Ev dışı bir dizinde ecryptfs nasıl kullanılır


14

Rastgele bir dizini şifrelemek için ecryptfs kullanmak istiyorum. Bunu nasıl yapacağımı veya mevcut yazılımla gerçekten mümkün olsa bile göremiyorum. Belirsiz öneriler sağlayan gönderiler gördüm (örneğin, mount.ecryptfs_privateALIAS seçeneğiyle kullanmak için), ancak bunun nasıl yapılacağı hakkında basit, adım adım talimatlar bulmadım. Birisi bu talimatları verebilir mi yoksa beni nerede bulacağına yönlendirir mi?



1
Bu çözümle ilgili sorunum zaten şifrelenmiş bir giriş dizinine sahip olmam. Koduna baktığımda, ecryptsfs-setup-privatezaten şifreli bir eviniz varsa ve gerçekten kötü şeyler yapmaktan korkmak istemiyorsanız ne olacağından emin değilim.
user3004015

1
Bir çiftin neden bu kadar zor göründüğünü anlıyor musunuz? Bana öyle geliyor ki, mantıklı olan şey, şifreli depolama ve klasörler oluşturmak ve bunları otomatikleştirmek için genel bir sistem oluşturmak ve daha sonra ana dizini yapmak için bir sistem kurmak olacak gibi görünüyor, ancak bu yazılım çok fazla yazılmış gibi görünüyor şeyler kablolu. Depolama
.Özel

2
Parola korumalı bir zip dosyası kullanmak kriptografik olarak güvenli değildir. Benzer bir yaklaşım kullanmaktır gpg. Klasörü güvenli bir şekilde saklamak istediğinizi varsayalım, mydataardından tar -c mydata | gpg --symmetric > mydata.tar.gpg && rm -rf mydataverilerinizi depolamak ve verilerinizi gpg --decrypt mydata.tar.gpg | tar -xgeri yüklemek için kullanabilirsiniz. Özel / genel anahtarınızı, tavsiye edilen verilerinizi korumak için kolayca kullanabilirsiniz. Bu yöntemle yalnızca az miktarda veri depolanmalıdır. @Rinzwind
Arne L.

1
Eğer bir tür veri şifreleme amacı yener rm -fR mydata. Bu veriler, siz "silindikten" uzun bir süre sonra diskten kurtarılabilir. Ne kadar güvenli olduğundan emin değilim, ama bunun yerine "özyinelemeli" bir parçalamaya doğru eğilirdim find mydata -type f -exec shred -uz -- {} \;. Parçalama sadece günlüklü olmayan dosya sistemleri ve belirli aygıt türleri üzerinde etkilidir. Bunun güvenli bir uygulama olduğunu düşünmüyorum: arşivi bu şekilde şifrelemek ve şifresini çözmek. Oranlar etkisiz olacaktır.
bambams

Yanıtlar:


8

Yalnızca gibi süper kolay komut bakıyoruz ecryptsfs-setup-privateve ecryptsfs-mount-privateonlar daha "genel" araçları kullanmak Aradığınız gibi görünüyor: mount.ecryptfsve ecryptfs-add-passphrase. Daha manfazla bilgi için sayfalarına bakın .

Rinzwind'in yayınladığı bağlantı, Manuel Kurulum altındaki sayfadan sonra ihtiyacınız olan tüm bilgilere sahiptir . Oldukça uzunlar, ama çok kısa versiyon :


"Manuel Kurulum" yolu (archlinux wiki)

Öncelikle istediğiniz gibi bir ALIAS seçin. Bu bölüm aracılığıyla ALIAS gizli kalacaktır. Gerekli dizinleri / dosyaları oluşturun:

$ mkdir ~/.secret ~/secret ~/.ecryptfs
$ touch ~/.ecryptfs/secret.conf ~/.ecryptfs/secret.sig

~/.secretDizin şifreli veri tutacaktır. ~/secretDizin bağlama noktası ~/.secretbir eCryptfs dosya sistemi olarak monte edilecektir.

[Şimdi gerçek bağlama parolasını oluşturun (kolay komut dosyaları sahte rastgele 32 karakter seçecektir /dev/urandom), iyi bir tane yapın]

$ echo "$HOME/.secret $HOME/secret ecryptfs" > ~/.ecryptfs/secret.conf
$ ecryptfs-add-passphrase
Passphrase: 
Inserted auth tok with sig [78c6f0645fe62da0] into the user session keyring

Çıktı imzasını (ecryptfs_sig) önceki komuttan ~ / .ecryptfs / secret.sig dosyasına yazın:

$ echo 78c6f0645fe62da0 > ~/.ecryptfs/secret.sig
  • Dosya adı şifrelemesi için ikinci bir parola kullanılabilir. Bunu seçerseniz, anahtarlığa ekleyin:

    $ ecryptfs-add-passphrase
    Passphrase: 
    Inserted auth tok with sig [326a6d3e2a5d444a] into the user session keyring
    

    Yukarıdaki komutu çalıştırırsanız, çıkış imzasını (ecryptfs_fnek_sig) ~ / .ecryptfs / secret.sig dosyasına ekleyin:

    $ echo 326a6d3e2a5d444a >> ~/.ecryptfs/secret.sig
    

Son olarak, ~ / .secret komutunu ~ / secret dizinine bağlamak için:

$ mount.ecryptfs_private secret

~ / .Secret bağlantısını kaldırmak için:

$ umount.ecryptfs_private secret

  • Ya da gerçekten ellerinizi kirletebilir ve ecryptfs-utils olmadan yönergelerini takip edebilirsiniz.

  • Yoksa zaten kolay komut bakılınca ecryptsfs-setup-private& ecryptsfs-mount-private, sen beceri ve sabır birazcık, tercih dizinlere bu ve noktaya düzenleme kopyalamak mümkün olabilir.

  • Veya sadece parolaları bir şekilde saklayın (tercihen tercihen) ve man ecryptfssayfanın örneğini beğenin (kılavuz sayfaları okumalıdır):

    The following command will layover mount eCryptfs on /secret with a passphrase
    contained in a file stored on secure media mounted at /mnt/usb/.
    
    mount  -t  ecryptfs -o key=passphrase:passphrase_passwd_file=/mnt/usb/file.txt /secret /secret
    
    Where file.txt contains the contents "passphrase_passwd=[passphrase]".
    

Şifrelenmiş ev klasörleri ve ev iç içe eCryptfs klasörlerinin içindeki şifrelenmiş bir klasörün yanı sıra

Şifrelenmiş bir giriş klasörü normalde dosyaları depolarken /home/.ecryptfs/user/, şifrelenmiş bir Özel klasörde kendi giriş klasörünüzde dosyalar bulunur. Sen olabilir değil aynı zamanda ikisini birden kullanabilirsiniz, eCryptfs şifreli klasörler iç içe do olmayacaktır. Ancak şifrelenmiş bir eve ve evinizin dışında şifreli klasörlere sahip olmak sorun değildir.

  • Şifrelenmiş bir ev ile yeni bir kullanıcı oluşturmayı denedim sudo adduser --encrypt-home jack

    Bir /home/.ecryptfs/klasör oluşturdu :

    • /home/.ecryptfs/jack/.ecryptfs/ - girişte otomatik giriş jakının evine sarılmış parola ve yapılandırma dosyaları
    • /home/.ecryptfs/jack/.Private/- gerçek şifrelenmiş ev dosyaları, /home/jack/oturum açıldığında bağlanır.

      Ve ayrıca /home/jack/klasör, ancak giriş yapmış olsun veya olmasın orada kalacak bir bağlantı içeriyordu :

      /home/jack/.ecryptfs/ -> /home/.ecryptfs/jack/.ecryptfs

    • Sonra jack olarak giriş yaptım, ancak bağlantı hala oradaydı, bu yüzden çalıştırmaya çalışmak ecryptfs-setup-privateiçeriye bakmasına neden oldu, /home/jack/.ecryptfs/ancak mevcut dosyaları gerçekten gördü, bu /home/.ecryptfs/jack/.ecryptfsyüzden başka bir şifre dosyası oluşturamadı ve başarısız olduERROR: wrapped-passphrase file already exists, use --force to overwrite.

      Şifrelenmiş evin içindeki .secret klasörünü kullanarak yukarıdaki "ALIAS" adımlarını denemek başarısız oldu:
      Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
      Reading sb failed; rc = [-22]

      "Şifrelenmiş dizinleri şifrelenmiş dizinlerin içine yerleştirmek eCryptfs ile desteklenmez. Üzgünüz." - eCryptfs yazarı ve sürdürücüsü

    • ALIAS klasörünü jack'in evinin dışında değiştirmek, denemek /tmp/.secret/ve /tmp/secret/ çalışmak . AMA jack oturumunu kapatırsanız yeni şifrelenmiş klasör bağlı kalır , bu yüzden bağlantısını kesmeniz gerekir ( umount.ecryptfs_private secret).


1
Basitleştirilmiş yanıt için teşekkürler. Yine de bir soru: Bu, otomatik montaj sorunuyla ilgileniyor mu? Bu konuda yoğun olduğum için üzgünüm, ancak belirttiğiniz web sayfası ve man sayfalarının standart olmayan bir durum için otomatik bağlama kurulumu konusunda anlaşılması gerçekten kolay değil. Zaten şifrelenmiş bir giriş dizinim olduğu için, zaten $ HOME / .ecryptfs / auto mount ve wrap-passphrase var, ancak ilki boş ve ikincisi zaten içinde bir şey var. Yeni parolayı nasıl ekleyeceğimi ve dizini otomatik olarak nasıl bağlayacağını söyleyemiyorum.
user3004015

Küçük bir testle güncellendi ve bu adam ragingpenguin.com/2012/12/… Görünüşe göre PAM ile otomatik montaj konusunda kemer Wiki rehberini takip ederken biraz şanslıydı, ancak bu konuda oldukça sıkı
Xen2050

Çabaların için teşekkürler. Ecryptfs dizinlerini yerleştirmekle ilgilenmiyorum, ancak ikinci bir dizini ikinci bir yere otomatik olarak monte etmek. Biraz zamanım olduğunda işe almaya çalışacağım, ama kesinlikle çok net değil ...
user3004015

Bir mountsatıra kırpabilir , bir .confdosyaya veya anahtar eklemeye gerek yoktur , sadece man ecryptfsmevcut seçenekler için sayfaları okuyun . Sonra bir "girişte çalıştır" dosyası atın /home/user/.config/autostart/. Ancak yanlış saklanırsa parolanın güvenliği risk altında olabilir
Xen2050

Mesele şu ki ecryptfs, şifreleme parolalarını bir oturum açma parolası ile açılan bir sarıcı içine sarmak için güzel bir sisteme sahip. Bu, ecryptfs şifresi için ek koruma sağlar, bu da olması güzel olur. Senaryo koymak ne yanlış anlamadım sürece .config / autostart bir şey koymak buna izin vereceğini sanmıyorum.
user3004015

0

Eğer encfs gibi kullanmak istiyorsanız, aşağıdaki girişle yapabilirsiniz. /etc/fstab

/tmp/.geheim /tmp/geheim ecryptfs rw,no_sig_cache,ecryptfs_fnek_sig=1f7aefb9e239099f,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_enable_filename_crypto=y,ecryptfs_passthrough=n,passphrase_passwd=geheimpw,user,noauto 0 0

geheim sır için almanca bir kelimedir, ancak bunun bir anahtar kelime olmamasını sağlar. Önce dizinleri oluşturmanız gerekir. İlk seferinde ecryptfs_fnek_sig=1f7aefb9e239099fgitmelisin. Sonramount /tmp/geheim size doğru değeri gösterecektir.

Parolayı başka bir yerde saklayabilir ve daha karmaşık seçenekler ayarlayabilirsiniz. İçindeki tüm seçenekleri bulacaksınız man ecryptfs.


-1
ecryptfs /destination/to/encrypted/storage /destination/to/seeing/unencrypted/data

Örneğin:

ecryptfs /home/$USER/EFILES /home/$USER/Downloads/RANDOMDIRECTORY

RANDOMDIRECTORY içine kaydedilen dosyaların şifrelenip EFILES'e kaydedildiği şifreli bir sistem oluşturmak ve bağlamak için yukarıdaki komutu kullanın.

ek Notlar. başladığınızda RANDOMDIRECTORY'ın boş olduğundan emin olun. Yukarıdaki komutu çalıştırdıktan ve sistem kurulduktan ve kullanıma hazır hale geldikten sonra, RANDOMDIRECTORY içine kaydettiğiniz tüm dosyalar sistem takılıysa EFILES'e şifrelenir. Hızlı bir montaj / çıkarma için bir bash betiği oluşturabilir ve bir uygulama kısayoluyla çalıştırabilir veya hızlı montaj için bir diğer ad komutu oluşturabilirsiniz.

Bunu bir yıldan fazla bir süredir kullanıyorum.

EDIT: onaylamak için eve gitti, senin komut ecryptfs değil. onun encfs yani

encfs /destination/encrypted /destination/unencrypted

bunun için üzgünüm. Bununla tho (muhtemelen) yeni bir program yüklemeniz gerekecek


1
Komutu yazdım ecryptfsve bulunamadı komutu yanıt veriyor. man ecryptfsman sayfasını getirir mount -t ecryptfs, ancak böyle şifreli bir dosya sisteminin nasıl oluşturulacağını açıklamaz.
user3004015

Ubuntu 14.04 LTS kullandığımı unutmayın, bu yüzden kurulumum nispeten yeni. Mı ecryptfskomutu bir son ek?
user3004015

encfs ecryptfs ile aynı değildir. Bunlar iki farklı.
Diagon
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.