fscrypt / Issues / 77

Ponadto potrzebowalibyśmy przejrzystego sposobu uwierzytelniania / odblokowywania, zanim będzie to realistyczna alternatywa dla „starego” szyfrowania domowego typu ecryptfs. Jest to śledzone tutaj:

• fscrypt / Issues / 95

Po otwarciu tych problemów można uznać, że szyfrowanie domowe zostało zerwane w tym momencie. Dzięki temu moi koledzy i ja uważamy, że Ubuntu 18.04 18.04.1 jest niedokończony, i mam nadzieję, że szyfrowanie domowe zostanie przywrócone (przy użyciu nowej i znacznie lepszej fscryptmetody) w Ubuntu 18.04.1 18.04.2.

Do tego czasu trzymamy się Ubuntu 16.04. Wszystkie nasze maszyny zmieniliśmy na Linux Mint 19 Tara z klasycznym szyfrowaniem domowym ecryptfs. Przeczytaj sekcję „znane problemy” w Uwagach do wydania dla systemu Linux Mint 19 Tara na temat ecryptfsograniczeń i sprawdź, czy jest to do zaakceptowania:

(...) pamiętaj, że w wersji Mint 19 i nowszych zaszyfrowany katalog domowy nie jest już odmontowywany podczas wylogowywania.

Jeśli próbowałeś fscrypti okazało się, że jest uszkodzony z powodu twojego użycia, możesz głosować „ten błąd dotyczy mnie też” w następującym błędzie startera:

• ubuntu / fscrypt / + bug / 1768340

Zauważ, że fscrypt/ ext4-crypt(przyszły „szyfruj dom”) jest najszybszą opcją, a ecryptfs(stary „szyfruj dom”) jest najwolniejszą opcją. LUKS(„szyfruj cały dysk”) znajduje się na środku.

Z tego powodu zalecane jest „wygodne” szyfrowanie całego dysku. Ponieważ jeśli masz bardzo duże projekty z wieloma małymi plikami, często korzystaj z zarządzania poprawkami, twórz duże kompilacje itp., Przekonasz się, że przesada szyfrowania całego dysku jest tego warta w porównaniu do powolności starego typu ecryptfs szyfrowanie domu.

Ostatecznie szyfrowanie całego dysku ma wiele wad:

• Konto gościa
• Laptop rodzinny z kontami prywatnymi
• Korzystanie z podobnego do PREY oprogramowania antywłamaniowego

Zastanawiające jest to, że Canonical zdecydował, że „już tego nie potrzebujemy” w wersji LTS, która stała się znana jako bardziej „poważna” dystrybucja.

Z odpowiedzi Panther tutaj Szyfrowanie całego dysku szyfruje wszystko, w tym / home, a szyfrowanie tylko określonego katalogu, takiego jak / home, jest szyfrowane tylko wtedy, gdy nie jesteś zalogowany.

Aby zaszyfrować istniejącego domu użytkowników reż:

Najpierw wyloguj się z tego konta i zaloguj się na konto administratora:

zainstaluj narzędzia szyfrujące dla zadania:

 sudo apt install ecryptfs-utils cryptsetup

z tego błędu startera ecryptfs-utils jest teraz w repozytorium wszechświata.

migruj folder domowy tego użytkownika:

sudo ecryptfs-migrate-home -u <user>

następnie hasło użytkownika do tego konta

Następnie wyloguj się i zaloguj na konto zaszyfrowanych użytkowników - przed ponownym uruchomieniem! aby zakończyć proces szyfrowania

Wewnątrz konta wydrukuj i zapisz hasło odzyskiwania:

ecryptfs-unwrap-passphrase

Możesz teraz ponownie uruchomić komputer i zalogować się. Gdy będziesz zadowolony, możesz usunąć kopię zapasową folderu domowego.

Również jeśli chcesz utworzyć nowego użytkownika z zaszyfrowanym katalogiem domowym:

sudo adduser --encrypt-home <user>

Aby uzyskać więcej informacji: man ecryptfs-migrate-home ; man ecryptfs-setup-private

Osobiście prawie nigdy nie polecałbym nikomu używania szyfrowania systemu plików (FSE), w większości przypadków. Istnieje kilka powodów, z których nie mniej ważnym jest fakt istnienia skuteczniejszych alternatyw. Wszyscy mówicie, jakby były tylko dwie opcje, albo FSE albo FDE (pełne szyfrowanie dysku). Jednak tak po prostu nie jest. W rzeczywistości istnieją dwie inne opcje, z których obie przyniosłyby znacznie większe korzyści OP, a mianowicie szyfrowanie kontenerów plików i szyfrowanie archiwów.

Do szyfrowania kontenerów plików służy oprogramowanie takie jak Veracrypt i nieistniejący już Truecrypt. Szyfrowanie kontenerów jest wbudowane w większość programów do archiwizacji kompresji plików, takich jak Winzip i 7zip, jako opcja przy tworzeniu takiego archiwum.

Oba mają wiele zalet w stosunku do FSE, najbardziej oczywistym jest to, że nie musisz pozostawiać ich zamontowanych, gdy nie pracujesz z zaszyfrowanymi plikami. Uniemożliwia to każdemu dostęp do tego, kto może zastąpić zabezpieczenia klucza profilu użytkownika i blokady ekranu. Możesz też zrobić coś głupiego, na przykład odejść od komputera, ale zapomnij zablokować ekran lub zezwolić komuś na korzystanie z komputera, mając nadzieję, że nie zajrzy on do twoich ukrytych katalogów. Ponadto możesz łatwo przenosić duże ilości plików jednocześnie, bez potrzeby szyfrowania ich w inny sposób, ponieważ pojemniki są przenośne.

Jedną z zalet, że kontenery Veracrypt są tak przydatne, jest fakt, że można je zamontować jako dysk, co pozwala na ich sformatowanie za pomocą osobnego systemu plików, najlepiej systemu plików bez dzienników, takiego jak EXT2 lub FAT32. System plików kronikowania może potencjalnie ujawnić atakującemu informacje. Jeśli jednak wszystko, co robisz, to ukrywanie osobistych zdjęć, może to nie być dla Ciebie istotne. Jeśli z drugiej strony masz tajemnice państwowe lub dane chronione prawnie, może to mieć miejsce. Możesz również ustawić je tak, aby automatycznie instalowały się podczas uruchamiania, jeśli używasz pliku klucza. Nie jest to jednak zalecane, ponieważ plik klucza musiałby być przechowywany w miejscu mniej bezpiecznym niż tam, gdzie FSE przechowuje klucz profilu użytkownika.

Oba oferują możliwość korzystania z kompresji plików. Możesz także ukryć nazwy plików, chociaż nie zawsze tak jest w przypadku korzystania ze skompresowanych archiwów, w zależności od użytego algorytmu kompresji.

Osobiście używam szyfrowania kontenera dla plików, które nie zostaną przeniesione, oraz zaszyfrowanych archiwów dla plików, które zostaną przeniesione lub zapisane w chmurze, ponieważ jest to mniejszy rozmiar pliku.

Szyfrowanie katalogu domowego jest nadal możliwe dzięki szyfrowaniu kontenerów. Może przechowujesz swój klucz szyfrujący na YubiKey?

Tak czy inaczej, chciałem zaoferować wam wszystkie alternatywy, o których inni nie wspominali. Możesz się zgodzić lub nie zgodzić z tym, co powiedziałem.

Jeśli, podobnie jak ja, przeprowadzasz świeżą instalację Ubuntu 18.04 na Ubuntu 16.04 i wcześniej zaszyfrowałeś swój system /home, zobaczysz, że po instalacji nie możesz się zalogować. Wszystko, co musisz zrobić, to zainstalować pakiety związane z ecryptfs:, sudo apt install ecryptfs-utils cryptsetupuruchom ponownie komputer i zaloguj się.

Aby zainstalować te pakiety, możesz zalogować się w zapasowym tty po załadowaniu budgie ( Cntrl+ Alt+ F1) lub wejść w tryb odzyskiwania systemu Linux i zainstalować go stamtąd.