Bir dizini şifrelemenin en kolay yolu nedir? (Ubuntu'da)


13

Ubuntu tabanlı bir sistemde bir dizini şifrelemenin en kolay yolu nedir?

Diyelim ki Ubuntu 10.04 çalıştıran bir dizüstü bilgisayarım var ve bunun üzerine güvende tutulması gereken bazı belgelerim var (dizüstü bilgisayarı kaybedersem).

Diyelim ki belgelerin tümü ~ / work / adlı bir dizinde ve bu dizinin dışında gizli bir şey yok. Yani tüm ev direktifini şifrelemeye gerek yok.

Bu komutu komut satırından kilitlemenin / kilidini açmanın bir yolu olacaktır.

Bunu yapmanın bazı farklı yolları var gibi görünüyor:

  • eCryptfs-utils
  • cryptsetup
  • truecrypt (ancak OSI onaylı açık kaynak kodlu değildir)

Ancak en kolay ve en güvenilir yöntem nedir?

Teşekkürler Johan


Güncelleme : İlgili soru, ama aynı değil Ubuntu 10.04'teki tüm dosyalarımı şifrelemenin en kolay yolu nedir?


2
Truecrypt'in OSI onaylı olmaması kimin umurunda? OSI onaylı daha iyi bir yazılıma eşit değildir . Truecrypt en iyisidir ve hatta birkaç durumda FBI'ı engellemiştir.
TheLQ

3
OSI onaylı lisansları kullanan yazılımlar daha güvenlidir.
Johan

Yanıtlar:


10

Üç yöntem vardır: bir bölüme şifreli bir birim kurmak ( dm-cryptile yapılandırılmış cryptsetup), şifrelenmiş birim (truecrypt) olan bir dosya kurmak, her dosyanın ayrı ayrı şifrelendiği bir dizin ( ecryptfsveya encfs).

Şifreli bir birim oluşturmak biraz daha gizlilik sağlar, çünkü dosyalarınızın meta verileri (boyut, değiştirme süresi) görünmezdir. Olumsuz tarafı, daha az esnektir (önceden şifrelenmiş birimin boyutuna karar vermelisiniz). ECryptfs SSS listelerini iki yaklaşım arasında bazı farklılıklar.

Dosyayı dosyaya göre şifrelemeyi seçerseniz, iki seçeneğin farkındayım: ecryptfsve encfs. Birincisi çekirdek içi bir sürücü kullanırken ikincisi FUSE kullanır. Bu ecryptfsbir hız avantajı sağlayabilir; o verir encfsbir şey ihtiyaçları root olarak yapılması gereken bir esneklik avantajı. Bunun olası bir yararı ecryptfs, ilk kurulumu yaptıktan sonra, pam_ecryptfsmodül sayesinde giriş şifrenizi bir dosya sistemi şifresi olarak kullanabilmenizdir .

Benzer bir durumda kendi kullanımım için seçtim encfs, çünkü diğer çözümlere gerçek bir güvenlik faydası görmedim, bu nedenle kullanım kolaylığı belirleyici faktördü. Performans sorun olmadı. İş akışı çok basittir (ilk çalışması encfsdosya sistemini oluşturur):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Ayrıca takas alanınızı /tmpve /var/spool/cups(gizli dosyalar yazdırıyorsanız) gibi geçici gizli dosyaların yazılabileceği herhangi bir yeri şifrelemenizi de öneririm . cryptsetupTakas bölümünüzü şifrelemek için kullanın . Baş etmenin en kolay yolu, /tmponu monte ederek bellekte tutmaktır tmpfs(bu her durumda hafif bir performans avantajı sağlayabilir).


/ Tmp hakkında düşünmedim, ama tmpfs bu sorunu güzel bir şekilde çözüyor. Sadece gerçek kapatma yapın: s.
Johan

1
Öğrettiğiniz için teşekkürler encfs! Bu fantastik!
user39559

1

Bu tür şeyler için sadece TrueCrypt kullanıyorum. OSI onaylı olsun ya da olmasın, beni asla hayal kırıklığına uğratmadığını ve birden fazla kez şifrelemeye ihtiyacım olduğunu düşünüyorum.


1

Hızlı ve kolay bir şekilde etmektir tarve compressardından bcrypt.

tar cfj safe-archive.tar.bz2 Dizin / 
bcrypt safe-archive.tar.bz2 
# kilitlemek için iki kez 8 karakterlik bir şifre isteyecektir.
# Ancak bundan sonra Dizininizi silmeyi unutmayın,
rm -rf Dizin / 
# Ve umarım şifreyi unutmazsınız veya verileriniz kaybolur!

Yapar safe-archive.tar.bz2.bfe- bu konuda paranoyak hissederseniz yeniden adlandırabilirsiniz.

Şifreli paketi açmak için,

bcrypt safe-archive.tar.bz2.bf3 # Ya da ne derseniz
tar xfj safe-archive.tar.bz2 
# Ve dizininiz geri döndü!

Daha dağınık olmaya hazırsanız, öneririm truecryptve şifreli birimler hazırlarsınız.
Ancak, bunun düzenli veriler için gerekli olduğunu düşünmüyorum (ulusal güvenlikle ilgili değil gibi).

ps: bcrypt'in hiçbir şekilde ulusal güvenliğin zayıf veya yetersiz olduğunu önermediğimi unutmayın .


Yukarıdaki cevabımdaki yorumları yanıtlayın.
Basit bir cevap vermeye çalıştım - ve ilk seçenek olarak Truecrypt'i önermeme seçeneğimin buradaki bazı kişiler için uygun olmayabileceğini kabul ediyorum.

Soru, bir dizini şifrelemenin kolay bir yolunu soruyor.
Buradaki güvenlik önlemim iki şeye dayanıyor,

  1. Neyi güvence altına almak istiyorsunuz ve
  2. Kimden korumak istiyorsun

Bunu 'paranoya' seviyeniz olarak değerlendiriyorum.

Şimdi, Truecrypt'in (veya diğer benzer yöntemlerin) daha pahalı
olduğunu söylemeden, söylemek istediğim tek şey, tmpfs'de çalışan bir bcrypt dizisi bugün günlük kullanımınız için yeterli
(muhtemelen yaklaşık on yıl içinde, sanırım, ama gerçekten şimdilik).
Ayrıca, burada güvence altına alınan verilerin değerinin bir mona-lisa sınıfı 'kurtarma' girişimi ile karşılaştırılamayacağını da varsayıyorum.

O zaman basit bir soru - birisinin kapalı dizüstü bilgisayarınızı yakalamayı ve soğuk RAM alanından veri kurtarmayı denemesini mi bekliyorsunuz?
Bunu yaparsanız, muhtemelen donanımınızı ve yazılımınızı ilk etapta yeniden düşünmeniz , hangi ISS'ye bağlandığınızı, tuş basışlarınızı kimlerin duyabileceğini vb. Kontrol etmeniz gerekir.

ps: Truecrypt'i seviyorum ve kullanıyorum. OSI uyumluluğu veya eksikliği, gerçekten önemli değil. Ve ben sahnelenmiyorum bcryptve burada onunla rekabet halinde önerilen plan.


2
+1 yanıtını verirken, aramızdaki gerçekten paranoyak için ... verilerinizin değerine bağlı olarak bu kötü bir fikir olabilir. Kullanıcı, bu yöntemin silinen dizinin dosyalarını "kötü adamlar" tarafından kurtarılabilecekleri diskte bıraktığının farkında olmalıdır. Ne kadar güvenli olduğunu görmek için sadece "Linux'ta silinen dosyaları kurtarın" için SU'ya bakın ...
hotei

@hotei, evet, Truecryptbu tür komplikasyonlarla başa çıkacaktır. Başka bir hile tmpfs, şifreli dizin ile çalışmak için RAM üzerinde bir montaj kullanmak olacaktır - bferamdisk'e kopyalayın, orada çalışın, tekrar şifreleyin ve şifrelenmiş arşivi dosya sistemine geri kaydedin.
nik

2
Ben @hotei yaptı daha uzak bir adım gitmek ve bu dosyaları kurtarmak çok kolay ( dosya kurtarma adanmış bütün bir pazar var) beri bu aslında şifreleme olarak kalite olmadığını söyleyebilirim . Şifrelemenin şifreleme olması gerekir. Bu sadece yanlış bir şifreleme hissi
TheLQ

2
@nik: Cevabınızdaki yöntem hotei'nin açıkladığı gibi güvensiz değil, aynı zamanda hataya açıktır (şifresi çözülen dosyaları kaldırmayı unutursanız?). Kullanım teklifiniz bile tmpfsçok riskli: dosyaları yeniden şifrelemeyi ve değişikliklerinizi kaybetmeyi unutursanız ne olur? bilgisayar çökerse (tüm değişikliklerinizi kaybedersiniz)? Ayrıca gereksiz yere karmaşık. Bu sorunu uygun araçları kullanarak çözmenin birçok gerçek yolu vardır, sadece birini kullanın.
Gilles 'SO- kötü olmayı bırak'

1
@nik Yakındaki bir üniversitede, RAM'in bir saatlik kapanmasından sonra bile, belleğe yüklenen Mona Lisa'nın fotoğrafını çekebileceğinizi gösteren bir sergi vardı. Hemen ardından makineyi yeniden başlatmazsanız, RAM'den veri kurtarmak çok kolaydır. Truecrypt, IIRC, RAM'ini şifreler.
digitxp

1

Yalnızca dizüstü bilgisayarınızı kaybetmekten endişe ediyorsanız , Ubuntu ecryptfszaten sizin için ayarlanmıştır.

Kullanıcı hesabınızı oluştururken ve ona iyi bir şifre verirken "şifrelenmiş giriş dizini" ni seçin. Bu, ana klasörünüzdeki her şeyi koruyacaktır.

Evet, daha fazlasını şifreleyecek ~/work, ancak sorunsuz.

İçin /tmpkullanım tmpfs.

Artıları:

  • Başka bir şey yapmanıza gerek yok, Ubuntu her şeyi sizin için yapıyor.
  • Arkadaşlarınız hareket halindeyken bilgisayarınızı kullanabilir, ancak dosyalarınıza erişmek istedikleri zaman bir parola girmeleri gerekir.

con:

  • Sızıntı verileri yaptığınız başka yerler de var - Gilles'in cevabı en eksiksiz (onun için +1).

Yani, bazı adli tıp uzmanlarının yazdırdığınız şeylerden veri almaya çalışacağını düşünmüyorsanız, bu yeterince iyidir.

ecryptfsswap'ı da şifreleyebilir, ancak RAM'den çıkmış olmadıkça size swap'ı devre dışı bırakmanızı öneririm. Hayat takas olmadan daha iyidir. (veya ecryptfs-setup-swapfstab'ı değiştirmek için talimatları çalıştırın ve uygulayın)


Uyarı : Her durumda, bu dizüstü bilgisayarı henüz almadıysanız, sabit diskinize zaten çok sayıda şey yazılmıştır. Bende bir sürü şey buldum ve hiçbir şey onu temizleyemezdi. Başka bir sürücüye veya bölüme yedeklemeniz, mevcut dosya sisteminizi sıfırlarla üzerine yazmanız ve dosyalarınızı geri yüklemeniz gerekir (elbette, hassas dosyaları yalnızca şifreleme ayarlandıktan sonra geri yükleyin).


1

Bunu ayarlamanın en kolay ve en hızlı yolu ecryptfs -utils ve cryptkeeper'ı kurmaktır :

sudo apt-get install ecryptfs-utils cryptkeeper

Sonra, bir kez bittiğinde, sisteminize bakın. İki anahtardan oluşan bir simge göreceksiniz. Tıklayın ve Yeni Şifreli Klasör'ü seçin. Adı yazın ve İleri düğmesini tıklayın (garip bir şekilde sol altta, sağda değil). Ardından, istediğiniz şifreyi yazın, yeniden onaylayın ve tekrar Yönlendir'e ve ardından Tamam'a tıklayın.

Bu şifreli klasörü bağlar ve dosyaları bu klasöre kopyalayabilirsiniz. Bittiğinde, bağlanan klasörü kapatır veya işaretini kaldırırsanız (bunu yapmak için sistemdeki Anahtarlar simgesini tıklatın), yeniden takmadan önce bir parola gerekecektir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.