Làm cách nào để mã hóa / trang chủ trên Ubuntu 18.04?

Thất vọng khi thấy rằng trình cài đặt 18.04 không còn cung cấp tùy chọn mã hóa thư mục chính. Theo báo cáo lỗi này được tham chiếu trong trình cài đặt, phương pháp được đề xuất để mã hóa ngày nay là toàn bộ đĩa với LUKS hoặc fscrypt cho các thư mục. Mã hóa toàn bộ đĩa có vẻ hơi quá mức cho nhu cầu của tôi và tất cả các lỗi và cảnh báo được đề cập trên Wiki không làm cho nó trở thành một lựa chọn rất hấp dẫn. Tất cả những gì tôi thực sự muốn là bảo vệ thư mục nhà của tôi khỏi ai đó truy cập tài liệu, ảnh, v.v. nếu máy tính xách tay của tôi bị đánh cắp, biến fscrypt thành tùy chọn cho tôi.

Các trang GitHub fscrypt có một số ví dụ về cách thiết lập nó, nhưng tôi không thể tìm thấy bất kỳ tài liệu nhằm mục đích mã hóa thư mục home trên Ubuntu. Công cụ ecryptfs cũ vẫn có sẵn, nhưng sau khi thiết lập, Ubuntu đôi khi sẽ đóng băng ở màn hình đăng nhập.

Vì vậy, câu hỏi của tôi là: Làm cách nào để thiết lập fscrypt để mã hóa thư mục / home của tôi và giải mã khi tôi đăng nhập? Tôi cũng thích cách ecryptfs cho phép giải mã thư mục theo cách thủ công (ví dụ: từ hình ảnh đĩa).

(Một câu hỏi tương tự đã được đăng ở đây và không may bị đóng vì là báo cáo lỗi "ngoài chủ đề". Để làm rõ, đây không phải là báo cáo lỗi. Tôi hỏi ở đây là làm thế nào để thiết lập fscrypt.)

Cập nhật 2019-07

Tôi đang chạy nhiều nhà được mã hóa với fscrypt. Cài đặt hệ thống của bạn mà không cần mã hóa và sử dụng hướng dẫn này để thực hiện fscrypttại nhà của bạn.

Hãy chắc chắn chmod 700về nhà và / hoặc sử dụng của bạn umask 077vì fscrypt không tự động đặt quyền như đã ecryptfssử dụng.

API fscryptcó thể thay đổi trong tương lai, vì vậy hãy đảm bảo sao lưu các tệp quan trọng của bạn nếu bạn cố nâng cấp hệ thống của mình.

(Tính năng này không được sử dụng rộng rãi trên Máy tính để bàn. Bạn có thể tự chịu rủi ro khi sử dụng.)

Cập nhật 2018-11

TL: DR; Bạn có thể thử fscrypttrong Ubuntu 18.10+ hoặc Linux Mint 19.1+

Có vẻ như điều này cuối cùng đã được sửa chữa. Dưới đây là hướng dẫn ưu tiên: http://tlbdk.github.io/ubfox/2018/10/22/fscrypt.html

Tôi không trích dẫn hướng dẫn ở đây vì nó yêu cầu một số hack và cuối cùng bạn có thể mất dữ liệu nhà của mình.

Cảnh báo: Một cảnh báo từ người dùng @dpg : "HÃY CẨN THẬN: Tôi đã làm theo hướng dẫn từ" hướng dẫn ưu tiên "đó (đã thực hiện theo tty) và có vòng đăng nhập vô hạn."

Xem xét hướng dẫn này cho mục đích giáo dục.

Tiếp theo là câu trả lời ban đầu của tôi:

Câu trả lời gốc 2018-05

TL; DR: Sử dụng mã hóa cổ điển tại nhà với Linux Mint 19 Tara .

fscrypt cho mã hóa nhà vẫn bị hỏng.

Làm cách nào để thiết lập fscrypt để mã hóa thư mục / home của tôi và giải mã khi tôi đăng nhập?

Đây là điều mà rất nhiều người trong chúng ta muốn. Có vẻ như nhóm Ubuntu không thể ecryptfslàm việc không có lỗi trên Ubuntu 18.04 và không thể sửa các lỗi trong fscrypttùy chọn mã hóa tại nhà để phát hành Ubuntu 18.04 theo lịch trình.

Vì fscrypt, có ít nhất một lỗi nghiêm trọng khiến nó không thể sử dụng được cho mã hóa tại nhà vào lúc này:

• fscrypt / vấn đề / 77

Hơn nữa, chúng ta cần một cách minh bạch để xác thực / mở khóa trước khi nó là một giải pháp thay thế thực tế cho mã hóa nhà kiểu "ecryptfs" cũ. Điều này được theo dõi ở đây:

• fscrypt / vấn đề / 95

Với những vấn đề mở, bạn có thể xem xét mã hóa nhà bị hỏng tại thời điểm này. Cùng với đó, các đồng nghiệp của tôi và tôi coi Ubuntu 18.04 18.04.1 chưa hoàn thành vào lúc này và hy vọng rằng mã hóa tại nhà sẽ được đưa trở lại (sử dụng fscryptphương pháp mới và tốt hơn nhiều ) trong Ubuntu 18.04.1 18.04.2.

Cho đến thời điểm đó, chúng tôi vẫn gắn bó với Ubuntu 16.04. Chúng tôi đã chuyển tất cả các máy của mình sang Linux Mint 19 Tara bằng cách sử dụng mã hóa cổ điển tại nhà ecryptfs. Đọc phần "các vấn đề đã biết" trong Ghi chú phát hành cho Linux Mint 19 Tara về các ecryptfshạn chế và xem điều này có được bạn chấp nhận không:

(...) Xin lưu ý rằng trong Mint 19 và các bản phát hành mới hơn, thư mục chính được mã hóa của bạn không còn được cập nhật khi đăng xuất.

Nếu bạn đã thử fscryptvà thấy nó bị hỏng khi sử dụng, bạn có thể bình chọn "lỗi này cũng ảnh hưởng đến tôi" tại lỗi launchpad sau:

• ubfox / fscrypt / + bug / 1768340

Lưu ý rằng fscrypt/ ext4-crypt("nhà mã hóa" trong tương lai) là tùy chọn nhanh nhất và ecryptfs("nhà mã hóa" cũ) là tùy chọn chậm nhất. LUKS("mã hóa toàn bộ ổ đĩa") ở giữa.

Vì lý do này, toàn bộ mã hóa đĩa được 'khuyến khích'. Bởi vì nếu bạn có các dự án rất lớn với nhiều tệp nhỏ, hãy sử dụng quản lý sửa đổi nhiều, biên dịch lớn, vân vân, bạn sẽ thấy rằng việc mã hóa toàn bộ ổ đĩa của bạn thực sự đáng giá so với sự chậm chạp của loại ecryptfs cũ mã hóa nhà.

Cuối cùng, mã hóa toàn bộ ổ đĩa có nhiều nhược điểm:

• Tài khoản khách
• Máy tính xách tay gia đình có tài khoản riêng
• Sử dụng phần mềm chống trộm giống như PREY

Thật khó hiểu khi Canonical quyết định rằng "chúng tôi không cần điều này nữa" trên phiên bản LTS của họ, được biết đến như là bản phân phối "nghiêm túc" hơn của họ.

Từ câu trả lời của Panther ở đây Mã hóa toàn bộ đĩa mã hóa mọi thứ bao gồm / home trong khi chỉ mã hóa một thư mục cụ thể như / home chỉ được ghi nhận khi bạn không đăng nhập.

Để mã hóa thư mục nhà của người dùng hiện có:

Đăng xuất đầu tiên của tài khoản đó và đăng nhập vào tài khoản quản trị viên:

cài đặt các tiện ích mã hóa cho công việc:

 sudo apt install ecryptfs-utils cryptsetup

từ đó launchpad lỗi ecryptfs-utils hiện đang có trong repo vũ trụ.

di chuyển thư mục nhà của người dùng đó:

sudo ecryptfs-migrate-home -u <user>

theo sau là mật khẩu người dùng của tài khoản đó

Sau đó đăng xuất và đăng nhập vào tài khoản người dùng được mã hóa - trước khi khởi động lại! để hoàn thành quá trình mã hóa

Bên trong tài khoản in và ghi lại cụm mật khẩu phục hồi:

ecryptfs-unwrap-passphrase

Bây giờ bạn có thể khởi động lại và đăng nhập. Một khi bạn hài lòng, bạn có thể xóa thư mục nhà dự phòng.

Ngoài ra nếu bạn muốn tạo một người dùng mới với thư mục nhà được mã hóa:

sudo adduser --encrypt-home <user>

Để biết thêm thông tin: man ecryptfs-Migrate-home ; người đàn ông ecryptfs-setup-private

Cá nhân, tôi gần như không bao giờ khuyến nghị sử dụng Mã hóa hệ thống tệp (FSE) cho bất kỳ ai, trong hầu hết các trường hợp sử dụng. Có một số lý do, không phải ít nhất trong số đó là thực tế của các giải pháp thay thế hiện có và hiệu quả hơn. Tất cả các bạn nói như thể chỉ có hai tùy chọn, là FSE hoặc FDE (Mã hóa toàn bộ đĩa). Tuy nhiên, đó không phải là trường hợp đơn giản. Trên thực tế, có hai tùy chọn khác có thể mang lại lợi ích lớn hơn cho OP, đó là Lưu trữ mã hóa và lưu trữ mã hóa tệp.

Mã hóa vùng chứa tệp là những gì phần mềm như Veracrypt và Truecrypt hiện không còn tồn tại được viết cho. Mã hóa vùng chứa được tích hợp vào hầu hết các phần mềm lưu trữ nén tệp như Winzip và 7zip, như một tùy chọn khi tạo một kho lưu trữ như vậy.

Cả hai đều có nhiều ưu điểm so với FSE, rõ ràng nhất là bạn không cần phải gắn chúng trong khi bạn không làm việc với các tệp được mã hóa của mình. Điều đó ngăn bất kỳ ai có thể truy cập những người có thể ghi đè lên sự bảo vệ của khóa hồ sơ người dùng và khóa màn hình. Ngoài ra, bạn có thể làm điều gì đó ngu ngốc, như bước ra khỏi máy tính của mình, nhưng quên khóa màn hình hoặc cho phép ai đó sử dụng máy tính và hy vọng họ sẽ không nhìn trộm các thư mục ẩn của bạn. Ngoài ra, bạn có thể dễ dàng di chuyển một lượng lớn tệp cùng một lúc mà không cần mã hóa chúng theo cách khác, vì các thùng chứa có thể mang theo được.

Một lợi thế mà các thùng chứa Veracrypt rất hữu ích là chúng có thể được gắn dưới dạng một ổ đĩa và cho phép bạn định dạng chúng bằng một hệ thống tệp riêng biệt, tốt nhất là hệ thống tệp không ghi nhật ký, như EXT2 hoặc FAT32. Nhật ký hệ thống tập tin có thể có khả năng rò rỉ thông tin cho kẻ tấn công. Tuy nhiên, nếu tất cả những gì bạn đang làm là ẩn ảnh cá nhân của bạn, thì đây có thể không phải là tất cả những gì liên quan đến bạn. Mặt khác, nếu bạn có bí mật nhà nước hoặc dữ liệu được bảo vệ hợp pháp, thì nó có thể. Bạn cũng có thể đặt chúng để tự động gắn kết khi khởi động, nếu sử dụng tệp chính. Tuy nhiên, điều đó không được khuyến khích, vì tệp khóa sẽ cần được lưu trữ ở nơi nào đó kém an toàn hơn so với nơi FSE lưu trữ khóa hồ sơ người dùng.

Cả hai đều cung cấp khả năng sử dụng nén tập tin. Bạn cũng có thể ẩn tên tệp, mặc dù, không phải lúc nào cũng sử dụng khi lưu trữ nén, tùy thuộc vào thuật toán nén nhất định được sử dụng.

Cá nhân, tôi sử dụng mã hóa vùng chứa cho các tệp sẽ không được di chuyển và lưu trữ được mã hóa cho các tệp sẽ được di chuyển hoặc lưu trữ trên đám mây, vì đó là kích thước tệp nhỏ hơn.

Mã hóa thư mục Home vẫn có thể với mã hóa vùng chứa. Có thể lưu trữ khóa mã hóa của bạn trên YubiKey?

Dù sao, tôi chỉ muốn cung cấp cho bạn một số lựa chọn thay thế mà không được đề cập bởi các áp phích khác. Hãy đồng ý hoặc không đồng ý với bất cứ điều gì tôi đã nói.

Nếu bạn, giống như tôi, đang thực hiện cài đặt mới Ubuntu 18.04 so với Ubuntu 16.04 và trước đó bạn đã mã hóa /home, bạn sẽ thấy rằng bạn không thể đăng nhập sau khi cài đặt. Tất cả những gì bạn cần làm là cài đặt các gói liên quan đến ecryptfs : sudo apt install ecryptfs-utils cryptsetup, khởi động lại và đăng nhập.

Để cài đặt các gói đó, bạn có thể đăng nhập vào một tty dự phòng sau khi budgie đã tải ( Cntrl+ Alt+ F1) hoặc nhập vào chế độ khôi phục linux và cài đặt nó từ đó.