Decepcionado al ver que el instalador 18.04 ya no ofrece la opción de cifrar el directorio de inicio. Según este informe de error al que se hace referencia en el instalador, el método recomendado para el cifrado en estos días es el disco completo con LUKS o fscrypt para directorios. El cifrado de disco completo parece un poco exagerado para mis necesidades, y todos los errores y advertencias mencionados en el Wiki no lo convierten en una opción muy atractiva. Todo lo que realmente quiero es proteger mi directorio de inicio de alguien que acceda a mis documentos, fotos, etc. si me roban mi computadora portátil, haciendo que fscrypt sea la opción para mí.
La página fscrypt GitHub tiene algunos ejemplos sobre cómo configurarlo, pero no puedo encontrar ninguna documentación destinada a cifrar el directorio de inicio en Ubuntu. La antigua herramienta ecryptfs todavía está disponible, pero después de configurarla, Ubuntu a veces se congelaba en la pantalla de inicio de sesión.
Entonces mi pregunta es: ¿Cómo configuro fscrypt para cifrar mi directorio / home y descifrarlo cuando inicio sesión? También me gustó cómo ecryptfs permitió descifrar la carpeta manualmente (por ejemplo, desde imágenes de disco).
(Una pregunta similar se publicó aquí y desafortunadamente se cerró por ser un informe de error "fuera del tema". Para aclarar, este no es un informe de error. El hecho de que la opción de cifrar el directorio de inicio se eliminó del instalador fue intencional. Estoy preguntando aquí cómo configurar fscrypt).
fuente
why encrypt the home?
, cuando hay muchos usuarios, es útil. CuandoRespuestas:
Actualización 2019-07
Estoy ejecutando múltiples hogares encriptados con
fscrypt
. Instale su sistema sin encriptación y use esta guía para implementarfscrypt
en su hogar.Asegúrese de
chmod 700
usar su hogar o usarloumask 077
porque fscrypt no establece automáticamente los permisos comoecryptfs
solía hacerlo.La API
fscrypt
podría cambiar en el futuro, así que asegúrese de hacer una copia de seguridad de sus archivos importantes si intenta actualizar su sistema.(Esta característica no se usa ampliamente en el escritorio. Utilícela bajo su propio riesgo).
Actualización 2018-11
TL: DR; Puedes probar
fscrypt
en Ubuntu 18.10+ o Linux Mint 19.1+Parece que esto finalmente se solucionó. Aquí hay una guía preventiva: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html
No estoy citando instrucciones aquí porque requiere algunos hacks y puedes terminar perdiendo los datos de tu casa.
La siguiente es mi respuesta original:
Respuesta original 2018-05
TL; DR: utilice el cifrado clásico para el hogar con Linux Mint 19 Tara .
fscrypt
para el cifrado en el hogar todavía está rotoEsto es algo que muchos de nosotros queremos. Parece que el equipo de Ubuntu no pudo
ecryptfs
trabajar sin errores en Ubuntu 18.04, y tampoco pudo corregir los erroresfscrypt
para una opción de cifrado en el hogar a tiempo para el lanzamiento programado de Ubuntu 18.04.Porque
fscrypt
, al menos, hay un error crítico que lo hace inutilizable para el cifrado doméstico en este momento:Además, necesitaríamos una forma transparente de autenticación / desbloqueo antes de que sea una alternativa realista al cifrado doméstico "antiguo" de tipo ecryptfs. Esto se rastrea aquí:
Con estos problemas abiertos, puede considerar que el cifrado doméstico está roto en este momento. Con eso, mis colegas y yo consideramos que Ubuntu
18.0418.04.1 no está terminado en este momento, y esperamos que el cifrado doméstico se recupere (usando elfscrypt
método nuevo y mucho mejor ) en Ubuntu18.04.118.04.2.Hasta ese momento, nos quedamos con Ubuntu 16.04.Hemos cambiado todas nuestras máquinas a Linux Mint 19 Tara con el clásico cifrado domésticoecryptfs
. Lea la sección "problemas conocidos" en las Notas de la versión de Linux Mint 19 Tara sobre lasecryptfs
limitaciones, y vea si esto es aceptable para usted:Si lo ha intentado
fscrypt
y descubrió que no funciona para su uso, puede votar "este error también me afecta" en el siguiente error de la plataforma de lanzamiento:Tenga en cuenta que
fscrypt
/ext4-crypt
(futuro "cifrar el hogar") es la opción más rápida, yecryptfs
(antiguo "cifrar el hogar") es la opción más lenta.LUKS
("cifrar toda la unidad") está en el medio.Por esta razón, se recomienda "convenientemente" el cifrado de disco completo. Porque si tiene proyectos muy grandes con muchos archivos pequeños, use mucho la administración de revisiones, haga grandes compilaciones, etc., descubrirá que el exceso de cifrado de toda su unidad realmente vale la pena en comparación con la lentitud del viejo tipo ecryptfs cifrado en el hogar
Al final, cifrar todo el disco tiene múltiples inconvenientes:
Es sorprendente que Canonical haya decidido que "ya no necesitamos esto" en su versión LTS, que se conoce como su distribución más "seria".
fuente
/home/myuser
directorio incorrecto . Fue root por alguna razón, por lo que cambiar de propietario a mi usuario resolvió el problema.De la respuesta de Panther aquí , la encriptación completa del disco encripta todo, incluido / home, mientras que encripta solo un directorio específico como / home solo se encripta cuando no está conectado.
Para cifrar el directorio de inicio de un usuario existente:
Primero cierre la sesión de esa cuenta e inicie sesión en una cuenta de administrador:
instale las utilidades de cifrado para el trabajo:
de ese error de la plataforma de lanzamiento, ecryptfs-utils ahora está en el repositorio del universo.
migre la carpeta de inicio de ese usuario:
seguido de la contraseña de usuario de esa cuenta
Luego, cierre sesión e inicie sesión en la cuenta de usuarios cifrados, ¡antes de reiniciar! para completar el proceso de encriptación
Dentro de la cuenta, imprima y grabe la frase de contraseña de recuperación:
Ahora puede reiniciar e iniciar sesión. Una vez que esté satisfecho, puede eliminar la carpeta de inicio de la copia de seguridad.
Además, si desea crear un nuevo usuario con directorio de inicio cifrado:
Para más información: man ecryptfs-migrate-home ; hombre ecryptfs-setup-private
fuente
Personalmente, casi nunca recomendaría usar el cifrado del sistema de archivos (FSE) a nadie, para la mayoría de los casos de uso. Hay varias razones, entre las cuales se encuentra el hecho de que existen alternativas más efectivas. Todos hablan como si solo hubiera dos opciones, FSE o FDE (Full Disk Encryption). Sin embargo, ese simplemente no es el caso. De hecho, hay otras dos opciones que beneficiarían mucho más al OP, que son el cifrado de contenedores de archivos y los archivos cifrados.
La encriptación del contenedor de archivos es para lo que está escrito el software como Veracrypt, y el Truecrypt ahora desaparecido. El cifrado de contenedores está integrado en la mayoría de los programas de compresión de archivos como Winzip y 7zip, como una opción al crear dicho archivo.
Ambas tienen muchas ventajas sobre FSE, la más obvia es que no necesita dejarlas montadas mientras no está trabajando con sus archivos cifrados. Eso evita que cualquier persona pueda acceder y pueda anular las protecciones de la clave de perfil de usuario y el bloqueo de pantalla. Además, puede hacer algo estúpido, como alejarse de su computadora, pero olvide bloquear la pantalla o permitir que alguien use la computadora y esperar que no le eche un vistazo a sus directorios ocultos. Además, puede mover fácilmente grandes cantidades de archivos a la vez, sin necesidad de cifrarlos de otra manera, ya que los contenedores son portátiles.
Una ventaja de que los contenedores Veracrypt son tan útiles es el hecho de que pueden montarse como una unidad, y eso le permite formatearlos con un sistema de archivos separado, preferiblemente un sistema de archivos sin registro, como EXT2 o FAT32. El sistema de archivos de registro podría potencialmente filtrar información a un atacante. Sin embargo, si todo lo que está haciendo es ocultar sus fotos personales, esto podría no ser tan relevante para usted. Si, por otro lado, tiene secretos de estado o datos legalmente protegidos, entonces podría ser. También puede configurarlos para que se monten automáticamente en el arranque, si usa un archivo de clave. Sin embargo, eso no se recomienda, ya que el archivo de clave debería almacenarse en un lugar menos seguro que donde FSE almacena la clave de perfil de usuario.
Ambos ofrecen la posibilidad de utilizar la compresión de archivos. También puede ocultar nombres de archivos, aunque no siempre es el caso cuando se utilizan archivos comprimidos, dependiendo del algoritmo de compresión utilizado.
Personalmente, utilizo cifrado de contenedor para archivos que no se moverán, y archivos cifrados para archivos que se moverán o almacenarán en la nube, ya que es un tamaño de archivo más pequeño.
Cifrar un directorio de inicio todavía es posible con el cifrado de contenedores. ¿Tal vez almacenar su clave de cifrado en una YubiKey?
De todos modos, solo quería ofrecerles algunas alternativas que no estaban siendo mencionadas por los otros carteles. Siéntase libre de estar de acuerdo o en desacuerdo con todo lo que he dicho.
fuente
Si usted, como lo estaba haciendo, está realizando una instalación nueva de Ubuntu 18.04 sobre Ubuntu 16.04 y ha cifrado previamente su
/home
, verá que no puede iniciar sesión después de la instalación. Todo lo que necesita hacer es instalar los paquetes relacionados con ecryptfs:sudo apt install ecryptfs-utils cryptsetup
reiniciar e iniciar sesión.Para instalar esos paquetes, puede iniciar sesión en un tty de repuesto una vez que Budgie haya cargado ( Cntrl+ Alt+ F1) o ingresar en el modo de recuperación de Linux e instalarlo desde allí.
fuente