Como criptografar / home no Ubuntu 18.04?

57

Desapontado ao ver que o instalador 18.04 não oferece mais a opção de criptografar o diretório inicial. De acordo com este relatório de bug mencionado no instalador, o método recomendado para criptografia atualmente é o disco completo com LUKS ou fscrypt para diretórios. A criptografia de disco completo parece um pouco exagerada para minhas necessidades, e todos os bugs e advertências mencionados no Wiki não o tornam uma opção muito atraente. Tudo o que eu realmente quero é proteger meu diretório pessoal de alguém acessando meus documentos, fotos, etc., se meu laptop for roubado, tornando a opção fscrypt a minha opção.

A página fscrypt GitHub tem alguns exemplos de como configurá-lo, mas não consigo encontrar nenhuma documentação destinada a criptografar o diretório inicial no Ubuntu. A antiga ferramenta ecryptfs ainda está disponível, mas depois de configurada, o Ubuntu às vezes congelava na tela de login.

Portanto, minha pergunta é: Como eu configuro o fscrypt para criptografar meu diretório / home e descriptografar quando eu faço login? Eu também gostei de como o ecryptfs permitia descriptografar a pasta manualmente (por exemplo, a partir de imagens de disco).

(Uma pergunta semelhante foi publicada aqui e infelizmente foi encerrada por ser um relatório de erro "fora de tópico". Para esclarecer, este não é um relatório de erro. O fato de a opção de criptografia do diretório inicial ter sido removida do instalador foi intencional. Estou perguntando aqui é como configurar o fscrypt.)

encryption home-directory 18.04 elight24
fonte
2
@ Panther O LUKS permite descriptografar arquivos armazenados em uma unidade de backup? O motivo pelo qual pergunto é porque faço backups completos do sistema no Windows com o Macrium Reflect. Se eu precisar retirar alguns arquivos do backup, precisaria de uma maneira de descriptografar os arquivos de backup. Com o ecryptfs, tudo o que eu precisava fazer era conectar minha unidade e executar o script armazenado na pasta criptografada.
precisa saber é o seguinte
7
Então, e aqueles de nós que têm nossa pasta pessoal criptografada a partir do 16.04, mas não podem montá-la nova porque a opção "criptografar pasta pessoal" foi removida agora do instalador? Não podemos nem fazer login. É ridículo.
SunnyDaze
2
@SunnyDaze Já faz um tempo desde que tive que montar meus dados manualmente, mas acredito que o comando para isso foi "ecryptfs-mount-private".
usar o seguinte comando
3
Você pode estar confuso usando LUKS em todo o disco, isso não funcionará com janelas de inicialização dupla, vs LUKS na partição Ubuntu, funciona bem com inicialização dupla com janelas. Eu não li a página wiki
Panther
2
A criptografia completa do disco é excelente e faz o trabalho. Mas basta apenas se for o seu computador pessoal e você for o único usuário. Se alguém está se perguntando why encrypt the home?, quando há muitos usuários, é útil. Ao fazer o login, apenas a sua casa é descriptografado, mas não os outros
AnthonyB

Respostas:

25

Atualização 2019-07

Estou executando várias casas criptografadas com fscrypt. Instale seu sistema sem criptografia e use este guia para implementar fscryptem sua casa.

Certifique-se de chmod 700sua casa e / ou uso, umask 077porque o fscrypt não define automaticamente as permissões como ecryptfscostumava fazer.

A API fscryptpode mudar no futuro, portanto, faça backup de seus arquivos importantes se você tentar atualizar seu sistema.

(Esse recurso não é amplamente usado em Desktop. Use por seu próprio risco.)

Atualização 2018-11

TL: DR; Você pode tentar fscryptno Ubuntu 18.10+ ou Linux Mint 19.1+

Parece que isso foi finalmente corrigido. Aqui está um guia preventivo: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Não estou citando instruções aqui, porque requer alguns hacks e você pode acabar perdendo seus dados domésticos.

Aviso: Um aviso do usuário @dpg : "CUIDADO: segui as instruções desse" guia preventivo "(fiz isso sob tty) e obtive um loop infinito de login".

Considere este guia apenas para fins educacionais.

Em seguida é a minha resposta original:

Resposta original 2018-05

TL; DR: use criptografia doméstica clássica com o Linux Mint 19 Tara .

fscrypt para criptografia doméstica ainda está quebrado.

Como eu configuro o fscrypt para criptografar meu diretório / home e descriptografar quando faço login?

Isso é algo que muitos de nós queremos. Parece que a equipe do Ubuntu não conseguiu ecryptfstrabalhar sem bugs no Ubuntu 18.04 e não conseguiu consertar os bugs fscryptpara uma opção de criptografia doméstica a tempo do lançamento agendado do Ubuntu 18.04.

Pois fscrypt, há pelo menos um bug crítico que o torna inutilizável para criptografia doméstica no momento:

Além disso, precisaríamos de uma maneira transparente de autenticação / desbloqueio antes que ela seja uma alternativa realista à criptografia doméstica "antiga" do tipo ecryptfs. Isso é rastreado aqui:

Com esses problemas abertos, você pode considerar a criptografia doméstica interrompida neste momento. Com isso, meus colegas e eu consideramos o Ubuntu 18.04 18.04.1 inacabado no momento e esperamos que a criptografia doméstica seja recuperada (usando o método novo e muito melhor fscrypt) no Ubuntu 18.04.1 18.04.2.

Até esse momento, estamos mantendo o Ubuntu 16.04. Mudamos todas as nossas máquinas para o Linux Mint 19 Tara com a criptografia doméstica clássica usando ecryptfs. Leia a seção "problemas conhecidos" nas Notas da versão do Linux Mint 19 Tara sobre as ecryptfslimitações e veja se isso é aceitável para você:

(...) lembre-se de que no Mint 19 e em versões mais recentes, seu diretório pessoal criptografado não é mais desmontado no logout.

Se você tentou fscrypte achou que estava quebrado para o seu uso, pode votar em "esse bug também me afeta" no seguinte bug da barra de ativação:

Observe que fscrypt/ ext4-crypt(futura "criptografar casa") é a opção mais rápida e ecryptfs(antiga "criptografar casa") é a opção mais lenta. LUKS("criptografar a unidade inteira") está no meio.

Por esse motivo, a criptografia de disco inteira é 'convenientemente' recomendada. Como se você tem projetos muito grandes com muitos arquivos pequenos, usa muito o gerenciamento de revisões, faz grandes compilações, etc., verá que o exagero de criptografar toda a sua unidade realmente vale a pena em comparação com a lentidão do antigo tipo ecryptfs criptografia doméstica.

No final, a criptografia de toda a unidade tem várias desvantagens:

  • Conta de visitante
  • Família laptop com contas privadas
  • Usando software anti-roubo semelhante ao PREY

É surpreendente que a Canonical tenha decidido que "não precisamos mais disso" em sua versão LTS, que passou a ser conhecida como sua distribuição mais "séria".

Redsandro
fonte
2
O Ubuntu 18.04.1 foi lançado hoje, com os dois erros ainda de pé. Espero ver o fscrypt em 18.04.2, mas estou um pouco menos otimista agora. Por favor atualize!
Nonny Moose
2
@NonnyMoose atualizado - veja a seção em negrito na metade do meu post.
Redsandro 31/07
3
Uau! quando as pessoas atualizam de 16.04 para 18.04, o que acontece com seus ~!?
MaxB
2
CUIDADO: Segui as instruções desse "guia preventivo" (fiz isso sob tty) e recebi um loop infinito de login. Tentei duas vezes na nova instalação 18.10 com o mesmo resultado.
PetroCliff
2
Caso alguém entre no loop infinito de login após a criptografia, mas possa fazer login em tty. No meu caso, foi causado pelo proprietário errado do /home/myuserdiretório. Como era root por algum motivo, a alteração do proprietário para o meu usuário resolveu o problema.
PetroCliff
8

Da resposta da Panther aqui A criptografia de disco completo criptografa tudo, incluindo / home, enquanto criptografa apenas um diretório específico, como / home, é criptografado apenas quando você não está conectado.

Para criptografar um diretório pessoal de usuários existentes:

Primeiro faça logoff dessa conta e faça login em uma conta de administrador:

instale os utilitários de criptografia para o trabalho:

 sudo apt install ecryptfs-utils cryptsetup

a partir dessa barra de ativação, o ecryptfs-utils está agora no repositório do universo.

migre a pasta pessoal desse usuário:

sudo ecryptfs-migrate-home -u <user>

seguido pela senha do usuário dessa conta

Em seguida, efetue logout e login na conta de usuários criptografados - antes de reiniciar! para concluir o processo de criptografia

Dentro da conta, imprima e registre a senha de recuperação:

ecryptfs-unwrap-passphrase

Agora você pode reiniciar e fazer login. Quando estiver satisfeito, você pode excluir a pasta inicial de backup.

Além disso, se você deseja criar um novo usuário com o diretório inicial criptografado:

sudo adduser --encrypt-home <user>

Para mais informações: man ecryptfs-migrate-home ; man ecryptfs-setup-private

ptetteh227
fonte
2
Obrigado pela resposta, ptetteh. Tentei esse método outro dia, mas ele parecia causar problemas ao fazer login. Às vezes, congelava na tela de login e fazia com que eu fosse reiniciado. Eu reinstalei o 18.04 apenas para ter certeza de que não estava causando mais o problema e, até agora, tudo parece estar bem. Se o ecryptfs agora for considerado impróprio para ser incluído por padrão, acho que o melhor seria usar LUKS ou fscrypt.
precisa saber é o seguinte
11
Funcionou para mim em uma instalação limpa (18.04.1). Eu tive que fazer isso no "modo de recuperação". Não foi necessário desembrulhar, pois ao fazer o login, ele será notificado e solicitará que você anote a senha gerada. Obrigado!
Lepe
2
O ecryptfs não funcionará se você tiver alguns nomes de caminho mais longos (> ~ 140 caracteres) em seu diretório pessoal. Veja unix.stackexchange.com/questions/32795/…
Sebastian Stark,
1

Pessoalmente, eu quase nunca recomendaria o uso do File System Encryption (FSE) para ninguém, na maioria dos casos de uso. Existem várias razões, entre as quais se destacam as alternativas existentes e mais eficazes. Todos vocês falam como se houvesse apenas duas opções, FSE ou FDE (Full Disk Encryption). No entanto, esse simplesmente não é o caso. De fato, existem duas outras opções que beneficiariam muito o OP, sendo elas: Criptografia de Contêiner de Arquivos e Arquivos Criptografados.

A criptografia de contêiner de arquivo é para qual software como o Veracrypt, e agora o Truecrypt agora extinto. A criptografia de contêiner é incorporada à maioria dos softwares de arquivamento de compactação de arquivos, como o Winzip e o 7zip, como uma opção ao criar esse arquivo.

Os dois têm muitas vantagens sobre o FSE, sendo o mais óbvio que você não precisa deixá-los montados enquanto não estiver trabalhando com seus arquivos criptografados. Isso impede que alguém possa acessar quem pode substituir as proteções da chave do perfil do usuário e do bloqueio de tela. Além disso, você pode fazer algo estúpido, como se afastar do computador, mas esqueça de bloquear a tela ou permitir que alguém use o computador, esperando que eles não espreitem seus diretórios ocultos. Além disso, você pode mover facilmente grandes quantidades de arquivos por vez, sem precisar criptografá-los de outra maneira, pois os contêineres são portáteis.

Uma vantagem dos contêineres da Veracrypt serem tão úteis é o fato de poderem ser montados como uma unidade e permitir que você os formate com um sistema de arquivos separado, de preferência um sistema de arquivos sem registro no diário, como EXT2 ou FAT32. O sistema de arquivos de registro em diário pode vazar informações para um invasor. No entanto, se tudo o que você está fazendo é ocultar suas fotos pessoais, isso pode não ser tão relevante para você. Se, por outro lado, você tiver segredos de estado ou dados protegidos legalmente, é possível. Você também pode configurá-los para montar automaticamente na inicialização, se estiver usando um arquivo de chave. No entanto, isso não é recomendado, pois o arquivo da chave precisaria ser armazenado em algum lugar menos seguro do que onde o FSE armazena a chave do perfil do usuário.

Ambos oferecem a capacidade de usar a compactação de arquivos. Você também pode ocultar os nomes dos arquivos, embora nem sempre seja o caso ao usar arquivos compactados, dependendo do algoritmo de compactação usado.

Pessoalmente, uso criptografia de contêiner para arquivos que não serão movidos e arquivamentos criptografados para arquivos que serão movidos ou armazenados na nuvem, pois é um tamanho de arquivo menor.

Criptografar um diretório inicial ainda é possível com a criptografia de contêiner. Talvez armazene sua chave de criptografia em um YubiKey?

Enfim, eu só queria oferecer a você algumas alternativas que não estavam sendo mencionadas pelos outros pôsteres. Sinta-se livre para concordar ou discordar de qualquer coisa que eu tenha dito.

Mr. Cypherpunk
fonte
8
Oi. Tenho alguns comentários sobre o exemplo da sua "babá": - em muitos lugares, as pessoas podem esperar que uma babá comum seja adolescente por padrão, o que torna uma analogia um pouco perturbadora aparecer em um tópico como este. Em segundo lugar, quero apenas afirmar que há casos de uso muito melhores para criptografia do que ocultar um segredo culpado.
Mwfearnley 28/07/19
Os contêineres são de tamanho fixo; a criptografia do sistema de arquivos (fscrypt, eCryptfs, EncFS etc.) ocupa apenas tanto espaço quanto os arquivos e pode crescer e encolher de acordo. QED. PS, você não sabe que os eCryptfs podem criptografar apenas um único diretório em casa, descriptografado apenas por capricho.
Xen2050 14/09/18
3
Honestamente, essa resposta é útil, mas o conteúdo é ofensivo. Simplesmente devido à associação da criptografia à atividade criminosa, como se não houvesse o suficiente na mídia. Criptografia é para proteção contra atividades criminosas. Não posso votar devido a isso. Excluirei este comentário quando ocorrer uma edição.
Todd
11
Observe que, se você não pode confiar na raiz (uid: 0), não poderá usar o sistema para nenhuma criptografia (seja FSE, contêiner ou arquivo morto). Todos os sistemas de criptografia são vulneráveis ​​se você abrir a criptografia e se afastar do sistema sem travá-lo com segurança. Além disso, se você não criptografar todo o sistema de arquivos, precisará entender que potencialmente todos os aplicativos que tocam nos arquivos secretos potencialmente fazem cópias não criptografadas fora da partição segura.
Mikko Rantalainen 10/01
0

Se você, como eu estava, está fazendo uma nova instalação do Ubuntu 18.04 sobre o Ubuntu 16.04 e você já criptografou o seu /home, verá que não poderá fazer o login após a instalação. Tudo que você precisa fazer é instalar os pacotes relacionados ao ecryptfs:, sudo apt install ecryptfs-utils cryptsetupreinicie e faça o login.

Para instalar esses pacotes, você pode fazer login em um tty sobressalente após o carregamento do budgie ( Cntrl+ Alt+ F1) ou entrar no modo de recuperação linux e instalá-lo a partir daí.

Akronix
fonte