Каков самый простой способ шифрования каталога? (На Ubuntu)

Каков самый простой способ шифрования каталога в системе на основе Ubuntu?

Предположим, у меня есть ноутбук под управлением Ubuntu 10.04, и на этом у меня есть документы, которые следует хранить в безопасности (если я потеряю ноутбук).

  • Доступ к файлам, зашифрованным EFS, после сброса пароля Windows
  • Как найти и удалить «пряные» мультимедийные файлы с моего ПК
  • Показать метод шифрования, используемый в zip-файле в WinZip 9.0
  • Если страница «забыл пароль?» Отправляет ваш старый пароль, является ли это окончательным доказательством того, что они сохранили его в виде обычного текста?
  • Удалите ненужную криптографию с открытым ключом GPG под капотом
  • Обеспечивает ли полное шифрование диска на накопителе SSD его срок службы?
  • Скажем, все документы находятся в директории ~ / work /, и ничто не секретно находится за пределами этого каталога. Поэтому нет необходимости шифровать весь домашний каталог.

    Должен быть способ блокировки / разблокировки этого каталога из командной строки.

    Кажется, есть несколько способов сделать это:

    • ecryptfs-Utils
    • Cryptsetup
    • Truecrypt (но не одобренный OSI открытым исходным кодом)

    Но какой самый простой и надежный метод?

    Благодаря Johan


    Обновление : родственный вопрос, но не тот самый Самый простой способ зашифровать все мои файлы в ubuntu 10.04?

  • Как сделать rsync-подобную зашифрованную резервную копию?
  • Поиск команд меню в Windows 7
  • Выход терминала поиска
  • Ubuntu - удаление неиспользуемых ядер
  • Почему ubuntu выключается так быстро по сравнению с Windows 7
  • Как перечислить зашифрованные файлы в Windows 7?
  • 5 Solutions collect form web for “Каков самый простой способ шифрования каталога? (На Ubuntu)”

    Существует три метода: настроить зашифрованный том на раздел ( dm-crypt , настроенный cryptsetup ), настроить файл, который является зашифрованным томом (truecrypt), настроить каталог, в котором каждый файл зашифрован отдельно ( ecryptfs или encfs ).

    Настройка зашифрованного тома дает немного больше конфиденциальности, потому что метаданные (размер, время изменения) ваших файлов невидимы. С другой стороны, он менее гибкий (вам нужно заранее определить размер зашифрованного тома). В FAQ ecryptfs перечислены некоторые различия между этими двумя подходами.

    Если вы решили шифровать файл по файлу, я знаю два варианта: ecryptfs и encfs . Первый использует драйвер ядра, в то время как последний использует FUSE. Это может дать преимущество ecryptfs ; Он дает преимущество encfs гибкости, поскольку ничего не нужно делать как root. Возможное преимущество ecryptfs заключается в том, что после первоначальной настройки вы можете использовать свой пароль для входа в качестве пароля файловой системы благодаря модулю pam_ecryptfs .

    Для моего собственного использования в аналогичной ситуации я выбрал encfs , потому что я не видел никаких реальных преимуществ безопасности для других решений, поэтому простота использования была определяющим фактором. Производительность не была проблемой. Рабочий процесс очень прост (первый запуск encfs создает файловую систему):

     aptitude install encfs encfs ~/.work.encrypted ~/work ... work ... fusermount -u ~/work 

    Я рекомендую вам также зашифровать пространство подкачки и любое место, где могут быть записаны временные конфиденциальные файлы, такие как /tmp и /var/spool/cups (если вы печатаете конфиденциальные файлы). Используйте cryptsetup для шифрования вашего раздела подкачки. Самый простой способ иметь дело с /tmp – сохранить его в памяти, установив его как tmpfs (это может дать небольшое преимущество в производительности в любом случае).

    Я использую TrueCrypt для таких вещей. Утвержденный OSI или нет, я считаю, что это никогда не подведет меня, и я – потребовал шифрования несколько раз.

    Если вас беспокоит только потеря ноутбука, Ubuntu уже настроена для вас.

    Просто выберите «зашифрованный домашний каталог», когда вы создаете свою учетную запись и предоставляете ей приличный пароль. Это защитит все, что находится внутри вашей домашней папки.

    Да, он зашифровывает больше, чем ~/work , но он без проблем.

    Для использования /tmp используйте tmpfs .

    Плюсы:

    • Вам не нужно ничего делать, Ubuntu делает все для вас.
    • Ваши друзья могут использовать ваш компьютер на ходу, им нужен только пароль, если они хотят получить доступ к вашим файлам.

    Против:

    • Есть другие места, где вы делаете данные об утечке – ответ Гилла является наиболее полным (+1 для него).

    Итак, если вы не думаете, что какой-то судебный эксперт попытается получить данные из материала, который вы напечатали, это достаточно хорошо.

    ecryptfs может зашифровать своп, но я рекомендую вам просто отключить своп, если только с вами не случилось, что вы вышли из ОЗУ. Жизнь лучше без свопа. (Или просто запустите ecryptfs-setup-swap и следуйте инструкциям по изменению fstab)


    Предупреждение : В любом случае, если только вы не получили этот ноутбук, на ваш жесткий диск уже записано много материала. Я нашел в себе кучу вещей, и ничто не прояснилось. Вам нужно сделать резервную копию на другой диск или раздел, перезаписать свою текущую файловую систему нулями и восстановить файлы (конечно, только восстановить конфиденциальные файлы после настройки шифрования).

    Самый простой и быстрый способ установить это – установить ecryptfs-utils и cryptkeeper :

    sudo apt-get install ecryptfs-utils cryptkeeper

    Затем, как только закончите, загляните в свой systray. Вы увидите значок из двух клавиш. Щелкните по нему и выберите «Новая зашифрованная папка». Введите имя и нажмите кнопку «Вперед» (как ни странно, внизу слева, а не справа). Затем введите требуемый пароль, подтвердите его и снова нажмите «Переслать», а затем «ОК».

    Это приведет к установке зашифрованной папки, и вы можете скопировать туда файлы. Когда это будет сделано, если вы выйдете из системы или снимите флажок с установленной папки (щелкните значок «Ключи» в systray, чтобы сделать это), для повторного подключения к ней потребуется пароль.

    Быстрый и простой способ – tar и compress а затем bcrypt .

     Tar cfj safe-archive.tar.bz2 Справочник / 
     Bcrypt safe-archive.tar.bz2 
     # Будет запрашивать у вас 8-значный пароль дважды, чтобы заблокировать его.
     # Но не забудьте удалить свой каталог после этого,
     Rm -rf Справочник / 
     # И, надеюсь, вы не забудете пароль, или ваши данные исчезли!
    

    Делает safe-archive.tar.bz2.bfe – который вы можете переименовать, если вы чувствуете себя параноидальным.

    Чтобы открыть зашифрованный пакет,

     Bcrypt safe-archive.tar.bz2.bf3 # Или, как вы его называли
     Tar xfj safe-archive.tar.bz2 
     # И ваш каталог вернулся!
    

    Если вы готовы стать более беспорядочным, я бы предложил truecrypt и сделать зашифрованные тома.
    Но я не думаю, что это необходимо для регулярных данных (например, не связанных с национальной безопасностью, скажем).

    Ps: обратите внимание, что я не предлагаю, чтобы bcrypt был слабым или неспособным к национальной безопасности.


    Ответ на комментарии к моему ответу выше.
    Я попытался дать простой ответ – и я согласен с тем, что мой выбор не предлагать Truecrypt в качестве первого варианта может быть неуместным для некоторых здесь.

    Вопрос задает простой способ шифрования каталога.
    Моя мера безопасности здесь основана на двух вещах,

    1. Что вы хотите обеспечить и
    2. Кого вы хотите защитить от

    Я оцениваю это как уровень вашей «паранойи».

    Теперь, не сказав, что Truecrypt (или другие подобные методы) являются более дорогостоящими,
    Все, что я хочу сказать, последовательность bcrypt, запущенная в tmpfs, достаточна для ежедневного использования сегодня
    (Это будет не так, наверное, примерно через десять лет, я думаю, но это действительно так).
    И я также предполагаю, что ценность данных, которые здесь обеспечиваются, не будет сопоставима для попытки восстановления класса mona-lisa.

    Простой вопрос: ожидаете ли вы, что кто-то попытается схватить ваш отключенный ноутбук и попытаться восстановить данные из своего холодного пространства в оперативной памяти?
    Если вы это сделаете, вам, вероятно, следует в первую очередь пересмотреть свое оборудование и программное обеспечение, проверить, с каким ISP вы подключаетесь, кто может слышать ваши нажатия клавиш и так далее.

    Ps: Мне нравится Truecrypt и использовать его. Соответствие OSI или его отсутствие не имеет большого значения. И я не ставил bcrypt и схему, предложенную здесь в конкурсе на нее.

    Давайте будем гением компьютера.