Bagaimana cara Mengenkripsi / beranda di Ubuntu 18.04?

57

Kecewa melihat bahwa penginstal 18.04 tidak lagi menawarkan opsi untuk mengenkripsi direktori home. Menurut ini laporan bug dirujuk dalam installer, metode yang direkomendasikan untuk enkripsi hari ini adalah full-disk dengan LUKS, atau fscrypt untuk direktori. Enkripsi cakram penuh sepertinya sedikit berlebihan untuk kebutuhan saya, dan semua bug dan peringatan yang disebutkan di Wiki tidak menjadikannya pilihan yang sangat menarik. Yang saya inginkan adalah melindungi direktori home saya dari seseorang yang mengakses dokumen, foto, dll. Jika laptop saya dicuri, menjadikan fscrypt opsi untuk saya.

Halaman fscrypt GitHub memiliki beberapa contoh tentang cara mengaturnya, tetapi saya tidak dapat menemukan dokumentasi yang ditujukan untuk mengenkripsi direktori home di Ubuntu. Alat ecryptfs lama masih tersedia, tetapi setelah pengaturannya Ubuntu kadang-kadang akan membeku di layar login.

Jadi pertanyaan saya adalah: Bagaimana cara mengatur fscrypt untuk mengenkripsi direktori / home saya dan mendekripsi ketika saya login? Saya juga menyukai bagaimana ecryptfs memungkinkan mendekripsi folder secara manual (mis. Dari gambar disk).

(Pertanyaan serupa telah diposting di sini dan sayangnya ditutup karena laporan bug "off-topic". Untuk memperjelas, ini bukan laporan bug. Fakta bahwa opsi direktori home terenkripsi telah dihapus dari penginstal disengaja. Semua saya Yang saya tanyakan di sini adalah cara mengatur fscrypt.)

elight24
sumber
2
@Panther Apakah LUKS memungkinkan untuk mendekripsi file yang disimpan pada drive cadangan? Alasan saya bertanya adalah karena saya membuat cadangan sistem lengkap saya dari Windows dengan Macrium Reflect. Jika saya perlu mengeluarkan beberapa file dari cadangan, saya perlu cara untuk mendekripsi file yang dicadangkan. Dengan ecryptfs, yang harus saya lakukan adalah mencolokkan drive saya dan menjalankan skrip yang tersimpan di folder terenkripsi.
elight24
7
Jadi bagaimana dengan kita yang memiliki folder rumah terenkripsi dari 16,04, tetapi tidak dapat me-mount-nya baru karena opsi "mengenkripsi folder rumah" hilang sekarang dari installer? Kami bahkan tidak bisa masuk. Ini konyol.
SunnyDaze
2
@ SunnyDaze Sudah beberapa saat sejak saya harus me-mount data saya secara manual, tapi saya percaya perintah untuk itu adalah "ecryptfs-mount-private".
elight24
3
Anda mungkin bingung menggunakan LUKS pada seluruh disk, ini tidak akan berfungsi dengan windows dual booting, vs menggunakan LUKS pada partisi Ubuntu, berfungsi baik dual boot dengan windows. Saya belum membaca halaman wiki
Panther
2
Enkripsi disk penuh sangat bagus dan berfungsi dengan baik. Tapi itu cukup hanya jika itu adalah komputer pribadi Anda dan Anda adalah satu-satunya pengguna. Jika seseorang bertanya-tanya why encrypt the home?, ketika ada banyak pengguna itu berguna. Ketika Anda masuk, hanya rumah Anda yang didekripsi tetapi tidak yang lain
AnthonyB

Jawaban:

25

Perbarui 2019-07

Saya menjalankan beberapa rumah terenkripsi dengan fscrypt. Instal sistem Anda tanpa enkripsi dan gunakan panduan ini untuk diterapkan fscryptdi rumah Anda.

Pastikan ke chmod 700rumah Anda dan / atau gunakan umask 077karena fscrypt tidak secara otomatis mengatur izin seperti ecryptfsdulu.

API untuk fscryptdapat berubah di masa mendatang, jadi pastikan untuk membuat cadangan file penting Anda jika Anda mencoba untuk meningkatkan sistem Anda.

(Fitur ini tidak banyak digunakan di Desktop. Gunakan dengan risiko Anda sendiri.)

Perbarui 2018-11

TL: DR; Anda dapat mencoba fscryptdi Ubuntu 18.10+ atau Linux Mint 19.1+

Sepertinya ini akhirnya diperbaiki. Berikut panduan pencegahan: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Saya tidak mengutip instruksi di sini karena memang memerlukan beberapa peretasan dan Anda akhirnya dapat kehilangan data rumah Anda.

Peringatan: Peringatan dari pengguna @dpg : "HATI-HATI: Saya mengikuti instruksi dari" panduan pre-emptive "(melakukannya di bawah tty), dan mendapat loop login tanpa batas."

Pertimbangkan panduan ini hanya untuk tujuan pendidikan.

Berikutnya adalah jawaban asli saya:

Jawaban Asli 2018-05

TL; DR: Gunakan enkripsi rumah klasik dengan Linux Mint 19 Tara .

fscrypt untuk enkripsi rumah masih rusak.


Bagaimana cara mengatur fscrypt untuk mengenkripsi direktori / home saya dan mendekripsi ketika saya masuk?

Ini adalah sesuatu yang banyak dari kita inginkan. Tampaknya tim Ubuntu tidak bisa ecryptfsbekerja bebas bug di Ubuntu 18.04, dan tidak bisa memperbaiki bug fscryptuntuk opsi enkripsi rumah pada waktunya untuk rilis Ubuntu 18.04 yang dijadwalkan.

Sebab fscrypt, setidaknya ada satu bug penting yang membuatnya tidak dapat digunakan untuk enkripsi rumah saat ini:

Selain itu, kami membutuhkan cara yang transparan untuk mengautentikasi / membuka kunci sebelum ini merupakan alternatif yang realistis untuk enkripsi rumah tipe "lama" ecryptfs. Ini dilacak di sini:

Dengan masalah ini terbuka, Anda dapat mempertimbangkan enkripsi rumah rusak pada saat ini. Dengan itu, kolega saya dan saya menganggap Ubuntu 18.04 18.04.1 belum selesai saat ini, dan berharap enkripsi rumah akan dikembalikan (menggunakan metode baru dan jauh lebih baik fscrypt) di Ubuntu 18.04.1 18.04.2.

Sampai saat itu, kami tetap menggunakan Ubuntu 16.04. Kami telah mengalihkan semua mesin kami ke Linux Mint 19 Tara dengan enkripsi rumah klasik ecryptfs. Baca bagian "masalah yang diketahui" di Catatan Rilis untuk Linux Mint 19 Tara tentang ecryptfsbatasannya, dan lihat apakah ini dapat Anda terima:

(...) perlu diketahui bahwa di Mint 19 dan rilis yang lebih baru, direktori home terenkripsi Anda tidak lagi dilepas pada saat logout.

Jika Anda telah mencoba fscryptdan menemukannya rusak untuk penggunaan Anda, Anda dapat memilih "bug ini mempengaruhi saya juga" di bug launchpad berikut:


Perhatikan bahwa fscrypt/ ext4-crypt("enkripsi rumah" masa depan) adalah opsi tercepat, dan ecryptfs("enkripsi rumah" lama) adalah pilihan paling lambat. LUKS("mengenkripsi seluruh drive") ada di tengah.

Karena alasan ini, seluruh enkripsi disk 'mudah' direkomendasikan. Karena jika Anda memiliki proyek yang sangat besar dengan banyak file kecil, gunakan manajemen revisi banyak, buat kompilasi besar, dan sebagainya, Anda akan menemukan bahwa terlalu banyak mengenkripsi seluruh drive Anda benar-benar layak dibandingkan dengan lambatnya tipe-ecryptfs lama enkripsi rumah.

Pada akhirnya, mengenkripsi seluruh drive memiliki beberapa kelemahan:

  • Akun tamu
  • Laptop keluarga dengan akun pribadi
  • Menggunakan perangkat lunak anti pencurian seperti PREY

Sangat membingungkan bahwa Canonical memutuskan bahwa "kita tidak perlu ini lagi" pada versi LTS mereka, yang kemudian dikenal sebagai distribusi "serius" mereka.

Redsandro
sumber
2
Ubuntu 18.04.1 dirilis hari ini, dengan kedua bug masih berdiri. Saya berharap melihat fscrypt di 18.04.2, tapi saya sedikit kurang optimis sekarang. Perbarui!
Nonny Moose
2
@NonnyMoose diperbarui - lihat bagian tebal di tengah tulisan saya.
Redsandro
3
Wow! ketika orang meningkatkan dari 16.04 ke 18.04, apa yang terjadi pada ~!?
MaxB
2
HATI-HATI: Saya mengikuti instruksi dari "pre-emptive guide" (melakukannya di bawah tty), dan mendapat infinite login loop. Sudah mencoba dua kali pada instalasi baru 18,10 dengan hasil yang sama.
PetroCliff
2
Dalam kasus seseorang masuk ke loop login tak terbatas setelah enkripsi, tetapi bisa masuk tty. Dalam kasus saya, itu disebabkan oleh pemilik /home/myuserdirektori yang salah. Itu root untuk beberapa alasan, jadi mengubah pemilik ke pengguna saya memecahkan masalah.
PetroCliff
8

Dari jawaban Panther di sini Enkripsi disk lengkap mengenkripsi semuanya termasuk / home sementara mengenkripsi hanya dir tertentu seperti / home hanya dienkripsi ketika Anda tidak login.

Untuk mengenkripsi direktori home pengguna yang ada:

Logout pertama dari akun itu dan masuk ke akun admin:

instal utilitas enkripsi untuk pekerjaan:

 sudo apt install ecryptfs-utils cryptsetup

dari itu launchpad bug ecryptfs-utils sekarang di repo semesta.

bermigrasi folder rumah dari pengguna itu:

sudo ecryptfs-migrate-home -u <user>

diikuti oleh kata sandi pengguna akun itu

Lalu logout dan masuk ke akun pengguna terenkripsi - sebelum reboot! untuk menyelesaikan proses enkripsi

Di dalam akun cetak dan catat frasa sandi pemulihan:

ecryptfs-unwrap-passphrase

Anda sekarang dapat reboot dan masuk. Setelah puas, Anda dapat menghapus folder beranda cadangan.

Juga jika Anda ingin membuat pengguna baru dengan direktori home terenkripsi:

sudo adduser --encrypt-home <user>

Untuk info lebih lanjut: man ecryptfs-migrate-home ; man ecryptfs-setup-private

ptetteh227
sumber
2
Terima kasih atas jawabannya, ptetteh. Saya mencoba metode itu tempo hari, tetapi sepertinya menyebabkan masalah ketika masuk. Kadang-kadang akan membeku di layar login dan menyebabkan saya harus reboot. Saya menginstal ulang 18,04 hanya untuk memastikan bahwa itu bukan sesuatu yang menyebabkan masalah, dan sejauh ini semuanya tampak baik-baik saja. Jika ecryptfs sekarang dianggap tidak layak untuk dimasukkan secara default, saya pikir yang terbaik bagi saya untuk menggunakan LUKS atau fscrypt.
elight24
1
Ini bekerja untuk saya dalam instalasi yang bersih (18.04.1). Saya harus melakukannya dalam "mode pemulihan". Unwrap tidak diperlukan seperti saat Anda masuk, itu akan memberi tahu Anda tentang hal itu dan meminta Anda untuk menuliskan frasa sandi yang dihasilkan. Terima kasih!
lepe
2
ecryptfs tidak akan berfungsi jika Anda memiliki beberapa nama jalur yang lebih panjang (> ~ 140 karakter) di direktori home Anda. Lihat unix.stackexchange.com/questions/32795/…
Sebastian Stark
1

Secara pribadi, saya hampir tidak akan merekomendasikan menggunakan Enkripsi Sistem File (FSE) kepada siapa pun, untuk sebagian besar kasus penggunaan. Ada beberapa alasan, yang paling tidak adalah fakta yang ada, dan alternatif yang lebih efektif. Anda semua berbicara seperti hanya ada dua opsi, baik FSE atau FDE (Enkripsi Disk Penuh). Namun, itu tidak terjadi. Bahkan, ada dua opsi lain yang akan menguntungkan OP jauh lebih besar, yaitu Enkripsi Wadah File dan Arsip Terenkripsi.

Enkripsi wadah file adalah perangkat lunak seperti Veracrypt, dan Truecrypt yang sekarang sudah mati ditulis untuk. Enkripsi kontainer dibangun ke sebagian besar perangkat lunak arsip kompresi file seperti Winzip dan 7zip, sebagai opsi saat membuat arsip seperti itu.

Keduanya sama-sama memiliki banyak kelebihan dibandingkan FSE, yang paling jelas adalah Anda tidak perlu membiarkan mereka tetap terpasang saat Anda tidak bekerja dengan file terenkripsi Anda. Itu mencegah siapa pun untuk dapat mengakses siapa yang bisa menimpa perlindungan kunci profil pengguna, dan kunci layar. Juga, Anda mungkin melakukan sesuatu yang bodoh, seperti menjauh dari komputer Anda, tetapi lupa mengunci layar, atau mengizinkan seseorang menggunakan komputer, dan berharap mereka tidak akan mengintip direktori tersembunyi Anda. Selain itu, Anda dapat dengan mudah memindahkan sejumlah besar file sekaligus, tanpa perlu mengenkripsi mereka dengan cara lain, karena wadahnya portabel.

Satu keuntungan bahwa wadah Veracrypt sangat berguna adalah kenyataan bahwa mereka dapat dipasang sebagai drive, dan yang memungkinkan Anda untuk memformatnya dengan sistem file terpisah, lebih disukai sistem file non-jurnal, seperti EXT2 atau FAT32. Sistem file jurnal berpotensi bocor informasi ke penyerang. Namun, jika semua yang Anda lakukan adalah menyembunyikan foto pribadi Anda, ini mungkin tidak semua yang relevan bagi Anda. Sebaliknya, jika Anda memiliki rahasia negara atau data yang dilindungi secara hukum, maka itu mungkin. Anda juga dapat mengatur mereka untuk secara otomatis me-mount saat boot up, jika menggunakan file kunci. Namun, itu tidak disarankan, karena file kunci perlu disimpan di tempat yang kurang aman daripada tempat FSE menyimpan kunci profil pengguna.

Keduanya menawarkan kemampuan untuk menggunakan kompresi file. Anda juga dapat menyembunyikan nama file, meskipun, tidak selalu terjadi ketika menggunakan arsip terkompresi, tergantung pada algoritma kompresi tertentu yang digunakan.

Secara pribadi, saya menggunakan enkripsi wadah untuk file yang tidak akan dipindahkan, dan arsip terenkripsi untuk file yang akan dipindahkan atau disimpan di cloud, karena itu ukuran file yang lebih kecil.

Mengenkripsi direktori Home masih dimungkinkan dengan enkripsi kontainer. Mungkin menyimpan kunci enkripsi Anda di YubiKey?

Ngomong-ngomong, saya hanya ingin menawarkan kepada Anda semua alternatif yang tidak disebutkan oleh poster-poster lain. Jangan ragu untuk setuju, atau tidak setuju dengan apa pun yang saya katakan.

Tuan Cypherpunk
sumber
8
Hai. Saya punya beberapa komentar tentang "pengasuh bayi" Anda contoh: - pertama, di banyak tempat orang mungkin mengharapkan pengasuh rata-rata menjadi remaja secara default, yang membuatnya sedikit analogi yang mengganggu untuk turun ke utas seperti ini. Kedua, saya hanya ingin menegaskan bahwa ada banyak kasus penggunaan yang lebih baik untuk enkripsi daripada menyembunyikan rahasia yang bersalah.
mwfearnley
Kontainer berukuran tetap, enkripsi sistem file (fscrypt, eCryptfs, EncFS, dll) hanya memakan ruang sebanyak file, dan dapat tumbuh & menyusut sesuai itu. QED. PS Anda tampaknya tidak menyadari bahwa eCryptfs hanya dapat mengenkripsi satu direktori di rumah, mendekripsi hanya dengan kemauan.
Xen2050
3
Jujur, jawaban ini bermanfaat, tetapi kontennya tidak sopan. Hanya karena mengaitkan enkripsi dengan aktivitas kriminal, seolah-olah tidak ada cukup itu di media. Enkripsi adalah untuk perlindungan dari aktivitas kriminal. Saya tidak dapat memilih karena ini. Sakit menghapus komentar ini setelah edit terjadi.
Todd
1
Perhatikan bahwa jika Anda tidak dapat mempercayai root (uid: 0), maka Anda tidak dapat menggunakan sistem untuk enkripsi apa pun (baik itu FSE, wadah atau arsip). Semua sistem enkripsi rentan jika Anda membuka enkripsi dan menjauh dari sistem tanpa menguncinya dengan aman. Juga, jika Anda tidak mengenkripsi seluruh sistem file Anda, Anda harus memahami bahwa secara potensial semua aplikasi yang menyentuh file rahasia berpotensi membuat salinan yang tidak dienkripsi di luar partisi aman Anda.
Mikko Rantalainen
0

Jika Anda, seperti saya sebelumnya, sedang melakukan instalasi baru Ubuntu 18.04 melalui Ubuntu 16.04 dan Anda sebelumnya telah mengenkripsi Anda /home, Anda akan melihat bahwa Anda tidak dapat login setelah instalasi. Yang perlu Anda lakukan adalah menginstal paket-paket yang terkait dengan ecryptfs:, sudo apt install ecryptfs-utils cryptsetupreboot dan login.

Untuk menginstal paket-paket tersebut Anda dapat login di tty cadangan sekali budgie telah memuat ( Cntrl+ Alt+ F1) atau masuk dalam mode pemulihan linux dan menginstalnya dari sana.

Akronix
sumber