Was ist der einfachste Weg, um ein Verzeichnis auf einem Ubuntu-basierten System zu verschlüsseln?
Angenommen, ich besitze einen Laptop mit Ubuntu 10.04 und einige Dokumente, die sicher aufbewahrt werden sollten (falls ich den Laptop verliere).
Angenommen, alle Dokumente befinden sich in einem Verzeichnis mit dem Namen ~ / work /, und außerhalb dieses Verzeichnisses befindet sich kein Geheimnis. Sie müssen also nicht das gesamte Heimverzeichnis verschlüsseln.
Es soll eine Möglichkeit geben, dieses Verzeichnis von der Kommandozeile aus zu sperren / zu entsperren.
Es scheint verschiedene Möglichkeiten zu geben, dies zu tun:
- ecryptfs-utils
- Cryptsetup
- truecrypt (jedoch nicht von OSI genehmigtes Open Source)
Aber was ist die einfachste und zuverlässigste Methode?
Danke Johan
Update : Verwandte Frage, aber nicht gleich Was ist der einfachste Weg, um alle meine Dateien in Ubuntu 10.04 zu verschlüsseln?
Antworten:
Es gibt drei Methoden: Einrichten eines verschlüsselten Volumes auf einer Partition (
dm-crypt
konfiguriert mitcryptsetup
), Einrichten einer Datei, die ein verschlüsseltes Volume ist (truecrypt), Einrichten eines Verzeichnisses, in dem jede Datei separat verschlüsselt wird (ecryptfs
oderencfs
).Das Einrichten eines verschlüsselten Volumes bietet etwas mehr Vertraulichkeit, da die Metadaten (Größe, Änderungszeit) Ihrer Dateien unsichtbar sind. Auf der anderen Seite ist es weniger flexibel (Sie müssen die Größe des verschlüsselten Volumes im Voraus festlegen). In den häufig gestellten Fragen zu ecryptfs werden einige Unterschiede zwischen den beiden Ansätzen aufgeführt.
Wenn Sie sich entscheiden, Datei für Datei zu verschlüsseln, sind mir zwei Optionen bekannt:
ecryptfs
undencfs
. Ersteres verwendet einen Kerneltreiber, während letzteres FUSE verwendet. Dies kannecryptfs
einen Geschwindigkeitsvorteil ergeben; Es bietetencfs
einen Flexibilitätsvorteil, da nichts als Root ausgeführt werden muss. Ein möglicher Vorteilecryptfs
ist, dass Sie nach der Ersteinrichtung Ihr Anmeldekennwort dank despam_ecryptfs
Moduls als Dateisystemkennwort verwenden können .Für meinen eigenen Gebrauch in einer ähnlichen Situation entschied ich mich
encfs
, weil ich keinen tatsächlichen Sicherheitsvorteil für andere Lösungen sah, so dass die Benutzerfreundlichkeit der entscheidende Faktor war. Leistung war kein Problem. Der Workflow ist sehr einfach (bei der ersten Ausführungencfs
wird das Dateisystem erstellt):Ich empfehle Ihnen auch, Ihren Auslagerungsbereich und jeden Ort zu verschlüsseln, an dem temporäre vertrauliche Dateien gespeichert werden können, z. B.
/tmp
und/var/spool/cups
(wenn Sie vertrauliche Dateien drucken). Verwendencryptsetup
Sie diese Option, um Ihre Swap-Partition zu verschlüsseln. Der einfachste Weg, mit dem Problem umzugehen,/tmp
besteht darin, es im Speicher zu halten, indem Sie es wie folgt einbindentmpfs
(dies kann in jedem Fall einen leichten Leistungsvorteil bringen).quelle
encfs
! Das ist fantastisch!Ich benutze ausschließlich TrueCrypt für solche Dinge. Von OSI genehmigt oder nicht, ich finde, es hat mich nie im Stich gelassen, und ich habe die Verschlüsselung mehrmals benötigt.
quelle
Schnelle und einfache Möglichkeit ist
tar
undcompress
dannbcrypt
.Makes
safe-archive.tar.bz2.bfe
- die du umbenennen kannst, wenn du dich paranoid fühlst.So öffnen Sie das verschlüsselte Paket:
Wenn Sie bereit sind, chaotischer zu werden, würde ich vorschlagen
truecrypt
, verschlüsselte Volumes zu erstellen.Aber ich denke nicht, dass dies für reguläre Daten notwendig ist (wie zum Beispiel nicht im Zusammenhang mit der nationalen Sicherheit).
ps: beachte, dass ich nicht vorschlage, dass bcrypt in irgendeiner Weise schwach oder unfähig für die nationale Sicherheit ist.
Antworte auf die Kommentare zu meiner Antwort oben.
Ich habe versucht, eine einfache Antwort zu geben - und ich bin damit einverstanden, dass meine Entscheidung, Truecrypt nicht als erste Option vorzuschlagen, für einige hier unangemessen ist.
In der Frage wird nach einer einfachen Methode zum Verschlüsseln eines Verzeichnisses gefragt.
Mein Sicherheitsmaß basiert hier auf zwei Dingen:
Ich bewerte dies als das Niveau Ihrer "Paranoia".
Nun, ohne zu sagen, dass Truecrypt (oder ähnliche Methoden) teurer sind, ist
alles , was ich sagen möchte, dass eine in tmpfs ausgeführte bcrypt-Sequenz für Ihren täglichen Gebrauch heute ausreicht
(dies wird wahrscheinlich in etwa einem Jahrzehnt nicht mehr der Fall sein) rate mal, aber es ist wirklich erstmal so).
Ich gehe auch davon aus, dass der Wert der hier gesicherten Daten für einen "Wiederherstellungs" -Versuch der Mona-Lisa-Klasse nicht vergleichbar ist.
Einfache Frage: Erwarten Sie, dass jemand versucht, Ihren ausgeschalteten Laptop zu greifen und Daten aus dem kalten RAM-Speicher wiederherzustellen?
Wenn Sie dies tun, sollten Sie wahrscheinlich zuerst Ihre Hardware und Software überdenken , prüfen, mit welchem ISP Sie sich verbinden, wer Ihre Tastendrücke hören kann und so weiter.
ps: Ich mag Truecrypt und benutze es. Die OSI-Konformität oder das Fehlen davon spielt keine Rolle. Und ich inszeniere nicht
bcrypt
und das hier vorgeschlagene Schema in Konkurrenz dazu.quelle
Truecrypt
wird solche Komplikationen angehen. Ein weiterer Trick wäre die Verwendung einestmpfs
Mount-On-RAMs für die Arbeit mit dem verschlüsselten Verzeichnis - kopieren Sie dasbfe
auf die Ramdisk, arbeiten Sie dort damit, verschlüsseln Sie es erneut und speichern Sie das verschlüsselte Archiv zurück in das Dateisystem.tmpfs
ist sehr riskant: Was ist, wenn Sie vergessen, die Dateien neu zu verschlüsseln, und Ihre Änderungen verlieren? Was ist, wenn der Computer abstürzt (alle Änderungen gehen verloren)? Es ist auch unnötig kompliziert. Es gibt viele Möglichkeiten, dieses Problem mit geeigneten Werkzeugen zu lösen. Verwenden Sie einfach eines davon.Wenn Sie nur Angst haben, Ihren Laptop zu verlieren, ist Ubuntu
ecryptfs
bereits für Sie eingerichtet.Wählen Sie einfach "verschlüsseltes Home-Verzeichnis", wenn Sie Ihr Benutzerkonto erstellen, und geben Sie ihm ein anständiges Passwort. Dies schützt alles, was sich in Ihrem privaten Ordner befindet.
Ja, es wird mehr als verschlüsselt
~/work
, aber es ist nahtlos.Für die
/tmp
Verwendungtmpfs
.Vorteile:
Con:
Wenn Sie also nicht glauben, dass ein forensischer Experte versucht, Daten aus gedruckten Materialien abzurufen, ist dies ausreichend.
ecryptfs
Sie können den Swap auch verschlüsseln. Ich empfehle jedoch, den Swap nur zu deaktivieren, es sei denn, Ihnen ist der RAM-Speicher erschöpft. Das Leben ist besser ohne Tausch. (oder einfach ausführenecryptfs-setup-swap
und den Anweisungen folgen, um fstab zu ändern)Achtung : Auf jeden Fall, es sei denn, Sie haben gerade diesen Laptop gekauft, sind bereits viele Dinge auf Ihre Festplatte geschrieben. Ich habe ein paar Sachen in meinem gefunden und nichts würde es ausräumen. Sie müssen ein Backup auf einem anderen Laufwerk oder einer anderen Partition erstellen, Ihr aktuelles Dateisystem mit Nullen überschreiben und Ihre Dateien wiederherstellen (stellen Sie natürlich nur die vertraulichen Dateien wieder her, nachdem die Verschlüsselung eingerichtet wurde).
quelle
Der einfachste und schnellste Weg, dies einzurichten, ist die Installation von ecryptfs-utils und cryptkeeper :
sudo apt-get install ecryptfs-utils cryptkeeper
Schauen Sie dann, wenn Sie fertig sind, in Ihren Systray. Sie sehen ein Symbol mit zwei Tasten. Klicken Sie darauf und wählen Sie Neuer verschlüsselter Ordner. Geben Sie den Namen ein und klicken Sie auf die Schaltfläche Weiter (seltsamerweise unten links, nicht rechts). Geben Sie dann das gewünschte Passwort ein, bestätigen Sie es erneut und klicken Sie erneut auf Weiterleiten und dann auf OK.
Dadurch wird der verschlüsselte Ordner angehängt und Sie können Dateien in ihn kopieren. Wenn Sie sich abmelden oder das Häkchen in diesem bereitgestellten Ordner entfernen (klicken Sie dazu auf das Schlüsselsymbol in der Systemleiste), müssen Sie erneut ein Kennwort eingeben, bevor Sie es erneut bereitstellen können.
quelle