Qual é a maneira mais fácil de criptografar um diretório? (no Ubuntu)

13

Qual é a maneira mais fácil de criptografar um diretório em um sistema baseado no Ubuntu?

Digamos que eu tenho um laptop que esteja executando o Ubuntu 10.04 e que eu tenha alguns documentos que devem ser mantidos em segurança (se eu perder o laptop).

Digamos que todos os documentos estejam em um diretório chamado ~ / work /, e nada de secreto esteja fora desse diretório. Portanto, não há necessidade de criptografar todo o diretório doméstico.

Deve haver uma maneira de bloquear / desbloquear esse dir na linha de comando.

Parece haver algumas maneiras diferentes de fazer isso:

  • ecryptfs-utils
  • cryptsetup
  • truecrypt (no entanto, não é um código aberto aprovado pela OSI)

Mas qual é o método mais fácil e confiável?

Obrigado Johan

Atualização : questão relacionada, mas não a mesma Qual é a maneira mais fácil de criptografar todos os meus arquivos no ubuntu 10.04?

ubuntu encryption disk-encryption Johan
fonte
2
Quem se importa se o Truecrypt não for aprovado pela OSI? O OSI aprovado não é igual a um software melhor. O Truecrypt é o melhor e até frustrou o FBI em vários casos.
TheLQ
3
O software que usa licenças aprovadas pela OSI parece mais seguro.
29410 Johan Johan
1
@TheLQ, @Johan: superuser.com/questions/164162/is-truecrypt-truly-safe
Hello71

Respostas:

10

Existem três métodos: configurar um volume criptografado em uma partição ( dm-cryptconfigurada com cryptsetup), configurar um arquivo que seja um volume criptografado (truecrypt), configurar um diretório em que cada arquivo seja criptografado separadamente ( ecryptfsou encfs).

A configuração de um volume criptografado oferece um pouco mais de confidencialidade, porque os metadados (tamanho, tempo de modificação) dos seus arquivos são invisíveis. Por outro lado, é menos flexível (você precisa decidir com antecedência o tamanho do volume criptografado). O FAQ do ecryptfs lista algumas diferenças entre as duas abordagens.

Se você optar por criptografar arquivo por arquivo, conheço duas opções: ecryptfse encfs. O primeiro usa um driver no kernel, enquanto o último usa o FUSE. Isso pode dar ecryptfsuma vantagem de velocidade; oferece encfsuma vantagem de flexibilidade, pois nada precisa ser feito como raiz. Um possível benefício ecryptfsdisso é que, depois de fazer a configuração inicial, você poderá usar sua senha de login como uma senha do sistema de arquivos, graças ao pam_ecryptfsmódulo.

Para meu próprio uso em uma situação semelhante, eu escolhi encfs, porque não vi nenhum benefício real de segurança para outras soluções, portanto a facilidade de uso foi o fator determinante. O desempenho não foi um problema. O fluxo de trabalho é muito simples (a primeira execução do encfssistema de arquivos):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Eu recomendo que você também criptografe seu espaço de troca e qualquer lugar onde arquivos confidenciais temporários possam ser gravados, como /tmpe /var/spool/cups(se você imprimir arquivos confidenciais). Use cryptsetuppara criptografar sua partição de troca. A maneira mais fácil de lidar com isso /tmpé mantê-lo na memória, montando-o como tmpfs(isso pode oferecer um pequeno benefício de desempenho em qualquer caso).

Gilles 'SO- parar de ser mau'
fonte
Eu não pensei em / tmp, mas o tmpfs resolve esse problema de uma maneira agradável. Basta fazer um desligamento real: s.
29810 Johan Johan
1
Obrigado por ensinar encfs! Isto é fantástico!
user39559
1

Eu uso exclusivamente TrueCrypt para essas coisas. Aprovado ou não pela OSI, acho que nunca me decepcionou, e eu precisei de criptografia várias vezes.

easyegoism
fonte
1

Maneira rápida e fácil é tare compresse depois bcrypt.

Diretório tar cfj safe-archive.tar.bz2 / 
bcrypt safe-archive.tar.bz2 
# solicitará uma senha de 8 caracteres duas vezes para bloqueá-la.
# Mas lembre-se de excluir seu diretório depois disso,
Diretório rm -rf / 
# E espero que você não esqueça a senha ou seus dados se foram!

Faz safe-archive.tar.bz2.bfe- que você pode renomear se se sentir paranóico com isso.

Para abrir o pacote criptografado,

bcrypt safe-archive.tar.bz2.bf3 # Ou, como você o chamou
tar xfj safe-archive.tar.bz2 
# E seu diretório está de volta!

Se você estiver pronto para ficar mais bagunçado, sugiro truecrypt, e criando volumes criptografados.
Mas não acho que isso seja necessário para dados regulares (por exemplo, não relacionados à segurança nacional).

ps: note que não estou sugerindo que o bcrypt seja fraco ou incapaz de segurança nacional de forma alguma.

Responda aos comentários na minha resposta acima.
Tentei dar uma resposta simples - e concordo que minha escolha de não sugerir o Truecrypt como primeira opção pode ser inapropriada para alguns aqui.

A pergunta pede uma maneira fácil de criptografar um diretório.
Minha medida de segurança aqui é baseada em duas coisas,

  1. O que você deseja proteger e
  2. De quem você deseja protegê-lo

Eu avalio isso como o nível da sua 'paranóia'.

Agora, sem dizer que o Truecrypt (ou outros métodos similares) é mais caro,
tudo o que quero dizer é que uma sequência de bcrypt executada em tmpfs é suficiente para o seu uso diário hoje
(não será assim, provavelmente, em cerca de uma década, eu acho, mas é realmente por enquanto).
E também presumo que o valor dos dados protegidos aqui não será comparável a uma tentativa de "recuperação" da classe mona-lisa.

Pergunta simples, então - você espera que alguém tente pegar o seu laptop desligado e tente recuperar dados do seu espaço frio na RAM?
Se o fizer, provavelmente deve reconsiderar seu hardware e software em primeiro lugar, verificar a qual provedor de Internet você se conecta, quem pode ouvir as teclas pressionadas e assim por diante.

ps: Eu gosto do Truecrypt e o uso. A conformidade com a OSI, ou a falta dela, realmente não importa. E não estou encenando bcrypte o esquema proposto aqui em concorrência a ele.

nik
fonte
2
Embora eu dê a resposta +1, para os verdadeiramente paranóicos entre nós ... dependendo do valor dos seus dados, isso pode ser uma má idéia. O usuário deve perceber que esse método obviamente deixa os arquivos do diretório excluído em disco, onde eles podem ser potencialmente recuperados pelos "bandidos". Basta olhar ao redor SU para "recuperar arquivos apagados no Linux" para ver como seguro que é ...
hotei
@hotei, sim, Truecryptabordará essas complicações. Outro truque seria usar uma tmpfsmontagem na RAM para trabalhar com o diretório criptografado - copie o bfepara o ramdisk, trabalhe com ele lá, criptografe novamente e salve o arquivo criptografado de volta ao sistema de arquivos.
nik
2
Eu daria um passo além do @hotei e diria que isso não é realmente uma criptografia, pois é muito fácil recuperar os arquivos (existe um mercado inteiro dedicado à recuperação de arquivos). A criptografia precisa ser criptografia. Esta é apenas uma falsa sensação de criptografia
TheLQ
2
@nik: O método da sua resposta não é apenas inseguro, como o hotei explicou, mas também propenso a erros (e se você esquecer de remover os arquivos descriptografados?). Até a sua proposta de uso tmpfsé muito arriscada: e se você esquecer de re-criptografar os arquivos e perder suas modificações? e se o computador travar (você perderá todas as suas modificações)? Também é desnecessariamente complicado. Existem muitas maneiras reais de resolver esse problema usando as ferramentas apropriadas, basta usar uma delas.
Gilles 'SO- stop be evil'
1
@nik Houve uma exposição em uma universidade próxima que mostrou que, mesmo após uma hora de RAM desligada, ainda é possível visualizar uma imagem da Mona Lisa que foi carregada na memória. A menos que você reinicie a máquina imediatamente depois, é super fácil recuperar os dados da RAM. O Truecrypt, IIRC, criptografa sua RAM.
digitxp
1

Se você está preocupado apenas com a perda do seu laptop, o Ubuntu ecryptfsjá está configurado para você.

Basta escolher "diretório inicial criptografado" ao criar sua conta de usuário e fornecer uma senha decente. Isso protegerá o que estiver dentro da sua pasta pessoal.

Sim, ele criptografará mais do que ~/work, mas é transparente.

Para o /tmpuso tmpfs.

Prós:

  • Você não precisa fazer mais nada, o Ubuntu faz tudo por você.
  • Seus amigos podem usar seu computador em movimento, eles precisarão apenas de uma senha se quiserem acessar seus arquivos.

Vigarista:

  • Existem outros lugares onde você cria dados de vazamento - a resposta de Gilles é a mais completa (+1 para ele).

Portanto, se você não acha que algum especialista forense tentará obter dados de material impresso, isso é bom o suficiente.

ecryptfstambém pode criptografar a troca, mas eu recomendo que você desative a troca, a menos que tenha acontecido com você que você ficou sem RAM. A vida é melhor sem troca. (ou apenas execute ecryptfs-setup-swape siga as instruções para alterar o fstab)

Aviso : De qualquer forma, a menos que você tenha este laptop, já há muitas coisas gravadas no seu disco rígido. Encontrei um monte de coisas na minha e nada esclareceria. Você precisa fazer um backup em outra unidade ou partição, substituir o sistema de arquivos atual por zeros e restaurar seus arquivos (é claro, restaure apenas os arquivos confidenciais após a configuração da criptografia).

user39559
fonte
1

A maneira mais fácil e rápida de configurar isso é instalar o ecryptfs-utils e o cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Então, uma vez feito, olhe em sua bandeja. Você verá um ícone de duas chaves. Clique nele e escolha Nova Pasta Criptografada. Digite o nome e clique no botão Avançar (estranhamente no canto inferior esquerdo, não no lado direito). Em seguida, digite a senha desejada, reconfirme-a e clique em Encaminhar novamente e, em seguida, em OK.

Isso montará a pasta criptografada e você poderá copiar os arquivos nela. Quando terminar, se você efetuar logout ou desmarcar a pasta montada (clique no ícone Chaves no sistema para fazer isso), será necessária uma senha novamente antes de remontá-la.

Volomike
fonte