Saya ingin menggunakan ecryptfs untuk mengenkripsi direktori acak (mis., Bukan direktori home saya atau subdirektori darinya, terutama karena keterbatasan ruang disk pada partisi rumah saya) dan me-mount direktori itu ketika saya masuk ke akun saya. Saya tidak bisa melihat bagaimana melakukan ini atau bahkan jika itu benar-benar mungkin dengan perangkat lunak yang ada. Saya telah melihat posting yang memberikan saran yang tidak jelas (misalnya, untuk digunakan mount.ecryptfs_private
dengan opsi ALIAS), tetapi saya belum menemukan instruksi sederhana, langkah-demi-langkah tentang cara melakukan ini. Apakah seseorang dapat memberikan instruksi ini atau mengarahkan saya ke tempat menemukannya?
mount
encryption
ecryptfs
pengguna3004015
sumber
sumber
ecryptsfs-setup-private
, saya tidak yakin apa yang akan terjadi jika Anda sudah memiliki rumah terenkripsi dan tidak benar-benar ingin mencoba karena takut melakukan hal-hal buruk.gpg
. Katakanlah Anda ingin menyimpan folder dengan amanmydata
maka Anda dapat menggunakannyatar -c mydata | gpg --symmetric > mydata.tar.gpg && rm -rf mydata
untuk menyimpan data Anda dangpg --decrypt mydata.tar.gpg | tar -x
mengembalikan data Anda. Anda dapat dengan mudah menggunakan kunci pribadi / publik untuk melindungi data Anda yang tampaknya disarankan. Hanya sejumlah kecil data yang harus disimpan dengan metode ini. @Rinzwindrm -fR mydata
. Data itu dapat dipulihkan dari disk lama setelah Anda "menghapusnya". Saya tidak yakin bagaimana mengamankan itu, tapi saya akan bersandar kepada "rekursif" rusak gantinya:find mydata -type f -exec shred -uz -- {} \;
. Catatan, merobek-robek hanya efektif pada sistem file non-journaled dan jenis perangkat tertentu .. Yang penting seseorang harus meneliti cara terbaik. Saya tidak berpikir ini adalah praktik yang aman: mengenkripsi dan mendekripsi arsip seperti ini. Kemungkinan itu tidak akan efektif.Jawaban:
Anda hanya melihat skrip super-mudah seperti
ecryptsfs-setup-private
danecryptsfs-mount-private
, mereka menggunakan lebih banyak alat "generik" yang tampaknya Anda cari:mount.ecryptfs
danecryptfs-add-passphrase
. Lihatman
halaman mereka untuk info lebih lanjut.Dan tautan yang diposting Rinzwind memiliki semua informasi yang Anda butuhkan, lebih jauh ke bawah halaman di bawah Pengaturan Manual . Mereka cukup panjang, tetapi versi yang sangat singkat adalah:
Cara "Pengaturan Manual" (archlinux wiki)
Pertama-tama pilih ALIAS yang Anda inginkan. Melalui bagian ini, ALIAS akan dirahasiakan. Buat direktori / file yang diperlukan:
The
~/.secret
direktori akan menyimpan data dienkripsi. The~/secret
direktori adalah mount point di mana~/.secret
akan di-mount sebagai ecryptfs filesystem.[Sekarang buat passphrase mount yang sebenarnya (skrip mudah akan memilih 32 karakter pseudo-acak
/dev/urandom
), buat yang bagus]Tulis tanda tangan keluaran (ecryptfs_sig) dari perintah sebelumnya ke ~ / .ecryptfs / secret.sig:
Frasa sandi kedua untuk enkripsi nama file dapat digunakan. Jika Anda memilihnya, tambahkan ke keyring:
Jika Anda menjalankan perintah di atas, tambahkan tanda tangan keluarannya (ecryptfs_fnek_sig) ke ~ / .ecryptfs / secret.sig:
Akhirnya, untuk me-mount ~ / .secret on ~ / secret:
Untuk meng-unmount ~ / .secret:
Atau Anda bisa benar-benar membuat tangan Anda kotor sendiri dan mengikuti petunjuk Tanpa ecryptfs-utils .
Atau jika Anda sudah melihat skrip yang mudah
ecryptsfs-setup-private
&ecryptsfs-mount-private
, Anda mungkin dapat menyalinnya dan mengeditnya untuk menunjuk ke direktori pilihan Anda, dengan sedikit keterampilan & kesabaran.Atau simpan saja frasa sandi Anda sendiri (lebih baik secara aman) dan lakukan seperti contoh
man ecryptfs
halaman (harus membaca halaman manual):Selain folder rumah terenkripsi dan folder terenkripsi di dalam folder eCryptfs bersarang di rumah
Dan, folder rumah terenkripsi biasanya menyimpan file dalam
/home/.ecryptfs/user/
, sedangkan folder pribadi terenkripsi memiliki file di dalam folder rumah Anda sendiri. Anda tidak dapat menggunakan keduanya sekaligus, eCryptfs tidak akan membuat folder terenkripsi bersarang. Tetapi memiliki rumah terenkripsi, dan folder terenkripsi di luar rumah Anda tidak masalah.Saya baru saja mencoba membuat pengguna baru dengan rumah terenkripsi
sudo adduser --encrypt-home jack
Itu membuat
/home/.ecryptfs/
folder, dengan:/home/.ecryptfs/jack/.ecryptfs/
- frasa sandi terbungkus & file konfigurasi ke rumah jackount otomatis saat masuk/home/.ecryptfs/jack/.Private/
- file rumah terenkripsi yang sebenarnya, dipasang ke/home/jack/
saat login.Dan juga
/home/jack/
foldernya, tetapi berisi tautan yang tetap di sana baik yang masuk atau tidak:/home/jack/.ecryptfs/ -> /home/.ecryptfs/jack/.ecryptfs
Selanjutnya saya login sebagai jack, tetapi tautannya masih ada, jadi mencoba menjalankan
ecryptfs-setup-private
menyebabkannya terlihat/home/jack/.ecryptfs/
tetapi benar-benar melihat file yang ada/home/.ecryptfs/jack/.ecryptfs
sehingga gagal membuat file kata sandi lain & gagal denganERROR: wrapped-passphrase file already exists, use --force to overwrite.
Mencoba "ALIAS" langkah-langkah di atas, menggunakan folder .secret di dalam rumah terenkripsi gagal, dengan kesalahan ini:
Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
Reading sb failed; rc = [-22]
"Bersarang direktori terenkripsi di dalam direktori terenkripsi tidak didukung dengan eCryptfs. Maaf." - Penulis & pengelola eCryptfs
Mengubah folder ALIAS di luar rumah jack, mencoba
/tmp/.secret/
&/tmp/secret/
bekerja . TETAPI jika jack log keluar folder terenkripsi baru akan tetap terpasang , jadi Anda harus menghapusnya (umount.ecryptfs_private secret
).sumber
mount
baris, tidak perlu.conf
file atau menambahkan kunci, cukup bacaman ecryptfs
halaman untuk opsi yang tersedia. Kemudian lemparkan file "jalankan saat login"/home/user/.config/autostart/
. Tetapi keamanan frasa sandi bisa berisiko jika disimpan secara tidak benarJika Anda ingin menggunakannya seperti ENFs, Anda dapat melakukannya dengan entri berikut di
/etc/fstab
/tmp/.geheim /tmp/geheim ecryptfs rw,no_sig_cache,ecryptfs_fnek_sig=1f7aefb9e239099f,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_enable_filename_crypto=y,ecryptfs_passthrough=n,passphrase_passwd=geheimpw,user,noauto 0 0
geheim adalah kata Jerman untuk rahasia, tetapi memastikan bahwa itu bukan kata kunci. Anda harus membuat direktori terlebih dahulu. Pertama kali Anda harus
ecryptfs_fnek_sig=1f7aefb9e239099f
pergi. Kemudianmount /tmp/geheim
akan menunjukkan kepada Anda nilai yang benar.Anda dapat menyimpan kata sandi di tempat lain dan mengatur opsi yang lebih canggih. Anda akan menemukan semua opsi di
man ecryptfs
.sumber
misalnya:
gunakan perintah di atas untuk membuat dan me-mount sistem terenkripsi di mana file yang disimpan dalam RANDOMDIRECTORY dienkripsi dan disimpan ke EFILES.
catatan tambahan. pastikan RANDOMDIRECTORY kosong saat Anda memulai. Setelah Anda menjalankan perintah di atas, dan sistem di-mount dan siap untuk pergi, semua file yang Anda simpan di RANDOMDIRECTORY akan dienkripsi ke EFILES jika sistem di-mount. Untuk moount / unmount quick, Anda bisa membuat skrip bash, dan menjalankannya melalui pintasan aplikasi, atau membuat perintah alias untuk pemasangan cepat.
Saya telah menggunakan ini selama lebih dari satu tahun sekarang.
EDIT: pulang untuk mengkonfirmasi, perintahmu bukan ecryptfs. yaitu ENFF nya
maaf soal itu. Dengan ini, Anda harus menginstal program baru (mungkin)
sumber
ecryptfs
dan merespons perintah yang tidak ditemukan.man ecryptfs
membuka halaman manual untukmount -t ecryptfs
, tetapi tidak benar-benar menjelaskan cara membuat sistem file yang dienkripsi.ecryptfs
perintah itu merupakan tambahan terbaru?