Apa cara termudah untuk mengenkripsi direktori pada sistem berbasis Ubuntu?
Katakanlah saya punya laptop yang menjalankan Ubuntu 10.04, dan saya punya beberapa dokumen yang harus disimpan dengan aman (jika saya kehilangan laptop).
Katakanlah semua dokumen ada dalam direktori yang disebut ~ / work /, dan tidak ada rahasia di luar direktori ini. Jadi tidak perlu mengenkripsi seluruh dir home.
Akan ada cara untuk mengunci / membuka kunci dir ini dari baris perintah.
Tampaknya ada beberapa cara untuk melakukan ini:
- ecryptfs-utils
- cryptsetup
- truecrypt (namun bukan open source yang disetujui OSI)
Tetapi apa metode yang paling mudah dan dapat diandalkan?
Terima kasih, Johan
Perbarui : Pertanyaan terkait, tetapi tidak sama. Apa cara termudah untuk mengenkripsi semua file saya di ubuntu 10.04?
Jawaban:
Ada tiga metode: mengatur volume terenkripsi pada partisi (
dm-crypt
, dikonfigurasi dengancryptsetup
), mengatur file yang merupakan volume terenkripsi (truecrypt), mengatur direktori di mana setiap file dienkripsi secara terpisah (ecryptfs
atauencfs
).Menyiapkan volume terenkripsi memberikan sedikit lebih banyak kerahasiaan, karena metadata (ukuran, waktu modifikasi) file Anda tidak terlihat. Pada sisi negatifnya, ini kurang fleksibel (Anda harus memutuskan ukuran volume yang dienkripsi sebelumnya). The ecryptfs FAQ daftar beberapa perbedaan antara dua pendekatan.
Jika Anda memilih untuk mengenkripsi file per file, saya mengetahui dua opsi:
ecryptfs
danencfs
. Yang pertama menggunakan driver di-kernel sedangkan yang terakhir menggunakan FUSE. Ini mungkin memberikanecryptfs
keuntungan kecepatan; itu memberikanencfs
keuntungan fleksibilitas karena tidak ada yang perlu dilakukan sebagai root. Manfaat yang mungkin dariecryptfs
adalah bahwa setelah Anda melakukan pengaturan awal, Anda dapat menggunakan kata sandi login sebagai kata sandi sistem file berkatpam_ecryptfs
modul ini.Untuk penggunaan saya sendiri dalam situasi yang sama, saya memilih
encfs
, karena saya tidak melihat manfaat keamanan aktual untuk solusi lain sehingga kemudahan penggunaan adalah faktor penentu. Performa tidak menjadi masalah. Alur kerjanya sangat sederhana (jalankan pertama dariencfs
menciptakan filesystem):Saya sarankan Anda juga mengenkripsi ruang swap Anda dan tempat di mana file rahasia sementara dapat ditulis, seperti
/tmp
dan/var/spool/cups
(jika Anda mencetak file rahasia). Gunakancryptsetup
untuk mengenkripsi partisi swap Anda. Cara termudah untuk berurusan/tmp
adalah dengan menyimpannya dalam memori dengan memasangnya sebagaitmpfs
(ini dapat memberikan sedikit manfaat kinerja dalam hal apa pun).sumber
encfs
! Ini fantastis!Saya secara eksklusif menggunakan TrueCrypt untuk hal-hal seperti itu. Disetujui OSI atau tidak, saya merasa tidak pernah mengecewakan saya, dan saya-membutuhkan enkripsi beberapa kali.
sumber
Cara cepat dan mudah adalah dengan
tar
dancompress
kemudianbcrypt
.Membuat
safe-archive.tar.bz2.bfe
- yang dapat Anda rename jika Anda merasa paranoid tentang hal itu.Untuk membuka paket terenkripsi,
Jika Anda siap menjadi lebih berantakan, saya sarankan
truecrypt
, dan buat volume terenkripsi.Tapi, saya pikir itu tidak perlu untuk data reguler (seperti tidak terkait dengan keamanan nasional, katakanlah).
ps: perhatikan bahwa saya tidak menyarankan bcrypt lemah atau tidak mampu melakukan keamanan nasional dengan cara apa pun.
Balas komentar pada jawaban saya di atas.
Saya mencoba memberikan jawaban sederhana - dan, saya setuju bahwa pilihan saya untuk tidak menyarankan Truecrypt sebagai opsi pertama mungkin tidak sesuai untuk beberapa orang di sini.
Pertanyaannya menanyakan cara mudah untuk mengenkripsi direktori.
Ukuran keamanan saya di sini didasarkan pada dua hal,
Saya menilai ini sebagai tingkat 'paranoia' Anda.
Sekarang, tanpa mengatakan Truecrypt (atau metode serupa lainnya) lebih mahal, yang
ingin saya katakan adalah, urutan bcrypt yang dijalankan dalam tmpfs sudah cukup untuk penggunaan sehari-hari Anda hari ini
(tidak akan begitu, mungkin, dalam sekitar satu dekade, saya tebak, tapi ini benar-benar untuk saat ini).
Dan, saya juga berasumsi bahwa nilai data yang diamankan di sini tidak akan sebanding dengan upaya 'pemulihan' kelas mona-lisa.
Pertanyaan sederhana kemudian - apakah Anda mengharapkan seseorang mencoba mengambil laptop Anda yang sudah mati dan mencoba memulihkan data dari ruang RAM yang dingin?
Jika ya, Anda mungkin harus mempertimbangkan kembali perangkat keras dan perangkat lunak Anda, periksa ISP mana yang Anda hubungkan, siapa yang dapat mendengar penekanan tombol Anda, dan sebagainya.
ps: Saya suka Truecrypt dan menggunakannya. Kepatuhan OSI, atau kurangnya OSI, tidak terlalu penting. Dan, saya tidak panggung
bcrypt
dan skema yang diusulkan di sini dalam persaingan untuk itu.sumber
Truecrypt
akan mengatasi komplikasi semacam itu. Trik lain adalah menggunakantmpfs
mount pada RAM untuk bekerja dengan direktori terenkripsi - salinbfe
ke ramdisk, bekerja dengan itu di sana, mengenkripsi lagi dan menyimpan arsip terenkripsi kembali ke sistem file.tmpfs
sangat berisiko: bagaimana jika Anda lupa untuk mengenkripsi ulang file dan kehilangan modifikasi Anda? bagaimana jika komputer macet (Anda akan kehilangan semua modifikasi Anda)? Ini juga tidak perlu rumit. Ada banyak cara aktual untuk memecahkan masalah ini menggunakan alat yang sesuai, cukup gunakan salah satunya.Jika Anda hanya khawatir kehilangan laptop Anda, Ubuntu
ecryptfs
sudah siap untuk Anda.Cukup pilih "direktori rumah terenkripsi" saat Anda membuat akun pengguna dan memberikannya kata sandi yang layak. Ini akan melindungi apa pun yang ada di dalam folder rumah Anda.
Ya, itu akan mengenkripsi lebih dari
~/work
, tetapi mulus.Untuk
/tmp
digunakantmpfs
.Pro:
Menipu:
Jadi, jika Anda tidak berpikir beberapa ahli forensik akan mencoba untuk mendapatkan data dari barang yang telah Anda cetak, ini cukup baik.
ecryptfs
dapat mengenkripsi swap juga, tetapi saya sarankan Anda hanya menonaktifkan swap kecuali jika Anda telah kehabisan RAM. Hidup lebih baik tanpa swap. (atau jalankanecryptfs-setup-swap
dan ikuti instruksi untuk mengubah fstab)Peringatan : Bagaimanapun, kecuali Anda baru saja mendapatkan laptop ini, sudah ada banyak hal yang ditulis ke hard disk Anda. Saya menemukan banyak barang di tambang saya dan tidak ada yang akan membersihkannya. Anda perlu membuat cadangan ke drive atau partisi lain, menimpa sistem file Anda saat ini dengan nol, dan mengembalikan file Anda (tentu saja, hanya mengembalikan file sensitif setelah enkripsi diatur).
sumber
Cara termudah dan tercepat untuk mengatur ini adalah menginstal ecryptfs-utils dan cryptkeeper :
sudo apt-get install ecryptfs-utils cryptkeeper
Kemudian, setelah selesai, lihat di systray Anda. Anda akan melihat ikon dua tombol. Klik dan pilih Folder Terenkripsi Baru. Ketik nama dan klik tombol Maju (anehnya di kiri bawah, bukan kanan). Kemudian, ketikkan kata sandi yang Anda inginkan, konfirmasi ulang, dan klik Maju lagi, lalu OK.
Ini akan memasang folder terenkripsi dan Anda dapat menyalin file ke dalamnya. Setelah selesai, jika Anda keluar atau menghapus centang pada folder yang di-mount (klik ikon Keys di systray untuk melakukannya), itu akan memerlukan kata sandi lagi sebelum Anda memasangnya kembali.
sumber