Каков самый простой способ шифрования каталога? (На Ubuntu)

Каков самый простой способ шифрования каталога в системе на основе Ubuntu?

Предположим, у меня есть ноутбук под управлением Ubuntu 10.04, и на этом у меня есть документы, которые следует хранить в безопасности (если я потеряю ноутбук).

Скажем, все документы находятся в директории ~ / work /, и ничто не секретно находится за пределами этого каталога. Поэтому нет необходимости шифровать весь домашний каталог.

Должен быть способ блокировки / разблокировки этого каталога из командной строки.

Кажется, есть несколько способов сделать это:

  • ecryptfs-Utils
  • Cryptsetup
  • Truecrypt (но не одобренный OSI открытым исходным кодом)

Но какой самый простой и надежный метод?

Благодаря Johan


Обновление : родственный вопрос, но не тот самый Самый простой способ зашифровать все мои файлы в ubuntu 10.04?

Существует три метода: настроить зашифрованный том на раздел ( dm-crypt , настроенный cryptsetup ), настроить файл, который является зашифрованным томом (truecrypt), настроить каталог, в котором каждый файл зашифрован отдельно ( ecryptfs или encfs ).

Настройка зашифрованного тома дает немного больше конфиденциальности, потому что метаданные (размер, время изменения) ваших файлов невидимы. С другой стороны, он менее гибкий (вам нужно заранее определить размер зашифрованного тома). В FAQ ecryptfs перечислены некоторые различия между этими двумя подходами.

Если вы решили шифровать файл по файлу, я знаю два варианта: ecryptfs и encfs . Первый использует драйвер ядра, в то время как последний использует FUSE. Это может дать преимущество ecryptfs ; Он дает преимущество encfs гибкости, поскольку ничего не нужно делать как root. Возможное преимущество ecryptfs заключается в том, что после первоначальной настройки вы можете использовать свой пароль для входа в качестве пароля файловой системы благодаря модулю pam_ecryptfs .

Для моего собственного использования в аналогичной ситуации я выбрал encfs , потому что я не видел никаких реальных преимуществ безопасности для других решений, поэтому простота использования была определяющим фактором. Производительность не была проблемой. Рабочий процесс очень прост (первый запуск encfs создает файловую систему):

 aptitude install encfs encfs ~/.work.encrypted ~/work ... work ... fusermount -u ~/work 

Я рекомендую вам также зашифровать пространство подкачки и любое место, где могут быть записаны временные конфиденциальные файлы, такие как /tmp и /var/spool/cups (если вы печатаете конфиденциальные файлы). Используйте cryptsetup для шифрования вашего раздела подкачки. Самый простой способ иметь дело с /tmp – сохранить его в памяти, установив его как tmpfs (это может дать небольшое преимущество в производительности в любом случае).

Я использую TrueCrypt для таких вещей. Утвержденный OSI или нет, я считаю, что это никогда не подведет меня, и я – потребовал шифрования несколько раз.

Если вас беспокоит только потеря ноутбука, Ubuntu уже настроена для вас.

Просто выберите «зашифрованный домашний каталог», когда вы создаете свою учетную запись и предоставляете ей приличный пароль. Это защитит все, что находится внутри вашей домашней папки.

Да, он зашифровывает больше, чем ~/work , но он без проблем.

Для использования /tmp используйте tmpfs .

Плюсы:

  • Вам не нужно ничего делать, Ubuntu делает все для вас.
  • Ваши друзья могут использовать ваш компьютер на ходу, им нужен только пароль, если они хотят получить доступ к вашим файлам.

Против:

  • Есть другие места, где вы делаете данные об утечке – ответ Гилла является наиболее полным (+1 для него).

Итак, если вы не думаете, что какой-то судебный эксперт попытается получить данные из материала, который вы напечатали, это достаточно хорошо.

ecryptfs может зашифровать своп, но я рекомендую вам просто отключить своп, если только с вами не случилось, что вы вышли из ОЗУ. Жизнь лучше без свопа. (Или просто запустите ecryptfs-setup-swap и следуйте инструкциям по изменению fstab)


Предупреждение : В любом случае, если только вы не получили этот ноутбук, на ваш жесткий диск уже записано много материала. Я нашел в себе кучу вещей, и ничто не прояснилось. Вам нужно сделать резервную копию на другой диск или раздел, перезаписать свою текущую файловую систему нулями и восстановить файлы (конечно, только восстановить конфиденциальные файлы после настройки шифрования).

Самый простой и быстрый способ установить это – установить ecryptfs-utils и cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Затем, как только закончите, загляните в свой systray. Вы увидите значок из двух клавиш. Щелкните по нему и выберите «Новая зашифрованная папка». Введите имя и нажмите кнопку «Вперед» (как ни странно, внизу слева, а не справа). Затем введите требуемый пароль, подтвердите его и снова нажмите «Переслать», а затем «ОК».

Это приведет к установке зашифрованной папки, и вы можете скопировать туда файлы. Когда это будет сделано, если вы выйдете из системы или снимите флажок с установленной папки (щелкните значок «Ключи» в systray, чтобы сделать это), для повторного подключения к ней потребуется пароль.

Быстрый и простой способ – tar и compress а затем bcrypt .

 Tar cfj safe-archive.tar.bz2 Справочник / 
 Bcrypt safe-archive.tar.bz2 
 # Будет запрашивать у вас 8-значный пароль дважды, чтобы заблокировать его.
 # Но не забудьте удалить свой каталог после этого,
 Rm -rf Справочник / 
 # И, надеюсь, вы не забудете пароль, или ваши данные исчезли!

Делает safe-archive.tar.bz2.bfe – который вы можете переименовать, если вы чувствуете себя параноидальным.

Чтобы открыть зашифрованный пакет,

 Bcrypt safe-archive.tar.bz2.bf3 # Или, как вы его называли
 Tar xfj safe-archive.tar.bz2 
 # И ваш каталог вернулся!

Если вы готовы стать более беспорядочным, я бы предложил truecrypt и сделать зашифрованные тома.
Но я не думаю, что это необходимо для регулярных данных (например, не связанных с национальной безопасностью, скажем).

Ps: обратите внимание, что я не предлагаю, чтобы bcrypt был слабым или неспособным к национальной безопасности.


Ответ на комментарии к моему ответу выше.
Я попытался дать простой ответ – и я согласен с тем, что мой выбор не предлагать Truecrypt в качестве первого варианта может быть неуместным для некоторых здесь.

Вопрос задает простой способ шифрования каталога.
Моя мера безопасности здесь основана на двух вещах,

  1. Что вы хотите обеспечить и
  2. Кого вы хотите защитить от

Я оцениваю это как уровень вашей «паранойи».

Теперь, не сказав, что Truecrypt (или другие подобные методы) являются более дорогостоящими,
Все, что я хочу сказать, последовательность bcrypt, запущенная в tmpfs, достаточна для ежедневного использования сегодня
(Это будет не так, наверное, примерно через десять лет, я думаю, но это действительно так).
И я также предполагаю, что ценность данных, которые здесь обеспечиваются, не будет сопоставима для попытки восстановления класса mona-lisa.

Простой вопрос: ожидаете ли вы, что кто-то попытается схватить ваш отключенный ноутбук и попытаться восстановить данные из своего холодного пространства в оперативной памяти?
Если вы это сделаете, вам, вероятно, следует в первую очередь пересмотреть свое оборудование и программное обеспечение, проверить, с каким ISP вы подключаетесь, кто может слышать ваши нажатия клавиш и так далее.

Ps: Мне нравится Truecrypt и использовать его. Соответствие OSI или его отсутствие не имеет большого значения. И я не ставил bcrypt и схему, предложенную здесь в конкурсе на нее.

  • Как я могу войти в качестве администратора в ubuntu?
  • Как полностью отключить процесс от терминала?
  • Рекомендации по подходам к шифрованию диска в Ubuntu?
  • Потерянное беспроводное соединение после непрерывной работы ОС в течение недели
  • Как добавить обычного пользователя в файл sudoers?
  • Определение времени, в течение которого была смонтирована файловая система
  • Virtualbox: не загружается исходный раздел Linux
  • Как установить Ubuntu, Windows XP и Windows 7 с нуля в качестве системы с тремя загрузками
  • Команда не найдена при использовании sudo
  • Обнаруживать все существующие ссылки, указывающие на / tmp?
  • Почему мои сетевые интерфейсы были переименованы после установки Ubuntu и как их переименовать?
  • Interesting Posts

    Меню поддержки поддержки Android Design Library (FAB)

    Как печатать указатели функций с помощью cout?

    Элемент jquery fade не отображает элементы в стиле «видимость: скрытый»

    Как перечислить пользователей и группы группы безопасности AD, если не администратор домена

    Может ли getDerivedStateFromProps использоваться в качестве альтернативы componentWillReceiveProps

    Android SDK AsyncTask doInBackground не работает (подclass)

    Wysiwyg с копией / вставкой изображения

    Настройка насыщенности графики Intel исчезает при использовании HDMI

    Как настроить tomcat для привязки к одному IP-адресу (localhost) вместо всех адресов?

    Является ли строка в массиве?

    403 предел ставки на вставку иногда преуспевает

    Индекс максимального и минимального значения в массиве

    Тестирование модуля ASP.net Веб-сайт Код проекта, хранящийся в App_Code

    Отключить миниатюры в Windows XP?

    Удалить раздел и расширить параметр раздела отключен

    Давайте будем гением компьютера.