Come crittografare / home su Ubuntu 18.04?

57

Deluso dal vedere che il programma di installazione 18.04 non offre più la possibilità di crittografare la directory home. Secondo questa segnalazione di bug a cui si fa riferimento nel programma di installazione, il metodo consigliato per la crittografia in questi giorni è il disco intero con LUKS o fscrypt per le directory. La crittografia dell'intero disco sembra un po 'eccessiva per le mie esigenze e tutti i bug e le avvertenze menzionate nel Wiki non la rendono un'opzione molto interessante. Tutto quello che voglio davvero è proteggere la mia directory home da qualcuno che acceda ai miei documenti, foto, ecc. Se il mio laptop dovesse venir rubato, rendendo fscrypt l'opzione per me.

La pagina GitHub di fscrypt contiene alcuni esempi su come configurarlo, ma non riesco a trovare alcuna documentazione volta a crittografare la home directory su Ubuntu. Il vecchio strumento ecryptfs è ancora disponibile, ma dopo averlo configurato Ubuntu a volte si blocca nella schermata di accesso.

Quindi la mia domanda è: come configuro fscrypt per crittografare la mia directory / home e decrittografare quando eseguo l'accesso? Mi è piaciuto anche il modo in cui ecryptfs ha permesso di decrittografare la cartella manualmente (ad es. Da immagini del disco).

(Una domanda simile è stata pubblicata qui ed è stata purtroppo chiusa per essere una segnalazione di bug "off-topic". Per chiarire, questa non è una segnalazione di bug. Il fatto che l'opzione di crittografia della home directory sia stata rimossa dal programma di installazione era intenzionale. Tutto sto chiedendo qui è come impostare fscrypt.)

encryption  home-directory  18.04 
elight24
fonte
2
@Panther LUKS consente di decrittografare i file memorizzati su un'unità di backup? Il motivo per cui lo chiedo è perché eseguo i backup di sistema completi da Windows con Macrium Reflect. Se devo estrarre alcuni file dal backup, avrei bisogno di un modo per decrittografare i file di backup. Con ecryptfs, tutto quello che dovevo fare era collegare il mio disco ed eseguire lo script archiviato nella cartella crittografata.
elight24,
7
E che dire di quelli di noi che hanno la nostra cartella home crittografata dal 16.04, ma non riescono a montarla nuova perché l'opzione "Encrypt home folder" non è più disponibile dal programma di installazione? Non è nemmeno possibile effettuare l'accesso. È ridicolo.
SunnyDaze,
2
@SunnyDaze È passato un po 'di tempo da quando ho dovuto montare i miei dati manualmente, ma credo che il comando fosse "ecryptfs-mount-private".
elight24,
3
Potresti essere confuso usando LUKS sull'intero disco, questo non funzionerà con le finestre a doppio avvio, rispetto all'utilizzo di LUKS sulla partizione Ubuntu, funziona bene con doppio avvio con Windows. Non ho letto la pagina della wiki
Panther
2
La crittografia completa del disco è ottima e fa il suo lavoro. Ma è sufficiente solo se sei il tuo personal computer e sei l'unico utente. Se qualcuno si sta chiedendo why encrypt the home?, quando ci sono molti utenti è utile. Quando
effettui l'

Risposte:

25

Aggiornamento 2019-07

Sto gestendo più case crittografate con fscrypt. Installa il tuo sistema senza crittografia e usa questa guida per implementare fscrypta casa tua.

Assicurati di essere a chmod 700casa e / o utilizzarlo umask 077perché fscrypt non imposta automaticamente le autorizzazioni come una ecryptfsvolta.

L'API fscryptpotrebbe cambiare in futuro, quindi assicurati di eseguire il backup dei file importanti se tenti di aggiornare il tuo sistema.

(Questa funzione non è ampiamente utilizzata sul desktop. Utilizzare a proprio rischio.)

Aggiornamento 2018-11

TL: DR; Puoi provare fscryptin Ubuntu 18.10+ o Linux Mint 19.1+

Sembra che questo sia stato finalmente risolto. Ecco una guida preventiva: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Non sto citando le istruzioni qui perché richiede alcuni hack e puoi finire per perdere i tuoi dati di casa.

Avviso: un avviso dell'utente @dpg : "ATTENZIONE: ho seguito le istruzioni di quella" guida preventiva "(eseguita sotto tty) e ho ottenuto un ciclo di accesso infinito".

Considera questa guida solo a scopo educativo.

La prossima è la mia risposta originale:

Risposta originale 2018-05

TL; DR: usa la crittografia domestica classica con Linux Mint 19 Tara .

fscrypt per la crittografia domestica è ancora rotto.

Come configuro fscrypt per crittografare la mia directory / home e decrittografare quando eseguo l'accesso?

Questo è qualcosa che molti di noi vogliono. Sembra che il team di Ubuntu non sia riuscito ecryptfsa lavorare senza errori su Ubuntu 18.04 e non sia riuscito a correggere i bug fscryptper un'opzione di crittografia domestica in tempo per la versione programmata di Ubuntu 18.04.

Perché fscryptalmeno un bug critico lo rende al momento inutilizzabile per la crittografia domestica:

Inoltre, avremmo bisogno di un modo trasparente di autenticazione / sblocco prima che sia un'alternativa realistica alla "vecchia" crittografia domestica di tipo ecryptfs. Questo è tracciato qui:

Con questi problemi aperti, puoi considerare la crittografia domestica interrotta a questo punto. Detto questo, io e i miei colleghi consideriamo Ubuntu 18.04 18.04.1 incompiuto al momento, e speriamo che la crittografia domestica venga ripristinata (usando il nuovo fscryptmetodo molto migliore ) in Ubuntu 18.04.1 18.04.2.

Fino a quel momento, restiamo fedeli a Ubuntu 16.04. Abbiamo convertito tutte le nostre macchine in Linux Mint 19 Tara con la classica crittografia domestica tramite ecryptfs. Leggi la sezione "Problemi noti" nelle Note di rilascio per Linux Mint 19 Tara sulle ecryptfslimitazioni e vedi se questo è accettabile per te:

(...) tieni presente che in Mint 19 e nelle versioni più recenti, la tua home directory crittografata non è più smontata al logout.

Se hai provato a fscrypttrovarlo rotto per il tuo utilizzo, puoi votare "anche questo bug influisce su di me" al seguente bug del launchpad:

Nota che fscrypt/ ext4-crypt(futura "crittografia home") è l'opzione più veloce e ecryptfs(vecchia "crittografia home") è l'opzione più lenta. LUKS("crittografare l'intera unità") è nel mezzo.

Per questo motivo, si consiglia 'convenientemente' la crittografia dell'intero disco. Perché se hai progetti molto grandi con molti piccoli file, usa molto la gestione delle revisioni, fai grandi compilazioni, eccetera, scoprirai che l'eccesso di crittografia dell'intero disco vale davvero la pena rispetto alla lentezza del vecchio tipo di ecryptfs crittografia domestica.

Alla fine, la crittografia dell'intera unità presenta molteplici inconvenienti:

  • Conto ospite
  • Famiglia laptop con account privati
  • Utilizzo del software antifurto simile a PREY

È sconcertante che Canonical abbia deciso che "non ne abbiamo più bisogno" sulla loro versione LTS, che è diventata nota come la loro distribuzione più "seria".

Redsandro
fonte
2
Ubuntu 18.04.1 è stato rilasciato oggi, con entrambi i bug ancora in piedi. Spero di vedere fscrypt nel 18.04.2, ma ora sono un po 'meno ottimista. Per favore aggiornare!
Nonny Moose,
2
@NonnyMoose aggiornato - vedi la sezione in grassetto a metà del mio post.
Redsandro,
3
Wow! quando le persone aggiornano dal 16.04 al 18.04, cosa succede al loro ~!?
MaxB
2
ATTENZIONE: ho seguito le istruzioni di quella "guida preventiva" (fatto sotto tty) e ho ottenuto un ciclo di login infinito. Ho provato due volte su una nuova installazione 18,10 con lo stesso risultato.
PetroCliff,
2
Nel caso in cui qualcuno sia entrato in un ciclo di accesso infinito dopo la crittografia, ma può accedere in tty. Nel mio caso, è stato causato da un proprietario errato della /home/myuserdirectory. Era root per qualche motivo, quindi cambiare proprietario con il mio utente ha risolto il problema.
PetroCliff,
8

Dalla risposta di Panther qui La crittografia del disco completo crittografa tutto incluso / home mentre crittografa solo una directory specifica come / home viene crittografata solo quando non si è effettuato l'accesso.

Per crittografare una home directory degli utenti esistenti:

Primo logout di quell'account e accedere a un account amministratore:

installare le utilità di crittografia per il lavoro:

 sudo apt install ecryptfs-utils cryptsetup

da quel bug del launchpad ecryptfs-utils è ora nel repository dell'universo.

migrare la cartella principale di quell'utente:

sudo ecryptfs-migrate-home -u <user>

seguito dalla password dell'utente di tale account

Quindi disconnettersi e accedere all'account degli utenti crittografati - prima di riavviare! per completare il processo di crittografia

All'interno dell'account stampa e registra la passphrase di recupero:

ecryptfs-unwrap-passphrase

Ora puoi riavviare e accedere. Una volta soddisfatto, è possibile eliminare la cartella principale di backup.

Inoltre, se si desidera creare un nuovo utente con home directory crittografata:

sudo adduser --encrypt-home <user>

Per maggiori informazioni: man ecryptfs-migrate-home ; man ecryptfs-setup-private

ptetteh227
fonte
2
Grazie per la risposta, ptetteh. Ho provato quel metodo l'altro giorno, ma sembrava che causasse problemi durante l'accesso. A volte si bloccava nella schermata di accesso e mi faceva riavviare. Ho reinstallato 18.04 solo per assicurarmi che non fosse qualcos'altro a causare il problema, e finora tutto sembra andare bene. Se ora ecryptfs è ritenuto inadatto da includere per impostazione predefinita, penso che la cosa migliore sarebbe che io usassi LUKS o fscrypt.
elight24,
1
Ha funzionato per me in un'installazione pulita (18.04.1). Ho dovuto farlo in "modalità di recupero". Non è stato richiesto di scartare come quando si accede, ti avviserà e ti chiederà di scrivere la passphrase generata. Grazie!
lepe,
2
ecryptfs non funzionerà se nella directory principale sono presenti nomi di percorso più lunghi (> ~ 140 caratteri). Vedi unix.stackexchange.com/questions/32795/…
Sebastian Stark
1

Personalmente, non consiglierei quasi mai di utilizzare File System Encryption (FSE) a nessuno, per la maggior parte dei casi d'uso. Esistono diversi motivi, non ultimo il fatto di alternative esistenti e più efficaci. Parlate tutti come se ci fossero solo due opzioni, FSE o FDE (Full Disk Encryption). Tuttavia, semplicemente non è così. In effetti, ci sono altre due opzioni che potrebbero essere molto più vantaggiose per l'OP, tra cui Crittografia contenitore file e Archivi crittografati.

La crittografia del contenitore di file è ciò per cui sono scritti software come Veracrypt e l'ormai defunto Truecrypt. La crittografia del contenitore è integrata nella maggior parte dei software di archivio per la compressione di file come Winzip e 7zip, come opzione per la creazione di tale archivio.

Entrambi hanno molti vantaggi rispetto a FSE, il più ovvio è che non è necessario lasciarli montati mentre non si lavora con i file crittografati. Ciò impedisce a chiunque di accedere a chi è in grado di ignorare le protezioni della chiave del profilo utente e il blocco dello schermo. Inoltre, potresti fare qualcosa di stupido, come allontanarti dal tuo computer, ma dimentica di bloccare lo schermo o consentire a qualcuno di usare il computer e sperando che non sbirciano le tue directory nascoste. Inoltre, puoi facilmente spostare grandi quantità di file alla volta, senza bisogno di crittografarli in un altro modo, poiché i contenitori sono portatili.

Un vantaggio che i contenitori Veracrypt sono così utili è il fatto che possono essere montati come unità e che consente di formattarli con un file system separato, preferibilmente un file system senza journaling, come EXT2 o FAT32. Il file system di journaling potrebbe potenzialmente divulgare informazioni a un utente malintenzionato. Tuttavia, se tutto ciò che stai facendo è nascondere le tue foto personali, questo potrebbe non essere così rilevante per te. Se, d'altra parte, hai segreti di stato o dati legalmente protetti, allora potrebbe. Puoi anche impostarli per il montaggio automatico all'avvio, se usi un file chiave. Tuttavia, ciò non è raccomandato, poiché il file chiave dovrebbe essere archiviato in un posto meno sicuro rispetto a dove FSE memorizza la chiave del profilo utente.

Entrambi offrono la possibilità di utilizzare la compressione dei file. Puoi anche nascondere i nomi dei file, anche se non sempre quando si utilizzano archivi compressi, a seconda dell'algoritmo di compressione utilizzato.

Personalmente, utilizzo la crittografia del contenitore per i file che non verranno spostati e gli archivi crittografati per i file che verranno spostati o archiviati nel cloud, poiché le dimensioni del file sono inferiori.

La crittografia di una directory Home è ancora possibile con la crittografia del contenitore. Forse memorizzare la chiave di crittografia su un YubiKey?

Ad ogni modo, volevo solo offrirti alcune alternative che non venivano menzionate dagli altri poster. Sentiti libero di essere d'accordo o di non essere d'accordo con tutto ciò che ho detto.

Mr. Cypherpunk
fonte
8
Ciao. Ho alcuni commenti sul tuo esempio di "babysitter": - in primo luogo, in molti posti le persone possono aspettarsi che la babysitter media sia un'adolescente per impostazione predefinita, il che rende un'analogia un po 'inquietante passare a un thread come questo. In secondo luogo, voglio solo affermare che esistono casi d'uso molto migliori per la crittografia piuttosto che nascondere un segreto colpevole.
mwfearnley,
I contenitori hanno dimensioni fisse, la crittografia del filesystem (fscrypt, eCryptfs, EncFS, ecc.) Occupa solo lo spazio dei file e può crescere e ridursi di conseguenza. QED. PS sembra inconsapevole che eCryptfs possa crittografare solo una singola directory in home, decifrata solo per capriccio.
Xen2050,
3
Onestamente, questa risposta è utile, ma il contenuto è offensivo. Semplicemente per associare la crittografia ad attività criminali, come se non ci fosse abbastanza nei media. La crittografia serve a proteggere dalle attività criminali. Non posso votare a causa di questo. Eliminerò questo commento una volta che si verifica una modifica.
Todd,
1
Nota che se non puoi fidarti di root (uid: 0), allora non puoi usare il sistema per nessuna crittografia (che sia FSE, contenitore o archivio). Tutti i sistemi di crittografia sono vulnerabili se si apre la crittografia e si esce dal sistema senza bloccarlo in modo sicuro. Inoltre, se non crittografate l'intero filesystem, dovete capire che potenzialmente tutte le applicazioni che toccano i file segreti potrebbero potenzialmente fare copie non crittografate al di fuori della vostra partizione sicura.
Mikko Rantalainen il
0

Se, come me, stai eseguendo una nuova installazione di Ubuntu 18.04 su Ubuntu 16.04 e hai precedentemente crittografato il tuo /home, vedrai che non sarai in grado di accedere dopo l'installazione. Tutto quello che devi fare è installare i pacchetti relativi a ecryptfs:, sudo apt install ecryptfs-utils cryptsetupriavvia e accedi.

Per installare quei pacchetti è possibile effettuare il login in un tty di riserva una volta caricato budgie ( Cntrl+ Alt+ F1) oppure accedere alla modalità di ripristino di linux e installarlo da lì.

Akronix
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.