¿Cómo cifrar / inicio en Ubuntu 18.04?

57

Decepcionado al ver que el instalador 18.04 ya no ofrece la opción de cifrar el directorio de inicio. Según este informe de error al que se hace referencia en el instalador, el método recomendado para el cifrado en estos días es el disco completo con LUKS o fscrypt para directorios. El cifrado de disco completo parece un poco exagerado para mis necesidades, y todos los errores y advertencias mencionados en el Wiki no lo convierten en una opción muy atractiva. Todo lo que realmente quiero es proteger mi directorio de inicio de alguien que acceda a mis documentos, fotos, etc. si me roban mi computadora portátil, haciendo que fscrypt sea la opción para mí.

La página fscrypt GitHub tiene algunos ejemplos sobre cómo configurarlo, pero no puedo encontrar ninguna documentación destinada a cifrar el directorio de inicio en Ubuntu. La antigua herramienta ecryptfs todavía está disponible, pero después de configurarla, Ubuntu a veces se congelaba en la pantalla de inicio de sesión.

Entonces mi pregunta es: ¿Cómo configuro fscrypt para cifrar mi directorio / home y descifrarlo cuando inicio sesión? También me gustó cómo ecryptfs permitió descifrar la carpeta manualmente (por ejemplo, desde imágenes de disco).

(Una pregunta similar se publicó aquí y desafortunadamente se cerró por ser un informe de error "fuera del tema". Para aclarar, este no es un informe de error. El hecho de que la opción de cifrar el directorio de inicio se eliminó del instalador fue intencional. Estoy preguntando aquí cómo configurar fscrypt).

encryption home-directory 18.04 elight24
fuente
2
@Panther ¿LUKS permite descifrar archivos almacenados en una unidad de copia de seguridad? La razón por la que pregunto es porque realizo las copias de seguridad completas de mi sistema desde Windows con Macrium Reflect. Si necesito extraer algunos archivos de la copia de seguridad, necesitaría una forma de descifrar los archivos respaldados. Con ecryptfs, todo lo que tenía que hacer era conectar mi unidad y ejecutar el script almacenado en la carpeta encriptada.
elight24
77
Entonces, ¿qué hay de aquellos de nosotros que tenemos nuestra carpeta de inicio cifrada desde 16.04, pero no podemos montarla nueva porque la opción "cifrar carpeta de inicio" ya no está en el instalador? Ni siquiera podemos iniciar sesión. Es ridículo.
SunnyDaze
2
@SunnyDaze Ha pasado un tiempo desde que tuve que montar mis datos manualmente, pero creo que el comando para eso fue "ecryptfs-mount-private".
elight24
3
Puede ser confuso usar LUKS en todo el disco, esto no funcionará con ventanas de arranque dual, en comparación con el uso de LUKS en la partición de Ubuntu, funciona bien con el arranque dual con ventanas. No he leído la página wiki
Panther
2
El cifrado de disco completo es excelente y hace el trabajo. Pero es suficiente solo si es su computadora personal y usted es el único usuario. Si alguien se pregunta why encrypt the home?, cuando hay muchos usuarios, es útil. Cuando
inicias

Respuestas:

25

Actualización 2019-07

Estoy ejecutando múltiples hogares encriptados con fscrypt. Instale su sistema sin encriptación y use esta guía para implementar fscrypten su hogar.

Asegúrese dechmod 700 usar su hogar o usarlo umask 077porque fscrypt no establece automáticamente los permisos como ecryptfssolía hacerlo.

La API fscryptpodría cambiar en el futuro, así que asegúrese de hacer una copia de seguridad de sus archivos importantes si intenta actualizar su sistema.

(Esta característica no se usa ampliamente en el escritorio. Utilícela bajo su propio riesgo).

Actualización 2018-11

TL: DR; Puedes probar fscrypten Ubuntu 18.10+ o Linux Mint 19.1+

Parece que esto finalmente se solucionó. Aquí hay una guía preventiva: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

No estoy citando instrucciones aquí porque requiere algunos hacks y puedes terminar perdiendo los datos de tu casa.

Advertencia: una advertencia del usuario @dpg : " TEN CUIDADO: seguí las instrucciones de esa" guía preventiva "(lo hice bajo tty) y obtuve un bucle de inicio de sesión infinito".

Considere esta guía solo con fines educativos.

La siguiente es mi respuesta original:

Respuesta original 2018-05

TL; DR: utilice el cifrado clásico para el hogar con Linux Mint 19 Tara .

fscrypt para el cifrado en el hogar todavía está roto

¿Cómo configuro fscrypt para cifrar mi directorio / home y descifrarlo cuando inicio sesión?

Esto es algo que muchos de nosotros queremos. Parece que el equipo de Ubuntu no pudo ecryptfstrabajar sin errores en Ubuntu 18.04, y tampoco pudo corregir los errores fscryptpara una opción de cifrado en el hogar a tiempo para el lanzamiento programado de Ubuntu 18.04.

Porque fscrypt, al menos, hay un error crítico que lo hace inutilizable para el cifrado doméstico en este momento:

Además, necesitaríamos una forma transparente de autenticación / desbloqueo antes de que sea una alternativa realista al cifrado doméstico "antiguo" de tipo ecryptfs. Esto se rastrea aquí:

Con estos problemas abiertos, puede considerar que el cifrado doméstico está roto en este momento. Con eso, mis colegas y yo consideramos que Ubuntu 18.04 18.04.1 no está terminado en este momento, y esperamos que el cifrado doméstico se recupere (usando el fscryptmétodo nuevo y mucho mejor ) en Ubuntu 18.04.1 18.04.2.

Hasta ese momento, nos quedamos con Ubuntu 16.04. Hemos cambiado todas nuestras máquinas a Linux Mint 19 Tara con el clásico cifrado doméstico ecryptfs. Lea la sección "problemas conocidos" en las Notas de la versión de Linux Mint 19 Tara sobre las ecryptfslimitaciones, y vea si esto es aceptable para usted:

(...) tenga en cuenta que en Mint 19 y versiones más recientes, su directorio de inicio cifrado ya no se desmonta al cerrar sesión.

Si lo ha intentado fscrypty descubrió que no funciona para su uso, puede votar "este error también me afecta" en el siguiente error de la plataforma de lanzamiento:

Tenga en cuenta que fscrypt/ ext4-crypt(futuro "cifrar el hogar") es la opción más rápida, y ecryptfs(antiguo "cifrar el hogar") es la opción más lenta. LUKS("cifrar toda la unidad") está en el medio.

Por esta razón, se recomienda "convenientemente" el cifrado de disco completo. Porque si tiene proyectos muy grandes con muchos archivos pequeños, use mucho la administración de revisiones, haga grandes compilaciones, etc., descubrirá que el exceso de cifrado de toda su unidad realmente vale la pena en comparación con la lentitud del viejo tipo ecryptfs cifrado en el hogar

Al final, cifrar todo el disco tiene múltiples inconvenientes:

  • Cuenta de invitado
  • Portátil familiar con cuentas privadas
  • Usando un software antirrobo PREY

Es sorprendente que Canonical haya decidido que "ya no necesitamos esto" en su versión LTS, que se conoce como su distribución más "seria".

Redsandro
fuente
2
Ubuntu 18.04.1 fue lanzado hoy, con ambos errores aún en pie. Espero ver fscrypt en 18.04.2, pero ahora soy un poco menos optimista. ¡Por favor actualice!
Nonny Moose
2
@NonnyMoose actualizado: vea la sección en negrita a la mitad de mi publicación.
Redsandro
3
¡Guauu! cuando las personas actualizan de 16.04 a 18.04, ¿qué pasa con su ~?
MaxB
2
Tenga cuidado: seguí las instrucciones de esa "guía preventiva" (lo hice bajo tty), y obtuve un bucle de inicio de sesión infinito. Lo probé dos veces en la nueva instalación 18.10 con el mismo resultado.
PetroCliff
2
En caso de que alguien ingrese al bucle de inicio de sesión infinito después del cifrado, pero puede iniciar sesión en tty. En mi caso, fue causado por un propietario del /home/myuserdirectorio incorrecto . Fue root por alguna razón, por lo que cambiar de propietario a mi usuario resolvió el problema.
PetroCliff
8

De la respuesta de Panther aquí , la encriptación completa del disco encripta todo, incluido / home, mientras que encripta solo un directorio específico como / home solo se encripta cuando no está conectado.

Para cifrar el directorio de inicio de un usuario existente:

Primero cierre la sesión de esa cuenta e inicie sesión en una cuenta de administrador:

instale las utilidades de cifrado para el trabajo:

 sudo apt install ecryptfs-utils cryptsetup

de ese error de la plataforma de lanzamiento, ecryptfs-utils ahora está en el repositorio del universo.

migre la carpeta de inicio de ese usuario:

sudo ecryptfs-migrate-home -u <user>

seguido de la contraseña de usuario de esa cuenta

Luego, cierre sesión e inicie sesión en la cuenta de usuarios cifrados, ¡antes de reiniciar! para completar el proceso de encriptación

Dentro de la cuenta, imprima y grabe la frase de contraseña de recuperación:

ecryptfs-unwrap-passphrase

Ahora puede reiniciar e iniciar sesión. Una vez que esté satisfecho, puede eliminar la carpeta de inicio de la copia de seguridad.

Además, si desea crear un nuevo usuario con directorio de inicio cifrado:

sudo adduser --encrypt-home <user>

Para más información: man ecryptfs-migrate-home ; hombre ecryptfs-setup-private

ptetteh227
fuente
2
Gracias por la respuesta, ptetteh. Probé ese método el otro día, pero parecía causar problemas al iniciar sesión. A veces se congelaba en la pantalla de inicio de sesión y me obligaba a reiniciar. Reinstalé 18.04 solo para asegurarme de que no era otra cosa la que causaba el problema, y ​​hasta ahora todo parece estar bien. Si ecryptfs ahora se considera no apto para ser incluido por defecto, creo que lo mejor sería que use LUKS o fscrypt.
elight24
1
Me funcionó en una instalación limpia (18.04.1). Tuve que hacerlo en "modo de recuperación". No fue necesario desenvolver, ya que cuando inicia sesión, le notificará al respecto y le pedirá que escriba la frase de contraseña generada. ¡Gracias!
lepe
2
ecryptfs no funcionará si tiene algunos nombres de ruta más largos (> ~ 140 caracteres) en su directorio de inicio. Ver unix.stackexchange.com/questions/32795/…
Sebastian Stark
1

Personalmente, casi nunca recomendaría usar el cifrado del sistema de archivos (FSE) a nadie, para la mayoría de los casos de uso. Hay varias razones, entre las cuales se encuentra el hecho de que existen alternativas más efectivas. Todos hablan como si solo hubiera dos opciones, FSE o FDE (Full Disk Encryption). Sin embargo, ese simplemente no es el caso. De hecho, hay otras dos opciones que beneficiarían mucho más al OP, que son el cifrado de contenedores de archivos y los archivos cifrados.

La encriptación del contenedor de archivos es para lo que está escrito el software como Veracrypt, y el Truecrypt ahora desaparecido. El cifrado de contenedores está integrado en la mayoría de los programas de compresión de archivos como Winzip y 7zip, como una opción al crear dicho archivo.

Ambas tienen muchas ventajas sobre FSE, la más obvia es que no necesita dejarlas montadas mientras no está trabajando con sus archivos cifrados. Eso evita que cualquier persona pueda acceder y pueda anular las protecciones de la clave de perfil de usuario y el bloqueo de pantalla. Además, puede hacer algo estúpido, como alejarse de su computadora, pero olvide bloquear la pantalla o permitir que alguien use la computadora y esperar que no le eche un vistazo a sus directorios ocultos. Además, puede mover fácilmente grandes cantidades de archivos a la vez, sin necesidad de cifrarlos de otra manera, ya que los contenedores son portátiles.

Una ventaja de que los contenedores Veracrypt son tan útiles es el hecho de que pueden montarse como una unidad, y eso le permite formatearlos con un sistema de archivos separado, preferiblemente un sistema de archivos sin registro, como EXT2 o FAT32. El sistema de archivos de registro podría potencialmente filtrar información a un atacante. Sin embargo, si todo lo que está haciendo es ocultar sus fotos personales, esto podría no ser tan relevante para usted. Si, por otro lado, tiene secretos de estado o datos legalmente protegidos, entonces podría ser. También puede configurarlos para que se monten automáticamente en el arranque, si usa un archivo de clave. Sin embargo, eso no se recomienda, ya que el archivo de clave debería almacenarse en un lugar menos seguro que donde FSE almacena la clave de perfil de usuario.

Ambos ofrecen la posibilidad de utilizar la compresión de archivos. También puede ocultar nombres de archivos, aunque no siempre es el caso cuando se utilizan archivos comprimidos, dependiendo del algoritmo de compresión utilizado.

Personalmente, utilizo cifrado de contenedor para archivos que no se moverán, y archivos cifrados para archivos que se moverán o almacenarán en la nube, ya que es un tamaño de archivo más pequeño.

Cifrar un directorio de inicio todavía es posible con el cifrado de contenedores. ¿Tal vez almacenar su clave de cifrado en una YubiKey?

De todos modos, solo quería ofrecerles algunas alternativas que no estaban siendo mencionadas por los otros carteles. Siéntase libre de estar de acuerdo o en desacuerdo con todo lo que he dicho.

Mr. Cypherpunk
fuente
8
Hola. Tengo algunos comentarios sobre su ejemplo de "niñera": - en primer lugar, en muchos lugares la gente puede esperar que la niñera promedio sea un adolescente por defecto, lo que hace que sea una analogía inquietante pasar a un hilo como este. En segundo lugar, solo quiero afirmar que existen casos de uso mucho mejores para el cifrado que ocultar un secreto de culpabilidad.
mwfearnley
Los contenedores son de tamaño fijo, el cifrado del sistema de archivos (fscrypt, eCryptfs, EncFS, etc.) solo ocupan tanto espacio como los archivos y pueden crecer y reducirse en consecuencia. QED PD: parece que no sabe que eCryptfs puede cifrar solo un directorio en el hogar, descifrado solo a su antojo.
Xen2050
3
Honestamente, esta respuesta es útil, pero el contenido es ofensivo. Simplemente debido a que asocia el cifrado con la actividad delictiva, como si no hubiera suficiente en los medios. El cifrado es para protección contra actividades delictivas. No puedo votar debido a esto. Eliminaré este comentario una vez que se produzca una edición.
Todd
1
Tenga en cuenta que si no puede confiar en la raíz (uid: 0), no puede usar el sistema para ningún cifrado (ya sea FSE, contenedor o archivo). Todos los sistemas de cifrado son vulnerables si abre el cifrado y se aleja del sistema sin bloquearlo. Además, si no encripta todo su sistema de archivos, debe comprender que, potencialmente, todas las aplicaciones que tocan los archivos secretos posiblemente harán copias sin cifrar fuera de su partición segura.
Mikko Rantalainen
0

Si usted, como lo estaba haciendo, está realizando una instalación nueva de Ubuntu 18.04 sobre Ubuntu 16.04 y ha cifrado previamente su /home, verá que no puede iniciar sesión después de la instalación. Todo lo que necesita hacer es instalar los paquetes relacionados con ecryptfs: sudo apt install ecryptfs-utils cryptsetupreiniciar e iniciar sesión.

Para instalar esos paquetes, puede iniciar sesión en un tty de repuesto una vez que Budgie haya cargado ( Cntrl+ Alt+ F1) o ingresar en el modo de recuperación de Linux e instalarlo desde allí.

Akronix
fuente