Як користуватися ecryptfs з не домашнім каталогом

14

Я хотів би використовувати ecryptfs для шифрування випадкової каталогів (тобто, не мого домашнього каталогу чи його підкаталогу, головним чином, через обмеження місця на диску на моєму домашньому розділі) та встановлення цього каталогу під час входу в обліковий запис. Я не бачу, як це зробити, або навіть якщо це дійсно можливо з існуючим програмним забезпеченням. Я бачив публікації, які дають розпливчасті пропозиції (наприклад, для використання mount.ecryptfs_privateз опцією ALIAS), але мені ще потрібно знайти прості покрокові інструкції, як це зробити. Хтось міг би надати ці інструкції чи направити мене, де їх знайти?

mount  encryption  ecryptfs 
user3004015
джерело
2
Це найпростіший метод, який ви знайдете: wiki.archlinux.org/index.php/…
Rinzwind
1
Моя проблема з цим рішенням полягає в тому, що я вже маю зашифрований домашній каталог. Дивлячись на код ecryptsfs-setup-private, я не впевнений, що станеться, якщо ви вже маєте зашифрований будинок і насправді не хочете намагатися, боїтеся, щоб він зробив погані справи.
user3004015
1
Ви розумієте, чому дубль здається таким важким? Мені здається, що логічною річчю було б побудувати загальну систему для створення зашифрованих сховищ та папок та автоматичного їх автоматичного управління, а потім побудувати на цій системі для домашнього каталогу, але це програмне забезпечення, здається, було написано дуже багато з речей, провідних. Зберігання має бути. Приватне, каталог повинен бути приватним тощо.
user3004015
2
Використання zip-файла, захищеного паролем, не захищено криптографічно. Аналогічний підхід - використання gpg. Скажімо, ви хочете надійно зберігати папку, mydataщоб ви могли використовувати їх tar -c mydata | gpg --symmetric > mydata.tar.gpg && rm -rf mydataдля зберігання даних та gpg --decrypt mydata.tar.gpg | tar -xвідновлення даних. Ви можете легко використовувати свій приватний / відкритий ключ для захисту своїх даних, що видається доцільним. За допомогою цього методу слід зберігати лише невеликі обсяги даних. @Rinzwind
Арн Л.
1
Види поразок з метою шифрування даних, якщо ви rm -fR mydata. Ці дані можуть бути відновлені з диска задовго після того, як ви "видалите" їх. Я не знаю , як забезпечити це, але я б схилятися до «рекурсивний» шматувати замість: find mydata -type f -exec shred -uz -- {} \;. Зауважте, подрібнення ефективно лише на файлових системах, які не розміщуються в журналах, та на певних типах пристроїв. Там, де це важливо, слід дослідити найкращий спосіб. Я не думаю, що це безпечна практика: шифрування та розшифрування такого архіву. Шанси, що це буде неефективно.
бамбуки

Відповіді:

8

Ви дивитесь лише на надлегкі сценарії, як, наприклад, ecryptsfs-setup-privateі ecryptsfs-mount-privateвони використовують "загальніші" інструменти, які ви, здається, шукаєте: mount.ecryptfsі ecryptfs-add-passphrase. Перегляньте їхні manсторінки для отримання додаткової інформації.

А посилання, яке розміщував Rinzwind, містить всю необхідну інформацію, далі вниз по сторінці вручну . Вони досить довгі, але дуже коротка версія буде:

Шлях "Налаштування вручну" (wiki archlinux)

Спочатку вибирайте АЛІАС так, як вам подобається. У цьому розділі ALIAS буде таємним. Створіть необхідні каталоги / файли:

$ mkdir ~/.secret ~/secret ~/.ecryptfs
$ touch ~/.ecryptfs/secret.conf ~/.ecryptfs/secret.sig

У ~/.secretкаталозі зберігатимуться зашифровані дані. ~/secretКаталог точки монтування , де ~/.secretбуде встановлений як ecryptfs файлова система.

[Тепер створіть фактичну парольну фразу для монтування (легкі сценарії виберуть псевдовипадкові 32 символи з /dev/urandom), зробіть її гарною]

$ echo "$HOME/.secret $HOME/secret ecryptfs" > ~/.ecryptfs/secret.conf
$ ecryptfs-add-passphrase
Passphrase: 
Inserted auth tok with sig [78c6f0645fe62da0] into the user session keyring

Запишіть вихідний підпис (ecryptfs_sig) з попередньої команди в ~ / .ecryptfs / secret.sig:

$ echo 78c6f0645fe62da0 > ~/.ecryptfs/secret.sig

  • Може використовуватися друга парольна фраза для шифрування імені файлів. Якщо ви вибрали так, додайте його до брелоку:

    $ ecryptfs-add-passphrase
Passphrase: 
Inserted auth tok with sig [326a6d3e2a5d444a] into the user session keyring

    Якщо ви запустите команду вище, додайте її підпис (ecryptfs_fnek_sig) до ~ / .ecryptfs / secret.sig:

    $ echo 326a6d3e2a5d444a >> ~/.ecryptfs/secret.sig

Нарешті, встановити ~ / .secret на ~ / secret:

$ mount.ecryptfs_private secret

Щоб відключити ~ / .secret:

$ umount.ecryptfs_private secret

  • Або ви дійсно можете самі забруднити руки і слідувати вказівкам Без шифрів-утиліт .

  • Або якщо ви вже подивилися на прості сценарії ecryptsfs-setup-private& ecryptsfs-mount-private, ви, можливо, зможете скопіювати їх та відредагувати, щоб вказати на вибрані каталоги, з невеликим вмінням та терпінням.

  • Або просто зберігайте паролі (фрази) самостійно (надійно бажано) і робіть як man ecryptfsприклад сторінки (повинен читати довірені сторінки):

    The following command will layover mount eCryptfs on /secret with a passphrase
contained in a file stored on secure media mounted at /mnt/usb/.

mount  -t  ecryptfs -o key=passphrase:passphrase_passwd_file=/mnt/usb/file.txt /secret /secret

Where file.txt contains the contents "passphrase_passwd=[passphrase]".

Окрім зашифрованих домашніх папок та зашифрованої папки всередині домашньої папки eCryptfs

І, зашифрована домашня папка зазвичай зберігає файли /home/.ecryptfs/user/, тоді як зашифрована приватна папка має файли всередині вашої власної домашньої папки. Ви не можете використовувати обидві одночасно, eCryptfs не буде робити вкладені зашифровані папки. Але мати зашифрований будинок та зашифровані папки поза домом - це нормально.

  • Я щойно спробував створити нового користувача із зашифрованим домом sudo adduser --encrypt-home jack

    Він створив /home/.ecryptfs/папку з:

    • /home/.ecryptfs/jack/.ecryptfs/ - загорнуті парольні фрази та конфігураційні файли для автоматичного налаштування дому Джека під час входу

    • /home/.ecryptfs/jack/.Private/- фактичні зашифровані домашні файли, змонтовані під /home/jack/час входу.

      А також /home/jack/папку, але вона містила посилання, яке залишається там, увійшли чи ні:

      /home/jack/.ecryptfs/ -> /home/.ecryptfs/jack/.ecryptfs

    • Далі я ввійшов у систему як джек, але посилання все ще було, тому спроба запуску ecryptfs-setup-privateзмусила його заглянути, /home/jack/.ecryptfs/але дійсно побачити наявні файли, /home/.ecryptfs/jack/.ecryptfsтак що не вдалося створити інший файл пароля і не вдалося виконатиERROR: wrapped-passphrase file already exists, use --force to overwrite.

      Спроби кроків "ALIAS" вище, використовуючи папку .secret всередині зашифрованого будинку, не вдалося, з цими помилками:
      Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
      Reading sb failed; rc = [-22]

      "Вбудовані зашифровані каталоги всередині зашифрованих каталогів не підтримуються eCryptfs. Вибачте." - автор та супровідник eCryptfs

    • Змінюючи папку ALIAS за межами будинку Джека, пробуйте /tmp/.secret/& /tmp/secret/ працює . АЛЕ, якщо джек-журнал вимкнеться, нова зашифрована папка залишатиметься встановленою , тому вам доведеться відключити її ( umount.ecryptfs_private secret).

Xen2050
джерело
1
Дякуємо за спрощену відповідь. Хоча одне питання: чи вирішує це проблема автоустановки? Вибачте за те, що з цього приводу досить щільно, але вказану вами веб-сторінку та чоловічі сторінки не дуже легко зрозуміти щодо налаштування автоматичного монтування для нестандартної ситуації. Оскільки у мене вже є зашифрований домашній каталог, у мене вже є $ HOME / .ecryptfs / auto-mount та wrapped-passphrase, але перший порожній, а другий вже має щось у ньому. Мені не зовсім зрозуміло, як додати нову парольну фразу і доручити її автоматично монтувати каталог.
user3004015
Оновлено з невеликим тестуванням, і цьому хлопцеві ragingpenguin.com/2012/12/…, мабуть, пощастило слідувати керівництву арки Wiki щодо автоматичного монтажу з PAM, але він про це досить щільно
схопився
Дякуємо за ваші зусилля. Мені не цікаво вкладати каталоги ecryptfs, але автоматично встановити другий каталог на другому місці. Я спробую змусити його працювати, коли у мене буде трохи часу, але це, безумовно, не дуже зрозуміло ...
user3004015
Можна обрізати його до одного mountрядка, не потрібен .confфайл або клавіші для додавання, просто прочитайте man ecryptfsсторінки для наявних варіантів. Потім вкиньте файл "запустити при вході" /home/user/.config/autostart/. Але безпека парольної фрази може загрожувати при неправильному зберіганні
Xen2050
Вся справа в тому, що у ecryptfs є гарна система загортання паролів шифрування всередині обгортки, яка відкривається паролем для входу. Це забезпечує додатковий захист пароля ecryptfs, який було б непогано мати. Я не думаю, що щось вставити в .config / autostart дозволить це, якщо я не розумію того, що я повинен вкласти в сценарій.
user3004015
0

Якщо ви хочете використовувати його як encfs, ви можете зробити це за допомогою наступного вводу /etc/fstab

/tmp/.geheim /tmp/geheim ecryptfs rw,no_sig_cache,ecryptfs_fnek_sig=1f7aefb9e239099f,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_enable_filename_crypto=y,ecryptfs_passthrough=n,passphrase_passwd=geheimpw,user,noauto 0 0

geheim - це німецьке слово для секрету, але гарантує, що це не ключове слово. Спершу потрібно створити каталоги. Перший час вам слід піти ecryptfs_fnek_sig=1f7aefb9e239099fподалі. Тоді mount /tmp/geheimпокаже вам правильне значення.

Ви можете зберігати пароль в іншому місці та встановлювати більш складні параметри. Ви знайдете всі варіанти в man ecryptfs.

нільс
джерело
-1 
ecryptfs /destination/to/encrypted/storage /destination/to/seeing/unencrypted/data

наприклад:

ecryptfs /home/$USER/EFILES /home/$USER/Downloads/RANDOMDIRECTORY

скористайтеся командою вище, щоб створити та змонтувати зашифровану систему, де файли, збережені в RANDOMDIRECTORY, шифруються та зберігаються у EFILES.

додаткові нотатки. переконайтеся, що RANDOMDIRECTORY порожній, коли ви починаєте. Після запуску команди вище, і система змонтована і готова до роботи, будь-які файли, збережені в RANDOMDIRECTORY, будуть зашифровані в EFILES, якщо система встановлена. Для швидкої moount / unmount ви можете створити скрипт bash та запустити його за допомогою ярлика програми або створити команду псевдонім для швидкого монтажу.

Я цим користуюся вже більше року.

EDIT: пішов додому, щоб підтвердити, ваша команда не є криптовалютами. його encfs, тобто

encfs /destination/encrypted /destination/unencrypted

Вибач за це. З цим вам доведеться встановити нову програму tho (ймовірно)

dr1094
джерело
1
Я набрав команду, ecryptfsі вона відповідає команда не знайдена. man ecryptfsвідкриває довідкову сторінку для mount -t ecryptfs, але насправді не пояснює, як створити таку зашифровану файлову систему.
user3004015
Зауважте, що я використовую Ubuntu 14.04 LTS, тому моя установка відносно недавня. Чи є ecryptfsкоманда останнім доповненням?
користувач3004015
encfs - це не те саме, що ecryptfs. Це дві різні.
Діагон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.