Wie verschlüsselt man / home unter Ubuntu 18.04?

57

Enttäuscht, dass das Installationsprogramm für 18.04 die Option zum Verschlüsseln des Basisverzeichnisses nicht mehr anbietet. Laut diesem Fehlerbericht, auf den im Installationsprogramm verwiesen wird, ist die empfohlene Methode zur Verschlüsselung heutzutage die Volldiskette mit LUKS oder fscrypt für Verzeichnisse. Die Festplattenverschlüsselung scheint für meine Bedürfnisse ein wenig übertrieben zu sein, und all die Fehler und Vorbehalte, die im Wiki erwähnt werden , machen sie nicht zu einer sehr attraktiven Option. Alles, was ich wirklich möchte, ist, mein Home-Verzeichnis vor jemandem zu schützen, der auf meine Dokumente, Fotos usw. zugreift, wenn mein Laptop gestohlen wird, und fscrypt für mich zur Option zu machen.

Die fscrypt GitHub-Seite enthält einige Beispiele zur Einrichtung, aber ich kann keine Dokumentation finden, die auf die Verschlüsselung des Home-Verzeichnisses unter Ubuntu abzielt. Das alte Ecryptfs-Tool ist weiterhin verfügbar, aber nach dem Einrichten von Ubuntu kam es manchmal zum Einfrieren des Anmeldebildschirms.

Meine Frage lautet also: Wie richte ich fscrypt ein, um mein / home-Verzeichnis zu verschlüsseln und zu entschlüsseln, wenn ich mich anmelde? Mir hat auch gefallen, wie ecryptfs es ermöglicht, den Ordner manuell zu entschlüsseln (z. B. von Disk-Images).

(Eine ähnliche Frage wurde hier gepostet und leider geschlossen, weil sie nicht zum Thema gehörte. Zur Verdeutlichung handelt es sich hierbei nicht um einen Fehlerbericht. Die Tatsache, dass die Option zum Verschlüsseln des Basisverzeichnisses aus dem Installationsprogramm entfernt wurde, war beabsichtigt. Alle I frage mich hier, wie man fscrypt einrichtet.)

elight24
quelle
2
@Panther Ermöglicht LUKS das Entschlüsseln von Dateien, die auf einem Sicherungslaufwerk gespeichert sind? Der Grund, den ich frage, ist, dass ich meine vollständigen Systemsicherungen von Windows mit Macrium Reflect erstelle. Wenn ich ein paar Dateien aus der Sicherung entfernen muss, brauche ich eine Möglichkeit, die gesicherten Dateien zu entschlüsseln. Mit ecryptfs musste ich nur mein Laufwerk anschließen und das Skript ausführen, das im verschlüsselten Ordner gespeichert ist.
Elight24
7
Wie wäre es also mit denen von uns, die ihren Home-Ordner ab 16.04 verschlüsselt haben, ihn aber nicht neu mounten können, weil die Option "Home-Ordner verschlüsseln" jetzt vom Installationsprogramm entfernt wurde? Wir können uns nicht einmal einloggen. Es ist lächerlich.
SunnyDaze
2
@SunnyDaze Es ist schon eine Weile her, dass ich meine Daten manuell mounten musste, aber ich glaube, der Befehl dafür war "ecryptfs-mount-private".
elight24
3
Es kann verwirrend sein, LUKS auf der gesamten CD zu verwenden. Dies funktioniert nicht mit Dual-Boot-Fenstern, im Gegensatz zu LUKS auf der Ubuntu-Partition. Ich habe die Wiki-Seite
Panther
2
Die vollständige Festplattenverschlüsselung ist großartig und macht den Job. Aber es reicht nur, wenn es sich um Ihren PC handelt und Sie der einzige Benutzer sind. Wenn sich jemand wundert why encrypt the home?, wenn es viele Benutzer gibt, ist es nützlich. Wenn Sie sich anmelden, wird nur Ihr Zuhause entschlüsselt, nicht das der anderen
AnthonyB

Antworten:

25

Update 2019-07

Ich betreibe mehrere verschlüsselte Häuser mit fscrypt. Installieren Sie Ihr System unverschlüsselt und verwenden Sie dieses Handbuch , um es fscryptin Ihrem Zuhause zu implementieren .

chmod 700umask 077Stellen Sie sicher, dass Sie zu Hause sind und / oder diese verwenden, da fscrypt nicht automatisch die Berechtigungen festlegt, ecryptfsdie für Sie üblich sind.

Die API fscryptkann sich in Zukunft ändern. Sichern Sie daher Ihre wichtigen Dateien, wenn Sie versuchen, Ihr System zu aktualisieren.

(Diese Funktion wird auf dem Desktop nicht häufig verwendet. Die Verwendung erfolgt auf eigenes Risiko.)

Update 2018-11

TL: DR; Sie können fscryptUbuntu 18.10+ oder Linux Mint 19.1+ ausprobieren

Sieht aus wie dies endlich behoben wurde. Hier ist eine vorbeugende Anleitung: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Ich zitiere hier keine Anweisungen, da dafür einige Hacks erforderlich sind und Sie möglicherweise Ihre Heimdaten verlieren.

Warnung: Eine Warnung von Benutzer @dpg : "VORSICHT: Ich habe die Anweisungen dieser" vorbeugenden Anleitung "befolgt (habe sie unter tty ausgeführt) und habe eine unendliche Anmeldeschleife erhalten."

Betrachten Sie diesen Leitfaden nur zu Bildungszwecken.

Als nächstes ist meine ursprüngliche Antwort:

Ursprüngliche Antwort 2018-05

TL; DR: Verwenden Sie die klassische Heimverschlüsselung mit Linux Mint 19 Tara .

fscrypt für die Heimverschlüsselung ist noch kaputt.


Wie richte ich fscrypt ein, um mein / home-Verzeichnis zu verschlüsseln und zu entschlüsseln, wenn ich mich anmelde?

Das ist etwas, was viele von uns wollen. Es ecryptfssieht so aus, als fscryptob das Ubuntu-Team unter Ubuntu 18.04 nicht fehlerfrei arbeiten und die Fehler für eine Heimverschlüsselungsoption nicht rechtzeitig für die geplante Veröffentlichung von Ubuntu 18.04 beheben konnte .

Für fscryptist mindestens ein kritischer Fehler, der es unbrauchbar für den Heim Verschlüsselung im Moment macht:

Darüber hinaus benötigen wir eine transparente Methode zum Authentifizieren / Entsperren, bevor sie eine realistische Alternative zur "alten" Verschlüsselung für den Heimgebrauch darstellt. Dies wird hier verfolgt:

Wenn diese Probleme offen sind, können Sie davon ausgehen, dass die Heimverschlüsselung an dieser Stelle fehlerhaft ist. Damit betrachten meine Kollegen und ich Ubuntu 18.04 18.04.1 im Moment als unvollendet und hoffen, dass die Heimverschlüsselung (unter Verwendung der neuen und viel besseren fscryptMethode) in Ubuntu 18.04.1 18.04.2 wiederhergestellt wird.

Bis dahin bleiben wir bei Ubuntu 16.04. Wir haben alle unsere Maschinen auf Linux Mint 19 Tara mit der klassischen Heimverschlüsselung umgestellt ecryptfs. Lesen Sie den Abschnitt "Bekannte Probleme" in den Versionshinweisen für Linux Mint 19 Tara über die ecryptfsEinschränkungen und prüfen Sie, ob dies für Sie akzeptabel ist:

(...) Bitte beachten Sie, dass in Mint 19 und neueren Versionen Ihr verschlüsseltes Home-Verzeichnis beim Abmelden nicht mehr abgemeldet wird.

Wenn Sie versucht haben fscryptund festgestellt haben, dass es für Ihre Verwendung defekt ist, können Sie beim folgenden Launchpad-Fehler für "Dieser Fehler betrifft mich auch" stimmen :


Beachten Sie, dass fscrypt/ ext4-crypt(zukünftig "Zuhause verschlüsseln") die schnellste und ecryptfs(altes "Zuhause verschlüsseln") die langsamste Option ist. LUKS("Gesamtes Laufwerk verschlüsseln") befindet sich in der Mitte.

Aus diesem Grund wird eine vollständige Festplattenverschlüsselung empfohlen. Denn wenn Sie sehr große Projekte mit vielen kleinen Dateien haben, häufig das Revisionsmanagement verwenden, große Kompilierungen durchführen usw., lohnt sich der Overkill beim Verschlüsseln Ihres gesamten Laufwerks im Vergleich zur Langsamkeit des alten Ecryptfs-Typs Heimverschlüsselung.

Letztendlich hat die Verschlüsselung des gesamten Laufwerks mehrere Nachteile:

  • Gästekonto
  • Familienlaptop mit privaten Konten
  • Verwendung von PREY-ähnlicher Diebstahlsicherungssoftware

Es ist rätselhaft, dass Canonical entschieden hat, dass "wir das nicht mehr brauchen" in ihrer LTS-Version, die als ihre "ernstere" Distribution bekannt geworden ist.

Redsandro
quelle
2
Ubuntu 18.04.1 wurde heute veröffentlicht, wobei beide Fehler immer noch bestehen. Ich hoffe, fscrypt in 18.04.2 zu sehen, aber ich bin jetzt ein bisschen weniger optimistisch. Bitte aktualisieren!
Nonny Moose
2
@NonnyMoose aktualisiert - siehe den fett gedruckten Abschnitt in der Mitte meines Beitrags.
Redsandro
3
Beeindruckend! Wenn Leute von 16.04 auf 18.04 upgraden, was passiert dann mit ihrem ~!?
MaxB
2
VORSICHT: Ich befolgte die Anweisungen dieser "vorbeugenden Anleitung" (habe es unter tty gemacht) und bekam eine unendliche Anmeldeschleife. Ich habe es zweimal bei einer neuen 18.10-Installation mit demselben Ergebnis versucht.
PetroCliff
2
Für den Fall, dass jemand nach der Verschlüsselung in eine unendliche Anmeldeschleife gerät, sich aber in tty anmelden kann. In meinem Fall wurde es vom falschen Eigentümer des /home/myuserVerzeichnisses verursacht. Es war aus irgendeinem Grund root, also löste es das Problem, wenn ich den Besitzer in meinen Benutzer wechselte.
PetroCliff
8

Aus Panthers Antwort hier: Die vollständige Festplattenverschlüsselung verschlüsselt alles, einschließlich / home, während nur ein bestimmtes Verzeichnis wie / home verschlüsselt wird, wenn Sie nicht angemeldet sind.

So verschlüsseln Sie das Ausgangsverzeichnis eines vorhandenen Benutzers:

Erstes Abmelden dieses Kontos und Anmelden bei einem Administratorkonto:

Installieren Sie die Verschlüsselungsprogramme für den Job:

 sudo apt install ecryptfs-utils cryptsetup

Von diesem Launchpad-Bug ist ecryptfs-utils nun im Universum-Repo.

Migrieren Sie den Basisordner dieses Benutzers:

sudo ecryptfs-migrate-home -u <user>

gefolgt vom Benutzerpasswort dieses Kontos

Dann loggen Sie sich aus und in das verschlüsselte Benutzerkonto ein - vor einem Neustart! um den Verschlüsselungsvorgang abzuschließen

Drucken Sie im Konto die Passphrase für die Wiederherstellung aus und notieren Sie sie:

ecryptfs-unwrap-passphrase

Sie können jetzt neu starten und sich anmelden. Sobald Sie zufrieden sind, können Sie den Backup-Home-Ordner löschen.

Auch wenn Sie einen neuen Benutzer mit verschlüsseltem Home-Verzeichnis erstellen möchten:

sudo adduser --encrypt-home <user>

Für weitere Informationen: man ecryptfs-migrate-home ; man ecryptfs-setup-private

ptetteh227
quelle
2
Danke für die Antwort, ptetteh. Ich habe diese Methode neulich ausprobiert, aber es schien Probleme beim Anmelden zu verursachen. Manchmal kam es auf dem Anmeldebildschirm zum Stillstand und ich musste neu starten. Ich habe 18.04 neu installiert, um sicherzugehen, dass es nichts anderes ist, das das Problem verursacht, und bis jetzt scheint alles in Ordnung zu sein. Wenn ecryptfs jetzt standardmäßig als nicht geeignet eingestuft wird, ist es meines Erachtens am besten, LUKS oder fscrypt zu verwenden.
elight24
1
Bei mir hat es in einer sauberen Installation geklappt (18.04.1). Ich musste es im "Wiederherstellungsmodus" machen. Das Auspacken war nicht erforderlich, da Sie sich beim Anmelden darüber benachrichtigen und aufgefordert werden, die generierte Passphrase aufzuschreiben. Vielen Dank!
Lepe
2
ecryptfs funktioniert nicht, wenn Sie längere Pfadnamen (> ~ 140 Zeichen) in Ihrem Home-Verzeichnis haben. Siehe unix.stackexchange.com/questions/32795/…
Sebastian Stark
1

Persönlich würde ich für die meisten Anwendungsfälle fast niemandem empfehlen, FSE (File System Encryption) zu verwenden. Es gibt verschiedene Gründe, nicht zuletzt die Tatsache, dass es Alternativen gibt, die effektiver sind. Sie alle reden, als gäbe es nur zwei Optionen, entweder FSE oder FDE (Full Disk Encryption). Dies ist jedoch einfach nicht der Fall. Tatsächlich gibt es zwei andere Optionen, die für das OP weitaus vorteilhafter sind, nämlich die Dateicontainerverschlüsselung und die verschlüsselten Archive.

Datei-Container-Verschlüsselung ist das, wofür Software wie Veracrypt und das inzwischen nicht mehr vorhandene Truecrypt geschrieben wurden. Die Containerverschlüsselung ist in den meisten Archivierungsprogrammen für die Dateikomprimierung wie Winzip und 7zip als Option für die Erstellung eines solchen Archivs integriert.

Beide haben viele Vorteile gegenüber FSE. Das offensichtlichste ist, dass Sie sie nicht aktiviert lassen müssen, wenn Sie nicht mit Ihren verschlüsselten Dateien arbeiten. Dadurch wird verhindert, dass Personen zugreifen können, die in der Lage sind, die Schutzfunktionen des Benutzerprofilschlüssels und der Bildschirmsperre zu überschreiben. Möglicherweise tun Sie auch etwas Dummes, z. B. einen Schritt von Ihrem Computer weg, aber vergessen Sie, den Bildschirm zu sperren, oder lassen Sie zu, dass jemand den Computer verwendet, und hoffen Sie, dass er nicht in Ihre versteckten Verzeichnisse schaut. Sie können auch problemlos große Mengen von Dateien gleichzeitig verschieben, ohne sie auf andere Weise verschlüsseln zu müssen, da die Container portabel sind.

Ein Vorteil der Nützlichkeit von Veracrypt-Containern besteht darin, dass sie als Laufwerk bereitgestellt werden können und dass Sie sie mit einem separaten Dateisystem formatieren können, vorzugsweise mit einem nicht journalgestützten Dateisystem wie EXT2 oder FAT32. Das Journaling-Dateisystem kann potenziell Informationen an einen Angreifer weitergeben. Wenn Sie jedoch nur Ihre persönlichen Fotos verstecken, ist dies möglicherweise nicht alles, was für Sie relevant ist. Wenn Sie dagegen Staatsgeheimnisse oder gesetzlich geschützte Daten haben, könnte dies der Fall sein. Sie können sie auch so einstellen, dass sie beim Booten automatisch bereitgestellt werden, wenn Sie eine Schlüsseldatei verwenden. Dies wird jedoch nicht empfohlen, da die Schlüsseldatei an einem Ort gespeichert werden müsste, der weniger sicher ist als der Speicherort des Benutzerprofilschlüssels durch FSE.

Beide bieten die Möglichkeit der Dateikomprimierung. Sie können auch Dateinamen ausblenden, obwohl dies bei Verwendung komprimierter Archive je nach verwendetem Komprimierungsalgorithmus nicht immer der Fall ist.

Persönlich verwende ich die Containerverschlüsselung für Dateien, die nicht verschoben werden, und verschlüsselte Archive für Dateien, die verschoben oder in der Cloud gespeichert werden, da die Dateigröße geringer ist.

Das Verschlüsseln eines Basisverzeichnisses ist weiterhin mit Containerverschlüsselung möglich. Vielleicht speichern Sie Ihren Chiffrierschlüssel auf einem YubiKey?

Wie auch immer, ich wollte Ihnen nur einige Alternativen anbieten, die von den anderen Plakaten nicht erwähnt wurden. Fühlen Sie sich frei, etwas zuzustimmen oder nicht zuzustimmen, was ich gesagt habe.

Mr. Cypherpunk
quelle
8
Hallo. Ich habe ein paar Kommentare zu Ihrem "Babysitter" -Beispiel: - Erstens kann man an vielen Orten erwarten, dass der durchschnittliche Babysitter standardmäßig ein Teenager ist, was es zu einer verstörenden Analogie macht, in einen Thread wie diesen zu schauen. Zweitens möchte ich nur bestätigen, dass es viel bessere Anwendungsfälle für die Verschlüsselung gibt, als ein schuldiges Geheimnis zu verbergen.
Mwfearnley
Container haben eine feste Größe. Die Dateisystemverschlüsselung (fscrypt, eCryptfs, EncFS usw.) nimmt nur so viel Platz ein wie die Dateien und kann entsprechend wachsen und schrumpfen. QED. PS Sie scheinen nicht zu wissen, dass eCryptfs nur ein einziges Verzeichnis in der Heimat verschlüsseln kann, das nur nach Belieben entschlüsselt wird.
Xen2050,
3
Ehrlich gesagt ist diese Antwort nützlich, aber der Inhalt ist anstößig. Einfach weil Verschlüsselung mit krimineller Aktivität in Verbindung gebracht wird, als ob es nicht genug davon in den Medien gibt. Die Verschlüsselung dient dem Schutz vor kriminellen Aktivitäten. Ich kann nicht aus diesem Grund stimmen. Ich werde diesen Kommentar löschen, sobald eine Bearbeitung erfolgt.
Todd
1
Beachten Sie, dass Sie kein System für die Verschlüsselung verwenden können (sei es FSE, Container oder Archiv), wenn Sie root nicht vertrauen können (uid: 0). Alle Verschlüsselungssysteme sind anfällig, wenn Sie die Verschlüsselung öffnen und das System verlassen, ohne es sicher zu sperren. Wenn Sie nicht Ihr gesamtes Dateisystem verschlüsseln, müssen Sie auch verstehen, dass möglicherweise alle Anwendungen, die die geheimen Dateien berühren, unverschlüsselte Kopien außerhalb Ihrer sicheren Partition erstellen.
Mikko Rantalainen
0

Wenn Sie wie ich eine Neuinstallation von Ubuntu 18.04 über Ubuntu 16.04 durchführen und Ihre zuvor verschlüsselt haben /home, werden Sie feststellen, dass Sie sich nach der Installation nicht mehr anmelden können. Alles, was Sie tun müssen, ist, die mit ecryptfs verbundenen Pakete zu installieren:, neu zu starten sudo apt install ecryptfs-utils cryptsetupund sich anzumelden .

Um diese Pakete zu installieren, können Sie sich entweder nach dem Laden von budgie in eine Ersatz-Tty einloggen ( Cntrl+ Alt+ F1) oder in den Linux-Wiederherstellungsmodus wechseln und von dort aus installieren.

Akronix
quelle