Kecewa melihat bahwa penginstal 18.04 tidak lagi menawarkan opsi untuk mengenkripsi direktori home. Menurut ini laporan bug dirujuk dalam installer, metode yang direkomendasikan untuk enkripsi hari ini adalah full-disk dengan LUKS, atau fscrypt untuk direktori. Enkripsi cakram penuh sepertinya sedikit berlebihan untuk kebutuhan saya, dan semua bug dan peringatan yang disebutkan di Wiki tidak menjadikannya pilihan yang sangat menarik. Yang saya inginkan adalah melindungi direktori home saya dari seseorang yang mengakses dokumen, foto, dll. Jika laptop saya dicuri, menjadikan fscrypt opsi untuk saya.
Halaman fscrypt GitHub memiliki beberapa contoh tentang cara mengaturnya, tetapi saya tidak dapat menemukan dokumentasi yang ditujukan untuk mengenkripsi direktori home di Ubuntu. Alat ecryptfs lama masih tersedia, tetapi setelah pengaturannya Ubuntu kadang-kadang akan membeku di layar login.
Jadi pertanyaan saya adalah: Bagaimana cara mengatur fscrypt untuk mengenkripsi direktori / home saya dan mendekripsi ketika saya login? Saya juga menyukai bagaimana ecryptfs memungkinkan mendekripsi folder secara manual (mis. Dari gambar disk).
(Pertanyaan serupa telah diposting di sini dan sayangnya ditutup karena laporan bug "off-topic". Untuk memperjelas, ini bukan laporan bug. Fakta bahwa opsi direktori home terenkripsi telah dihapus dari penginstal disengaja. Semua saya Yang saya tanyakan di sini adalah cara mengatur fscrypt.)
sumber
why encrypt the home?
, ketika ada banyak pengguna itu berguna. Ketika Anda masuk, hanya rumah Anda yang didekripsi tetapi tidak yang lainJawaban:
Perbarui 2019-07
Saya menjalankan beberapa rumah terenkripsi dengan
fscrypt
. Instal sistem Anda tanpa enkripsi dan gunakan panduan ini untuk diterapkanfscrypt
di rumah Anda.Pastikan ke
chmod 700
rumah Anda dan / atau gunakanumask 077
karena fscrypt tidak secara otomatis mengatur izin sepertiecryptfs
dulu.API untuk
fscrypt
dapat berubah di masa mendatang, jadi pastikan untuk membuat cadangan file penting Anda jika Anda mencoba untuk meningkatkan sistem Anda.(Fitur ini tidak banyak digunakan di Desktop. Gunakan dengan risiko Anda sendiri.)
Perbarui 2018-11
TL: DR; Anda dapat mencoba
fscrypt
di Ubuntu 18.10+ atau Linux Mint 19.1+Sepertinya ini akhirnya diperbaiki. Berikut panduan pencegahan: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html
Saya tidak mengutip instruksi di sini karena memang memerlukan beberapa peretasan dan Anda akhirnya dapat kehilangan data rumah Anda.
Berikutnya adalah jawaban asli saya:
Jawaban Asli 2018-05
TL; DR: Gunakan enkripsi rumah klasik dengan Linux Mint 19 Tara .
fscrypt
untuk enkripsi rumah masih rusak.Ini adalah sesuatu yang banyak dari kita inginkan. Tampaknya tim Ubuntu tidak bisa
ecryptfs
bekerja bebas bug di Ubuntu 18.04, dan tidak bisa memperbaiki bugfscrypt
untuk opsi enkripsi rumah pada waktunya untuk rilis Ubuntu 18.04 yang dijadwalkan.Sebab
fscrypt
, setidaknya ada satu bug penting yang membuatnya tidak dapat digunakan untuk enkripsi rumah saat ini:Selain itu, kami membutuhkan cara yang transparan untuk mengautentikasi / membuka kunci sebelum ini merupakan alternatif yang realistis untuk enkripsi rumah tipe "lama" ecryptfs. Ini dilacak di sini:
Dengan masalah ini terbuka, Anda dapat mempertimbangkan enkripsi rumah rusak pada saat ini. Dengan itu, kolega saya dan saya menganggap Ubuntu
18.0418.04.1 belum selesai saat ini, dan berharap enkripsi rumah akan dikembalikan (menggunakan metode baru dan jauh lebih baikfscrypt
) di Ubuntu18.04.118.04.2.Sampai saat itu, kami tetap menggunakan Ubuntu 16.04.Kami telah mengalihkan semua mesin kami ke Linux Mint 19 Tara dengan enkripsi rumah klasikecryptfs
. Baca bagian "masalah yang diketahui" di Catatan Rilis untuk Linux Mint 19 Tara tentangecryptfs
batasannya, dan lihat apakah ini dapat Anda terima:Jika Anda telah mencoba
fscrypt
dan menemukannya rusak untuk penggunaan Anda, Anda dapat memilih "bug ini mempengaruhi saya juga" di bug launchpad berikut:Perhatikan bahwa
fscrypt
/ext4-crypt
("enkripsi rumah" masa depan) adalah opsi tercepat, danecryptfs
("enkripsi rumah" lama) adalah pilihan paling lambat.LUKS
("mengenkripsi seluruh drive") ada di tengah.Karena alasan ini, seluruh enkripsi disk 'mudah' direkomendasikan. Karena jika Anda memiliki proyek yang sangat besar dengan banyak file kecil, gunakan manajemen revisi banyak, buat kompilasi besar, dan sebagainya, Anda akan menemukan bahwa terlalu banyak mengenkripsi seluruh drive Anda benar-benar layak dibandingkan dengan lambatnya tipe-ecryptfs lama enkripsi rumah.
Pada akhirnya, mengenkripsi seluruh drive memiliki beberapa kelemahan:
Sangat membingungkan bahwa Canonical memutuskan bahwa "kita tidak perlu ini lagi" pada versi LTS mereka, yang kemudian dikenal sebagai distribusi "serius" mereka.
sumber
/home/myuser
direktori yang salah. Itu root untuk beberapa alasan, jadi mengubah pemilik ke pengguna saya memecahkan masalah.Dari jawaban Panther di sini Enkripsi disk lengkap mengenkripsi semuanya termasuk / home sementara mengenkripsi hanya dir tertentu seperti / home hanya dienkripsi ketika Anda tidak login.
Untuk mengenkripsi direktori home pengguna yang ada:
Logout pertama dari akun itu dan masuk ke akun admin:
instal utilitas enkripsi untuk pekerjaan:
dari itu launchpad bug ecryptfs-utils sekarang di repo semesta.
bermigrasi folder rumah dari pengguna itu:
diikuti oleh kata sandi pengguna akun itu
Lalu logout dan masuk ke akun pengguna terenkripsi - sebelum reboot! untuk menyelesaikan proses enkripsi
Di dalam akun cetak dan catat frasa sandi pemulihan:
Anda sekarang dapat reboot dan masuk. Setelah puas, Anda dapat menghapus folder beranda cadangan.
Juga jika Anda ingin membuat pengguna baru dengan direktori home terenkripsi:
Untuk info lebih lanjut: man ecryptfs-migrate-home ; man ecryptfs-setup-private
sumber
Secara pribadi, saya hampir tidak akan merekomendasikan menggunakan Enkripsi Sistem File (FSE) kepada siapa pun, untuk sebagian besar kasus penggunaan. Ada beberapa alasan, yang paling tidak adalah fakta yang ada, dan alternatif yang lebih efektif. Anda semua berbicara seperti hanya ada dua opsi, baik FSE atau FDE (Enkripsi Disk Penuh). Namun, itu tidak terjadi. Bahkan, ada dua opsi lain yang akan menguntungkan OP jauh lebih besar, yaitu Enkripsi Wadah File dan Arsip Terenkripsi.
Enkripsi wadah file adalah perangkat lunak seperti Veracrypt, dan Truecrypt yang sekarang sudah mati ditulis untuk. Enkripsi kontainer dibangun ke sebagian besar perangkat lunak arsip kompresi file seperti Winzip dan 7zip, sebagai opsi saat membuat arsip seperti itu.
Keduanya sama-sama memiliki banyak kelebihan dibandingkan FSE, yang paling jelas adalah Anda tidak perlu membiarkan mereka tetap terpasang saat Anda tidak bekerja dengan file terenkripsi Anda. Itu mencegah siapa pun untuk dapat mengakses siapa yang bisa menimpa perlindungan kunci profil pengguna, dan kunci layar. Juga, Anda mungkin melakukan sesuatu yang bodoh, seperti menjauh dari komputer Anda, tetapi lupa mengunci layar, atau mengizinkan seseorang menggunakan komputer, dan berharap mereka tidak akan mengintip direktori tersembunyi Anda. Selain itu, Anda dapat dengan mudah memindahkan sejumlah besar file sekaligus, tanpa perlu mengenkripsi mereka dengan cara lain, karena wadahnya portabel.
Satu keuntungan bahwa wadah Veracrypt sangat berguna adalah kenyataan bahwa mereka dapat dipasang sebagai drive, dan yang memungkinkan Anda untuk memformatnya dengan sistem file terpisah, lebih disukai sistem file non-jurnal, seperti EXT2 atau FAT32. Sistem file jurnal berpotensi bocor informasi ke penyerang. Namun, jika semua yang Anda lakukan adalah menyembunyikan foto pribadi Anda, ini mungkin tidak semua yang relevan bagi Anda. Sebaliknya, jika Anda memiliki rahasia negara atau data yang dilindungi secara hukum, maka itu mungkin. Anda juga dapat mengatur mereka untuk secara otomatis me-mount saat boot up, jika menggunakan file kunci. Namun, itu tidak disarankan, karena file kunci perlu disimpan di tempat yang kurang aman daripada tempat FSE menyimpan kunci profil pengguna.
Keduanya menawarkan kemampuan untuk menggunakan kompresi file. Anda juga dapat menyembunyikan nama file, meskipun, tidak selalu terjadi ketika menggunakan arsip terkompresi, tergantung pada algoritma kompresi tertentu yang digunakan.
Secara pribadi, saya menggunakan enkripsi wadah untuk file yang tidak akan dipindahkan, dan arsip terenkripsi untuk file yang akan dipindahkan atau disimpan di cloud, karena itu ukuran file yang lebih kecil.
Mengenkripsi direktori Home masih dimungkinkan dengan enkripsi kontainer. Mungkin menyimpan kunci enkripsi Anda di YubiKey?
Ngomong-ngomong, saya hanya ingin menawarkan kepada Anda semua alternatif yang tidak disebutkan oleh poster-poster lain. Jangan ragu untuk setuju, atau tidak setuju dengan apa pun yang saya katakan.
sumber
Jika Anda, seperti saya sebelumnya, sedang melakukan instalasi baru Ubuntu 18.04 melalui Ubuntu 16.04 dan Anda sebelumnya telah mengenkripsi Anda
/home
, Anda akan melihat bahwa Anda tidak dapat login setelah instalasi. Yang perlu Anda lakukan adalah menginstal paket-paket yang terkait dengan ecryptfs:,sudo apt install ecryptfs-utils cryptsetup
reboot dan login.Untuk menginstal paket-paket tersebut Anda dapat login di tty cadangan sekali budgie telah memuat ( Cntrl+ Alt+ F1) atau masuk dalam mode pemulihan linux dan menginstalnya dari sana.
sumber