web-dev-qa-db-ja.com

フォルダを暗号化する方法(ホームではありません)?

Home/home/user/)ではなく、別のパーティションにあるフォルダーを暗号化する方法はありますか?そのため、ユーザーのみが含まれるファイルにアクセス/読み取りできますか?

あるいは、完全なext4パーティションを暗号化されたボリュームに変換することが可能かどうかを理解したいと思います。暗号化されたボリュームは、ユーザーのログイン時にマウントされます。

可能であれば、Ubuntuを再インストールせずに変更を加えたいと思います。

私のPCには(mount出力)があります:

/dev/sda1 on / type ext4 (rw,errors=remount-ro)
/dev/sda3 on /home type ext4 (rw)
/dev/sda4 on /home/igor/Personale type ext4 (rw)

sda4は、保護したいフォルダーを含むパーティションです。

8
igi

/ home/igor/Personaleタイプext4としてマウントされた/ dev/sda4を暗号化する場合は、eCryptfsが適しています(Ubuntu暗号化ホームディレクトリはecryptfsを使用します)。

とにかく再インストールする必要はありません。 ecryptfsは柔軟性があり(フォルダーまたはパーティションを暗号化できます)、使いやすく、現在のファイルシステム(ext4)の上に階層化されています。基本的に、パーティション/ブロックデバイスがあり、ファイルシステムを作成してマウントし、ecryptfsを使用して暗号化します。

あなたの場合、それを暗号化するのは/ dev/sda4です注:このプロセスは既存のデータを保持しますが、別のパーティションまたは外部HDDにバックアップすることを強くお勧めします。後でデータを暗号化するためにコピーする必要があるためです(既存のデータは暗号化されません)。

手順:

  1. ecryptfs-utilsパッケージを最初にインストールします

    Sudo apt-get install ecryptfs-utils
    
  2. 宛先ディレクトリをecryptfsとしてマウントします(/ dev/sda4がすでに/ home/igor/Personaleにマウントされていると仮定します)

    mount -t ecryptfs /home/igor/Personale /home/igor/Personale
    

注:パスフレーズ、暗号、キーバイト、プレーンテキストパススルー(y/n)、ファイル名暗号化(y/n)の入力を求められます。

できたとにかく既存のデータは暗号化されません。バックアップから既存のデータを削除してコピーできます(そのため、バックアップをお勧めします。既存のファイルの暗号化を有効にするにはデータスワップが必要です)。バックアップ/復元にrsyncを使用します。

    rsync -axHAX /backup /home/igor/Personale

ところで:暗号化されたパーティションはfindmntまたはmountを使用して表示できます(例:/ home/terry/topsecretの/ home/terry/topsecretタイプecryptfs(rw、ecryptfs_sig = 633937dbcf1fef34、ecryptfs_cipher = aes、ecryptfs_key_bytes = 16、ecryptfs_unlink_sigs)

1
Terry Wang

承知しました。たとえば、enfcsを使用して、どこでも暗号化されたフォルダーを作成できます。 Sudo apt-get install encfsを使用してencfsをインストールします。

mkdir /path/to/encrypted
mkdir /path/do/decrypted
encfs /path/to/encrypted /path/to/decrypted

特定の暗号化されたディレクトリで初めて実行する場合、encfsはパスワードと暗号化オプションの設定を案内します。

暗号化されたフォルダーをアンマウントするには、次を入力します

fusermount -u /path/to/decrypted

暗号化されたディレクトリを再度マウントするには、暗号化に使用したのと同じコマンドを入力します。

encfs /path/to/encrypted /path/to/decrypted

暗号化はUnixの許可とはまったく異なることに注意してください(「自分のユーザーのみがアクセスできます...」)。要するに、誰でも資格情報(暗号化されたディレクトリへのパスワード)を持つ人だけがそれを解読できます。あなたのマシンに物理的にアクセスできる人はだれでもルートになることができ、その結果、あなたを含むすべてのユーザーになることができるので、それはむしろそれのポイントです。ライブcdでコンピューターを起動するか、ドライブを取り出して別のシステムに接続するだけです。

6
January

LUKSを使用して、使用可能な暗号化されたコンテナを作成することもできます。これには、より安全であるという追加の効果があり、パスフレーズのみがコンテナを開きます。以下に例を示します。

暗号コンテナー、ループ、およびデバイスを作成する

  • dd if =/dev/urandom of =/mnt/sdcard/loop1.img bs = 1M count = 128

  • losetup/dev/block/loop1 /mnt/sdcard/loop1.img

  • cryptsetup -c aes-plain luksFormat/dev/block/loop1

  • cryptsetup luksOpen/dev/block/loop1 cpt1

  • mkfs.ext2/dev/mapper/cpt1

  • mkdir/mnt/sdcard/safe

  • マウント/ dev/mapper/cpt1/mnt/sdcard/safe

1
Cain