Який найпростіший спосіб зашифрувати dir? (на Ubuntu)

13

Який найпростіший спосіб зашифрувати каталог у системі на базі Ubuntu?

Скажімо, у мене є ноутбук під управлінням Ubuntu 10.04, і на цьому у мене є деякі документи, які слід зберігати в безпеці (якщо я втрачу ноутбук).

Скажімо, всі документи містяться в режимі, який називається ~ / робота /, і нічого секретного немає за межами цього режиму. Тож не потрібно шифрувати весь дім dir.

Існує спосіб заблокувати / розблокувати цей dir з командного рядка.

Здається, є кілька різних способів зробити це:

криптовалюти-утиліти
криптовалюта
truecrypt (однак відкритим кодом не затверджено OSI)

Але який найпростіший і надійний метод?

Дякую Йохану

Оновлення : Пов'язане запитання, але не те саме Що найпростіший спосіб зашифрувати всі мої файли в ubuntu 10.04?

ubuntu encryption disk-encryption

— Йохан
джерело

2

Кого хвилює, якщо Truecrypt не затверджено OSI? Затверджена OSI не відповідає кращому програмному забезпеченню. Truecrypt - найкращий варіант і навіть зірвав ФБР у кількох випадках.

— TheLQ

3

Програмне забезпечення, що використовує ліцензії, затверджені OSI, відчуває себе більш безпечним.

— Йоган

1

@TheLQ, @Johan: superuser.com/questions/164162/is-truecrypt-truly-safe

— Hello71

10

Існує три методи: встановити зашифрований том на розділі ( dm-cryptналаштований з cryptsetup), налаштувати файл, який є зашифрованим томом (truecrypt), створити каталог, де кожен файл шифрується окремо ( ecryptfsабо encfs).

Налаштування зашифрованого тома надає трохи більшої конфіденційності, оскільки метадані (розмір, час модифікації) ваших файлів невидимі. З іншого боку, вона менш гнучка (ви повинні заздалегідь визначитися з розміром зашифрованого об'єму). У ecryptfs FAQ перераховані деякі відмінності між цими двома підходами.

Якщо ви вирішили шифрувати файл за файлом, я знаю два варіанти: ecryptfsі encfs. Перший використовує драйвер внутрішнього ядра, а другий використовує FUSE. Це може дати ecryptfsперевагу швидкості; це дає encfsперевагу гнучкості, оскільки нічого не потрібно робити як root. Можлива перевага ecryptfsполягає в тому, що після завершення налаштування ви можете використовувати свій пароль для входу як пароль файлової системи завдяки pam_ecryptfsмодулю.

Для власного використання в подібній ситуації я вибрав encfs, оскільки не бачив фактичної користі для безпеки для інших рішень, тому визначальним фактором було простота використання. Продуктивність не була проблемою. Робочий процес дуже простий (перший запуск encfsстворює файлову систему):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Я рекомендую вам також зашифрувати свій обмінний простір та будь-яке місце, куди можуть записуватися тимчасові конфіденційні файли, наприклад, /tmpта /var/spool/cups(якщо ви друкуєте конфіденційні файли). Використовуйте cryptsetupдля шифрування вашого розділу swap. Найпростіший спосіб поводження /tmp- це зберегти його в пам’яті, встановивши його як tmpfs(це може дати невелику користь від продуктивності у будь-якому випадку).

— Жил "ТАК - перестань бути злим"
джерело

Я не думав про / tmp, але tmpfs вирішує цю проблему приємно. Просто виконайте справжнє відключення: s.

— Йоган

1

Дякуємо за навчання encfs! Це фантастично!

— користувач39559

1

Я винятково використовую TrueCrypt для таких речей. Я підтверджую OSI чи ні, я вважаю, що це ніколи мене не підводить, і мені потрібне шифрування кілька разів.

— легкоегоїзм
джерело

1

Швидкий і легкий шлях до tarі , compressа потім bcrypt.

tar cfj safe-archive.tar.bz2 Каталог / 
bcrypt safe-archive.tar.bz2 
# запитає вам 8-разовий пароль, щоб заблокувати його.
# Але пам’ятайте, що після цього видалити Каталог,
rm -rf Каталог / 
# І, сподіваюся, ви не забудете пароль, або ваші дані зникли!

Робить safe-archive.tar.bz2.bfe- які ви можете перейменувати, якщо відчуваєте себе параноїком.

Щоб відкрити зашифрований пакет,

bcrypt safe-archive.tar.bz2.bf3 # Або, як би ви його не назвали
tar xfj safe-archive.tar.bz2 
# І, ваш каталог повернувся!

Якщо ви готові стати більш безладним, я б запропонував truecryptі зробити зашифровані томи.
Але я не думаю, що це потрібно для регулярних даних (наприклад, не пов'язаних з національною безпекою).

^{ps: зауважте, що я не припускаю, що криптовалюта є слабкою або нездатною до національної безпеки.}

Відповідь на коментарі до моєї відповіді вище.
Я намагався дати просту відповідь - і я згоден, що мій вибір не пропонувати Truecrypt як перший варіант може бути невідповідним деяким тут.

Питання задає простий спосіб шифрування каталогу.
Мій рівень безпеки тут базується на двох речах,

Що ви хочете забезпечити і
Від кого ви хочете убезпечити це

Я оцінюю це як рівень вашої «параної».

Тепер, не кажучи, що Truecrypt (або інші подібні методи) коштують дорожче,
все, що я хочу сказати, - послідовність bcrypt, запущена в tmpfs, є достатньою для щоденного використання сьогодні
(це не буде так, напевно, приблизно через десятиліття, я здогадуйтесь, але це справді наразі).
І я також припускаю, що значення захищених тут даних не буде порівнянним для спроби відновлення класу «мона-ліза».

Тоді просте запитання - чи очікуєте ви, що хтось спробує захопити ваш відключений ноутбук і спробувати відновити дані з його холодного простору оперативної пам’яті?
Якщо ви це зробите, вам, ймовірно, варто передусім переглянути своє обладнання та програмне забезпечення, перевірте, до якого провайдера ви підключитесь, хто чує ваші натискання клавіш тощо.

^{ps: Мені подобається Truecrypt і використовую його. Відповідність OSI або її відсутність насправді не має значення. І я не інсценіруюсь bcryptі схема, запропонована тут, в конкурентній боротьбі з нею.}

— нік
джерело

2

Поки я даю відповідь +1, для справді параноїка серед нас ... залежно від цінності ваших даних це може бути поганою ідеєю. Користувач повинен усвідомити, що цей метод очевидно залишає файли видалених каталогів на диску, де їх потенційно можуть бути відновлені "поганими хлопцями". Подивіться навколо SU на "відновлення видалених файлів в Linux", щоб побачити, наскільки це безпечно ...

— hotei

@hotei, так, Truecryptвирішить подібні ускладнення. Іншим фокусом було б використання tmpfsкріплення на оперативній пам’яті для роботи з зашифрованим каталогом - скопіюйте в bferamdisk, працюйте з ним там, зашифруйте знову і збережіть зашифрований архів назад у файлову систему.

— nik

2

Я б пішов на крок далі, ніж це зробив @hotei, і сказав, що це насправді не якість, як шифрування, оскільки його так легко відновити файли (для відновлення файлів існує весь ринок ). Шифрування потребує шифрування. Це лише помилкове відчуття шифрування

— TheLQ

2

@nik: Метод у вашій відповіді не є небезпечним, як пояснив hotei, він також схильний до помилок (що робити, якщо ви забудете видалити розшифровані файли?). Навіть ваша пропозиція щодо використання tmpfsдуже ризикована: що робити, якщо ви забудете повторно зашифрувати файли та втратити свої модифікації? що робити, якщо комп'ютер виходить з ладу (ви втратите всі свої модифікації)? Це також непотрібно складно. Існує багато актуальних способів вирішити цю проблему за допомогою відповідних інструментів, просто скористайтеся одним з них.

— Жил "ТАК - перестань бути злим"

1

@nik У сусідньому університеті була виставка, яка показала, що навіть через годину вимкнення оперативної пам’яті ви все одно можете розкрити картинку Мона Лізи, завантаженої в пам’ять. Якщо ви не перезавантажите машину відразу після цього, відновити дані з оперативної пам'яті дуже просто. Truecrypt, IIRC, шифрує свою ОЗП.

— digitxp

1

Якщо ви переживаєте лише про те, щоб втратити ноутбук, Ubuntu ecryptfsвже налаштував вас.

Просто виберіть "зашифрований домашній каталог" під час створення свого облікового запису користувача та вкажіть йому гідний пароль. Це захистить все, що знаходиться у вашій домашній папці.

Так, він буде шифрувати більше ~/work, але це безшовно.

Для /tmpвикористання tmpfs.

Плюси:

Вам більше не потрібно нічого робити, Ubuntu робить все за вас.
Ваші друзі можуть використовувати ваш комп’ютер у дорозі, їм знадобиться пароль, лише якщо вони хочуть отримати доступ до ваших файлів.

Con:

Є й інші місця, де ви робите дані про витік - відповідь Гілла є найбільш повною (+1 для нього).

Отже, якщо ви не думаєте, що якийсь експерт-криміналіст спробує отримати дані з матеріалів, які ви надрукували, це досить добре.

ecryptfsможе також зашифрувати своп, але я рекомендую вам просто відключити swap, якщо вам не трапилось, що ви вийшли з оперативної пам'яті. Життя краще без свопів. (або просто запустіть ecryptfs-setup-swapі дотримуйтесь інструкцій, щоб змінити fstab)

Попередження : У будь-якому випадку, якщо ви тільки не придбали цей ноутбук, на вашому жорсткому диску вже написано багато матеріалів. Я знайшов купу речі в моєму, і нічого не зрозуміло б це. Вам потрібно зробити резервну копію на інший диск або розділ, перезаписати поточну файлову систему нулями та відновити файли (звичайно, відновити чутливі файли можна лише після налаштування шифрування).

— користувач39559
джерело

1

Найпростіший, найшвидший спосіб налаштувати це - встановити ecryptfs-utils та cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Потім, закінчивши, загляньте у свій виступ. Ви побачите піктограму з двох клавіш. Клацніть по ньому та оберіть «Нова зашифрована папка». Введіть ім’я та натисніть кнопку Вперед (як не дивно внизу ліворуч, а не праворуч). Потім введіть потрібний пароль, ще раз підтвердіть його та натисніть знову Переслати, а потім ОК.

Це дозволить змонтувати зашифровану папку, і ви можете скопіювати файли в неї. Якщо ви закінчите, якщо ви вийдете або зніміть прапорець із встановленої папки (для цього натисніть піктограму «Клавіші»), перед тим, як повторно встановити її, знову знадобиться пароль.

— Воломіке
джерело