/ Ev Ubuntu 18.04'te nasıl şifrelenir?


57

18.04 yükleyicisinin artık ana dizini şifrelemek için seçenek sunmadığını görmek hayal kırıklığına uğradı. Yükleyicide referans verilen bu hata raporuna göre , bugünlerde şifreleme için önerilen yöntem LUKS'lu tam disk veya dizinler için fscrypt'dir. Tam disk şifreleme benim ihtiyaçlarım için biraz abartılı görünüyor ve Wiki'de belirtilen tüm hatalar ve uyarılar bunu çok çekici bir seçenek yapmıyor. Tek istediğim, eğer dizüstü bilgisayarım çalınacaksa, benim için seçeneği fscrypt yaparak, ev dizinimi belgelerime, fotoğraflarıma vb. Erişen birinden korumak.

Fscrypt GitHub sayfa kurmak için bazı örnekler vardır, ama Ubuntu ev dizini şifreleyerek amaçlayan herhangi bir belge olamaz. Eski ecryptfs aracı hala kullanılabilir durumda, ancak ayarlandıktan sonra Ubuntu bazen giriş ekranında donuyor.

Öyleyse sorum şu: fscrypt'i / home dizinimi şifrelemek ve oturum açtığımda şifresini çözmek için nasıl ayarlayabilirim? Ayrıca, ecryptfs’in klasörü manuel olarak (örneğin disk görüntülerinden) şifresini çözme izni vermesini de sevdim.

(Benzer bir soru burada gönderildi ve ne yazık ki "konu dışı" bir hata raporu olduğu için kapatıldı. Açıklığa kavuşturmak için, bu bir hata raporu değil. burada soruyorum fscrypt nasıl kurulur.)


2
@Panther LUKS, bir yedek sürücüde depolanan dosyaların şifresini çözmek için izin veriyor mu? Sormamın nedeni, sistemimdeki tüm yedeklemeleri Macrium Reflect ile Windows'dan yapmamdır. Yedeklemeden birkaç dosya çıkarmam gerekirse, yedeklenmiş dosyaların şifresini çözmek için bir yol gerekir. Ecryptfs ile tek yapmam gereken sürücümü takmak ve şifreli klasörde saklanan betiği çalıştırmaktı.
elight24

7
Peki, ev klasörümüzü 16.04'ten şifrelenmiş, ancak "ev klasörünü şifrele" seçeneği şimdi yükleyiciden kaldırıldığından yeni ekleyemiyoruz? Giriş bile yapamıyoruz. Bu çok saçma.
SunnyDaze

2
@ SunnyDaze Verilerimi el ile bağlamak zorunda olduğumdan bu yana bir süre geçti, ancak bunun için "ecryptfs-mount-private" komutunun olduğuna inanıyorum.
el24 24

3
Tüm disk üzerinde LUKS kullanarak kafa karıştırıcı olabilir, bu Ubuntu bölümündeki LUKS kullanılarak çift önyükleme pencereleriyle çalışmaz, pencerelerle iyi çift önyükleme yapar. Ben wiki sayfasını okumamıştım
Panter

2
Tam disk şifreleme harika ve iş yapar. Ama sadece kişisel bilgisayarsan ve tek kullanıcı sensen, yeter. Birisi merak ediyorsa why encrypt the home?, birçok kullanıcı olduğunda bu yararlıdır. Giriş yaptığınızda, yalnızca evinizin şifresi çözülür ancak diğerlerinin şifresi
çözülmez

Yanıtlar:


25

2019-07 Güncellemesi

Birden çok şifreli ev işletiyorum fscrypt. Sisteminizi şifrelemesiz kurun ve evinizde uygulamak için bu kılavuzu kullanın fscrypt.

Emin olun chmod 700evinizde ve / veya kullanım umask 077fscrypt otomatik gibi izinlerini ayarlamak değil çünkü ecryptfsyapardı.

fscryptİleride değişebilecek olan API , bu nedenle sisteminizi yükseltmeyi denerseniz önemli dosyalarınızı yedeklediğinizden emin olun.

(Bu özellik masaüstünde yaygın olarak kullanılmamaktadır. Kendi sorumluluğunuzdadır kullanın.)

2018-11 Güncellemesi

TP: DR; Deneyebilirsin fscryptUbuntu 18.10+ veya Linux Mint 19.1+ içinde

Bu nihayet düzeltilmiş gibi görünüyor. İşte önleyici bir rehber: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Burada talimatlardan alıntı yapmıyorum, çünkü bazı saldırılar gerektiriyor ve ev verilerinizi kaybedebilirsiniz.

Uyarı: @dpg kullanıcısının uyarısı : "DİKKATLİ OLUN : Bu" önleyici kılavuzdan "gelen talimatları takip ettim (bunu tty altında yaptım) ve sınırsız giriş döngüsü aldım."

Bu kılavuzu sadece eğitim amaçlı düşünün.

Sırada orijinal cevabım:

Orijinal Yanıt 2018-05

TL; DR: Linux Mint 19 Tara ile klasik ev şifrelemesi kullanın .

fscrypt Ev şifreleme için hala bozuk.


Fscrypt'i / home dizinimi şifrelemek ve oturum açtığımda şifresini çözmek için nasıl ayarlayabilirim?

Bu, çoğumuzun istediği bir şey. Ubuntu ekibi ecryptfs, Ubuntu 18.04'te hatasız çalışamayacağına fscryptve zamanlanmış Ubuntu 18.04 sürümleri için zaman içinde ev şifreleme seçeneği için hataları düzeltemedi .

Çünkü fscryptşu anda ev şifrelemesinde kullanılamaz hale getiren en az bir kritik hata var:

Ayrıca, "eski" ecryptfs tipi ev şifrelemesine gerçekçi bir alternatif olmadan önce kimliğin doğrulanması / kilidinin açılması için şeffaf bir yol gerekir. Bu burada izlenir:

Bu sorunlar açıkken, bu noktada kırılmış ev şifrelemesini düşünebilirsiniz. Bunun üzerine, meslektaşlarım ve ben Ubuntu düşünün 18.04 anda 18.04.1 bitmemiş ve ev şifreleme (yeni ve çok daha iyi kullanılarak geri getirilemez umuyoruz fscryptUbuntu yöntemi) 18.04.1 18.04.2.

Bu zamana kadar Ubuntu 16.04 ile bağlı kalıyoruz. Tüm makinelerimizi , klasik ev şifrelemesini kullanarak Linux Mint 19 Tara olarak değiştirdik ecryptfs. Linux Mint 19 Tara için Sürüm Notları bölümündeki "bilinen sorunlar" bölümünü okuyun ve kısıtlamaları öğrenin ve bunun sizin için uygun olup olmadığını görün:ecryptfs

(...) Darphane 19 ve daha yeni sürümlerde, şifrelenmiş ev dizini artık çıkış yapınca kaldırılan lütfen unutmayın.

fscryptKullanmanız için kırılmaya çalıştığınızı gördüyseniz, aşağıdaki fırlatma böceği böcekinde "bu hata beni de etkiler" diyebilirsiniz :


Not fscrypt/ ext4-crypt(gelecek "şifrelemek ev") en hızlı seçenektir ve bir ecryptfs(eski "şifrelemek ev") en yavaş seçenektir. LUKS("tüm sürücüyü şifrele") ortada.

Bu nedenle, tüm disk şifreleme 'uygun şekilde' önerilir. Çünkü çok sayıda küçük dosya içeren çok büyük projeleriniz varsa, revizyon yönetimini çok kullanın, büyük derlemeler yapın, vb., Tüm sürücünüzü şifrelemenin gerçekten de eski ecryptfs tipinin yavaşlığına kıyasla buna değdiğini anlayın. ev şifreleme.

Sonunda, tüm sürücünün şifrelenmesi birden fazla dezavantaja sahiptir:

  • Ziyaretçi hesabı
  • Özel hesapları olan aile laptop
  • PREY benzeri hırsızlık önleme yazılımı kullanma

Canonical’ın “artık buna ihtiyacımız yok” kararını vermesi, daha fazla “ciddi” bir dağıtım olarak bilinen LTS sürümlerinde karar vermesi şaşırtıcı .


2
Ubuntu 18.04.1 bugün serbest bırakıldı, her iki böcek de hala duruyor. 18.04.2'de fscrypt'i görmeyi umuyorum, ancak şimdi biraz daha iyimserim. Lütfen güncelle!
Nonny Moose

2
@NonnyMoose güncellendi - yayınımın yarısında kalın bölüme bakın.
Redsandro

3
Vaov! insanlar 16.04'ten 18.04'e yükseldiğinde, ~!
MaxB 12:18

2
DİKKATLİ OLUN: Bu “önleyici rehber” den gelen talimatları takip ettim (bunu tty altında yaptım) ve sınırsız oturum açmaya başladım. Aynı sonuçla taze 18.10 kurulumda iki kez denedim.
PetroCliff

2
Birisi şifrelemeden sonra sonsuz giriş döngüsüne girdiyse, ancak tty ile giriş yapabilir. Benim durumumda, /home/myuserdizinin yanlış sahibi tarafından kaynaklandı . Bir nedenden ötürü köklüydü, dolayısıyla sahibimi kullanıcıma değiştirmek sorunu çözdü.
PetroCliff

8

Gönderen Pantherların cevap burada Tam disk şifreleme giriş yapmış değilken böyle / home sadece Encypted gibi yalnızca belirli bir dir şifreleyerek herşeyin / ev dahil şifreler.

Mevcut bir kullanıcının giriş dizinini şifrelemek için:

İlk önce o hesaptan çıkış yapın ve bir yönetici hesabına giriş yapın:

iş için şifreleme yardımcı programlarını yükleyin:

 sudo apt install ecryptfs-utils cryptsetup

o launchpad hatadan ecryptfs-utils şimdi evren deposunda.

bu kullanıcının giriş klasörünü taşı:

sudo ecryptfs-migrate-home -u <user>

ardından bu hesabın kullanıcı şifresi

Sonra oturumunuzu kapatın ve şifreli kullanıcılar hesabına giriş yapın - yeniden başlatmadan önce! şifreleme işlemini tamamlamak

Hesabın içinde kurtarma parolasını yazdırın ve kaydedin:

ecryptfs-unwrap-passphrase

Şimdi yeniden başlatıp giriş yapabilirsiniz. Memnun kaldığınızda, yedekleme ana klasörünü silebilirsiniz.

Ayrıca şifreli ana diziyle yeni bir kullanıcı oluşturmak istiyorsanız:

sudo adduser --encrypt-home <user>

Daha fazla bilgi için: adam ecryptfs-migrate-home ; adam ecryptfs-kurulum-özel


2
Cevabınız için teşekkürler, ptetteh. Geçen gün bu yöntemi denedim, ancak giriş yaparken sorunlara neden görünüyordu. Bazen giriş ekranında donuyor ve yeniden başlatmam gerekiyordu. Soruna neden olan başka bir şey olmadığından emin olmak için 18.04'ü yeniden yükledim ve şu ana kadar her şey iyi görünüyor. Ecryptfs şimdi varsayılan olarak dahil edilmemiş olarak kabul edilirse, LUKS veya fscrypt kullanmak benim için en iyi şey olacağını düşünüyorum.
el24 24

1
Temiz bir kurulumda benim için çalıştı (18.04.1). "Kurtarma modunda" yapmak zorunda kaldım. Açarken oturum açman gerekmedi, paket açıldığında size bildirilecek ve oluşturulan parolayı yazmanızı isteyecek. Teşekkürler!
lepe

2
Ana dizininizde daha uzun yol adlarınız (> ~ 140 karakter) varsa, ecryptfs çalışmaz. Bkz unix.stackexchange.com/questions/32795/...
Sebastian Stark

1

Şahsen çoğu durumda, Dosya Sistemi Şifrelemesi'ni (FSE) hiç kimseye kullanmamanızı öneririm. En azının var olan gerçeği değil, daha etkili alternatiflerin çeşitli nedenleri vardır. Hepiniz FSE veya FDE (Tam Disk Şifreleme) olmak üzere iki seçenek var gibi konuşuyorsunuz. Ancak, bu sadece durum böyle değil. Aslında, OP'ye çok daha fazla yarar sağlayabilecek iki dosya seçeneği daha var, bunlar File Container Encryption ve Encrypted Archives.

Dosya konteyneri şifrelemesi, Veracrypt gibi bir yazılımdır ve şimdi geçersiz olan Truecrypt için yazılmıştır. Konteyner şifreleme, Winzip ve 7zip gibi çoğu dosya sıkıştırma arşiv yazılımında, böyle bir arşiv oluştururken bir seçenek olarak bulunur.

İkisinin de FSE'ye göre birçok avantajı var, en açık olanı şifreli dosyalarınızla çalışmadığınızda bunları monte etmenize gerek kalmaması. Bu, kullanıcı profili anahtarının ve ekran kilidinin korumasını geçersiz kılan herkesin erişebilmesini önler. Ayrıca, bilgisayarınızdan uzaklaşmak gibi aptalca bir şey de yapabilirsiniz, ancak ekranı kilitlemeyi ya da birinin bilgisayarı kullanmasına izin vermeyi ve gizli dizinlerinize göz atmayacaklarını ummayı unutmayın. Ayrıca, büyük miktarlardaki dosyaları bir seferde, başka bir yolla şifrelemeye gerek kalmadan kolayca taşıyabilirsiniz, çünkü kaplar taşınabilirdir.

Veracrypt konteynerlerinin bu kadar kullanışlı olmasının bir avantajı, bir sürücü olarak monte edilebilecekleri ve bunları ayrı bir dosya sistemi, tercihen EXT2 veya FAT32 gibi günlük tutmayan bir dosya sistemi ile biçimlendirmenize izin vermesidir. Günlük kaydı dosyaları sistemi potansiyel olarak saldırgana bilgi sızdırabilir. Ancak, yaptığınız tek şey kişisel fotoğraflarınızı gizlemekse, bu sizinle ilgili olmayabilir. Öte yandan, devlet sırlarınız veya yasal olarak korunan verileriniz varsa, o zaman olabilir. Ayrıca, bir anahtar dosyası kullanıyorsanız, açılışta otomatik olarak bağlanacak şekilde ayarlayabilirsiniz. Ancak, anahtar dosyasının FSE'nin kullanıcı profili anahtarını depoladığı yerden daha az güvenli bir yerde saklanması gerektiğinden bu önerilmez.

Her ikisi de dosya sıkıştırması kullanma imkanı sunar. Sıkıştırılmış arşivleri kullanırken, kullanılan belirli sıkıştırma algoritmasına bağlı olarak her zaman böyle olmamakla birlikte, dosya adlarını da gizleyebilirsiniz.

Kişisel olarak, taşınmayacak dosyalar için konteyner şifrelemeyi ve bulutta taşınacak veya depolanacak dosyalar için şifrelenmiş arşivleri kullanıyorum, çünkü daha küçük bir dosya boyutu.

Bir Home dizinini şifrelemek konteyner şifrelemeyle hala mümkündür. Belki şifreleme anahtarınızı bir YubiKey'de saklayabilirsiniz?

Her neyse, diğer posterlerin bahsetmediği bazı alternatifleri sunmak istedim. Söylediğim herhangi bir şeye katılmakta veya katılmakta çekinmeyin.


8
Selam. "Bebek bakıcısı" örneğiniz hakkında bazı yorumlarim var: - ilk olarak, birçok yerde insanlar ortalama bir bakıcının varsayılan olarak genç olmasını bekleyebilir, bu da böyle bir iş parçacığına düşmesini biraz rahatsız edici bir benzetme yapar. İkincisi, sadece şifreleme için suçluluk sırrı saklamaktan daha iyi kullanım vakaları olduğunu onaylamak istiyorum.
mwfearnley

Kaplar sabit boyuttadır, dosya sistemi şifrelemesi (fscrypt, eCryptfs, EncFS, vb.) Yalnızca dosyalar kadar yer kaplar ve buna göre büyüyebilir ve daralabilir. QED. PS, eCryptfs’lerin sadece tek bir dizini evde şifreleyebileceğini, sadece hevesle şifresini çözebileceğini bilmiyor gibi görünüyorsunuz.
Xen2050

3
Dürüst olmak gerekirse, bu cevap faydalıdır, ancak içerik rahatsız edici. Basitçe şifrelemeyi suç faaliyeti ile ilişkilendirmek, medyada yeteri kadar yokmuş gibi. Şifreleme korunması içindir gelen suç. Bundan dolayı fazla oy alamıyorum. Bir düzenleme gerçekleştiğinde bu yorumu silerim.
Todd,

1
Köke güvenemiyorsanız (kullanıcı kimliği: 0), sistemi şifreleme için kullanamayacağınızı unutmayın (FSE, konteyner veya arşiv olabilir). Şifrelemeyi açarsanız ve güvenli bir şekilde kilitlemeden sistemden uzaklaşırsanız, tüm şifreleme sistemleri korunmasızdır. Ayrıca, tüm dosya sisteminizi şifrelemezseniz, gizli dosyalara dokunan tüm uygulamaların potansiyel olarak güvenli bölümünüzün dışında şifrelenmemiş kopyalar oluşturacağını anlamanız gerekir.
Mikko Rantalainen

0

Benim gibi, Ubuntu 16.04 üzerinden yeni bir Ubuntu 18.04 kurulumu yapıyorsanız ve daha önce şifrelemişseniz /home, kurulumdan sonra giriş yapamadığınızı göreceksiniz. Yapmanız gereken tek şey ecryptfs ile ilgili paketleri kurmak:, sudo apt install ecryptfs-utils cryptsetupyeniden başlat ve giriş yap.

Bu paketleri kurmak için muhabbet kuşu yüklendikten sonra ( Cntrl+ Alt+ F1) boş bir oturum açabilir ya da linux kurtarma moduna girip buradan yükleyebilirsiniz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.