Как зашифровать /home на Ubuntu 18.04?

Разочарован, увидев, что установщик 18.04 больше не предлагает возможность зашифровать домашний каталог. Согласно этому отчету об ошибках, указанному в установщике, рекомендуемый метод шифрования в наши дни - полный диск с LUKS или fscrypt для каталогов. Полное шифрование диска кажется мне немного излишним, и все ошибки и предостережения, упомянутые в вики, не делают его очень привлекательным вариантом. Все, что я действительно хочу, - это защитить мой домашний каталог от доступа к моим документам, фотографиям и т. Д., Если мой ноутбук будет украден, что делает fscrypt для меня.

На странице fscrypt GitHub есть несколько примеров того, как ее настроить, но я не могу найти никакой документации, направленной на шифрование домашнего каталога в Ubuntu. Старый инструмент ecryptfs все еще доступен, но после его настройки Ubuntu иногда зависает на экране входа в систему.

Итак, мой вопрос: как мне настроить fscrypt для шифрования моего / home каталога и расшифровки при входе в систему? Мне также понравилось, как ecryptfs позволяет расшифровывать папку вручную (например, из образов дисков).

(Подобный вопрос был размещен здесь и, к сожалению, закрыт за то, что он является "не по теме" отчет об ошибке. Для пояснения, это не отчет об ошибке. Тот факт, что опция шифрования домашнего каталога была удалена из программы установки, была преднамеренной. прошу вот как настроить fscrypt.)

3 ответа

Обновление 2018-11

Похоже, это было наконец исправлено. Вот упреждающее руководство: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Я сам не цитирую инструкции здесь, потому что я не проверял это, и ответ ниже был моим оригинальным ответом.

Предупреждение: предупреждение от пользователя @dpg: " БУДЬТЕ ОСТОРОЖНЫ: я следовал инструкциям из этого" упреждающего руководства " (сделал это под tty) и получил бесконечный цикл входа в систему".

Рассмотрите это руководство только для образовательных целей.


TL; DR: используйте классическое домашнее шифрование с Linux Mint 19 Tara.

fscrypt для дома шифрование все еще не работает.


Как настроить fscrypt для шифрования моего /home каталога и расшифровки при входе в систему?

Это то, что многие из нас хотят. Похоже, команда Ubuntu не смогла получить ecryptfs работать без ошибок в Ubuntu 18.04 и не мог исправить ошибки в fscrypt для варианта домашнего шифрования во время запланированного выпуска Ubuntu 18.04 либо.

За fscrypt, по крайней мере одна критическая ошибка, которая делает его непригодным для домашнего шифрования на данный момент:

Кроме того, нам нужен прозрачный способ аутентификации / разблокировки, прежде чем он станет реалистичной альтернативой "старому" домашнему шифрованию типа ecryptfs. Это отслеживается здесь:

Открыв эти проблемы, вы можете считать, что домашнее шифрование на этом этапе нарушено. При этом мы с коллегами считаем Ubuntu 18.04 18.04.1 незавершенным на данный момент и надеемся, что домашнее шифрование вернется (с использованием нового и гораздо лучшего fscrypt метод) в Ubuntu 18.04.1 18.04.2.

До этого времени мы придерживаемся Ubuntu 16.04. Мы перевели все наши машины на Linux Mint 19 Tara с классическим домашним шифрованием с использованием ecryptfs , Прочитайте раздел "известные проблемы" в Замечаниях по выпуску для Linux Mint 19 Tara о ecryptfs ограничения, и посмотрите, приемлемо ли это для вас:

(...) имейте в виду, что в Mint 19 и более новых выпусках ваш зашифрованный домашний каталог больше не отключается при выходе из системы.

Если вы пытались fscrypt и обнаружил, что он не подходит для вашего использования, вы можете проголосовать "эта ошибка также влияет на меня" при следующей ошибке на панели запуска:


Обратите внимание, что fscrypt / ext4-crypt (будущее "шифрование дома") - самый быстрый вариант, и ecryptfs (старый "шифровать дом") - самый медленный вариант. LUKS ("Зашифровать весь диск") находится посередине.

По этой причине рекомендуется использовать шифрование всего диска. Потому что, если у вас очень большие проекты с большим количеством маленьких файлов, вы часто используете управление ревизиями, делаете большие компиляции и так далее, вы обнаружите, что избыточное шифрование всего диска на самом деле того стоит по сравнению с медлительностью старого типа ecryptfs домашнее шифрование.

В конце концов, шифрование всего диска имеет несколько недостатков:

  • Гостевой аккаунт
  • Семейный ноутбук с личными счетами
  • Использование PREY-подобного программного обеспечения для защиты от краж

Удивительно, что Canonical решила, что "нам это больше не нужно" в своей версии LTS, известной как их более "серьезный" дистрибутив.

Из ответа Пантеры здесь Полное шифрование диска шифрует все, включая /home, а шифрование только определенного каталога, такого как /home, шифруется только тогда, когда вы не вошли в систему.

Для шифрования существующего пользователя home dir:

Сначала выйдите из этой учетной записи и войдите в учетную запись администратора:

установите утилиты шифрования для работы:

 sudo apt install ecryptfs-utils cryptsetup

из этой ошибки на панели запуска ecryptfs-utils теперь находится в репозитории юниверсов.

перенести домашнюю папку этого пользователя:

sudo ecryptfs-migrate-home -u <user>

затем пароль пользователя этой учетной записи

Затем выйдите из системы и войдите в зашифрованную учетную запись пользователя - до перезагрузки! завершить процесс шифрования

Внутри учетной записи распечатайте и запишите пароль восстановления:

ecryptfs-unwrap-passphrase

Теперь вы можете перезагрузиться и войти в систему. Как только вы будете удовлетворены, вы можете удалить резервную домашнюю папку.

Также, если вы хотите создать нового пользователя с зашифрованным домашним каталогом:

sudo adduser --encrypt-home <user>

Для получения дополнительной информации: man ecryptfs-migrate-home; man ecryptfs-setup-private

Лично я почти никогда не рекомендовал бы использовать шифрование файловой системы (FSE) кому-либо, для большинства случаев использования. Есть несколько причин, не в последнюю очередь это факт существующих и более эффективных альтернатив. Вы все говорите так, будто есть только два варианта: FSE или FDE (Full Disk Encryption). Однако это просто не тот случай. Фактически, есть два других варианта, которые принесут больше пользы OP, это шифрование контейнеров файлов и зашифрованные архивы.

Шифрование контейнера файлов - это то, для чего написано программное обеспечение, такое как Veracrypt, и теперь уже несуществующий Truecrypt. Контейнерное шифрование встроено в большинство программ архивирования сжатых файлов, таких как Winzip и 7zip, в качестве опции при создании такого архива.

Оба имеют много преимуществ по сравнению с FSE, наиболее очевидным из которых является то, что вам не нужно оставлять их подключенными, пока вы не работаете с зашифрованными файлами. Это препятствует тому, чтобы кто-либо имел доступ к тому, кто может переопределить защиту ключа профиля пользователя и блокировки экрана. Кроме того, вы можете сделать что-то глупое, например отойти от компьютера, но забыть заблокировать экран или разрешить кому-либо использовать компьютер, надеясь, что они не заглянут в ваши скрытые каталоги. Кроме того, вы можете легко перемещать большое количество файлов за раз, без необходимости шифровать их другим способом, так как контейнеры переносимы.

Одним из преимуществ того, что контейнеры Veracrypt настолько полезны, является тот факт, что их можно монтировать как диск, и это позволяет форматировать их в отдельной файловой системе, предпочтительно файловой системе без журналирования, такой как EXT2 или FAT32. Журналирование файловой системы потенциально может привести к утечке информации злоумышленнику. Однако, если все, что вы делаете, это скрывает свои личные фотографии, это может быть не совсем уместно для вас. Если, с другой стороны, у вас есть государственные секреты или данные, защищенные законом, то это возможно. Вы также можете настроить их на автоматическое монтирование при загрузке, если используете файл ключа. Однако это не рекомендуется, поскольку файл ключа должен храниться где-то менее надежно, чем в том случае, когда FSE хранит ключ профиля пользователя.

Оба предлагают возможность использовать сжатие файлов. Вы также можете скрыть имена файлов, однако, это не всегда так при использовании сжатых архивов, в зависимости от используемого алгоритма сжатия.

Лично я использую контейнерное шифрование для файлов, которые не будут перемещены, и зашифрованные архивы для файлов, которые будут перемещаться или храниться в облаке, поскольку он имеет меньший размер.

Шифрование домашнего каталога все еще возможно с шифрованием контейнера. Может быть, хранить свой ключ шифрования на YubiKey?

В любом случае, я просто хотел предложить вам некоторые альтернативы, которые не упоминались другими авторами. Не стесняйтесь соглашаться или не соглашаться со всем, что я сказал.

Если вы, как и я, делаете новую установку Ubuntu 18.04 поверх Ubuntu 16.04, и вы ранее зашифровали свой /home, вы увидите, что вы не можете войти после установки. Все, что вам нужно сделать, это установить связанные с ecryptfs пакеты: sudo apt install ecryptfs-utils cryptsetup, перезагрузитесь и войдите.

Чтобы установить эти пакеты, вы можете либо войти в запасной tty после загрузки budgie (Cntrl + Alt + F1), либо войти в режим восстановления linux и установить его оттуда.

Другие вопросы по тегам