web-dev-qa-db-ja.com

Ubuntu 18.04で/ homeを暗号化する方法は?

18.04インストーラーがホームディレクトリを暗号化するオプションを提供しなくなったことに失望しました。インストーラーで参照されている this バグレポートによると、最近の暗号化の推奨される方法は、LUKSを使用したフルディスク、またはディレクトリのfscryptです。フルディスク暗号化は私のニーズには少し行き過ぎだと思われ、 Wiki で言及されているすべてのバグと注意事項は、非常に魅力的なオプションにはなりません。本当に欲しいのは、ラップトップが盗まれた場合に、誰かが私のドキュメント、写真などにアクセスすることからホームディレクトリを保護し、fscryptを私に選択させることです。

fscrypt GitHub page に設定方法の例がありますが、Ubuntuのホームディレクトリの暗号化を目的としたドキュメントは見つかりません。古いecryptfsツールは引き続き使用できますが、セットアップ後、Ubuntuはログイン画面でフリーズすることがあります。

したがって、私の質問は次のとおりです。ログイン時に/ homeディレクトリを暗号化し、復号化するためにfscryptを設定するにはどうすればよいですか?また、ecryptfsがフォルダを手動で(たとえば、ディスクイメージから)復号化できることも気に入りました。

(同様の質問が here に投稿されましたが、残念ながら「トピック外」のバグレポートであるため閉じられました。明確にするために、これはバグレポートではありません。インストーラーは意図的なものでした。ここで尋ねているのは、fscryptのセットアップ方法だけです。)

56
elight24

更新2019-07

fscryptで複数の暗号化されたホームを実行しています。暗号化せずにシステムをインストールし、 このガイド を使用してfscryptを自宅に実装します。

必ずchmod 700 your home を使用し、/またはumask 077を使用してください。fscryptはecryptfsのような権限を自動的に設定しないためです。

fscryptのAPIは将来変更される可能性があるため、システムをアップグレードする場合は、重要なファイルを必ずバックアップしてください。

(この機能はデスクトップでは広く使用されていません。自己責任で使用してください。)

2018-11の更新

TL:DR; Ubuntu 18.10以降またはLinux Mint 19.1以降でfscryptを試すことができます

これは最終的に修正されたようです。ここに先制ガイドがあります: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

ハックが必要であり、自宅のデータが失われる可能性があるため、ここでは説明を引用していません。

警告:ユーザーからの警告@ dpg 「注意してください:私はその「先制ガイド」の指示に従い(ttyの下でそれを行いました)、無限のログインループを取得しました。」

このガイドは教育目的でのみ検討してください。

次は私の最初の答えです:

元の回答2018-05

TL; DR: Linux Mint 19 Tara で従来のホーム暗号化を使用します。

ホーム暗号化のfscryptはまだ壊れています。


ログイン時に/ homeディレクトリを暗号化し、復号化するためにfscryptを設定するにはどうすればよいですか?

これは多くの人が望むものです。 UbuntuチームはecryptfsをUbuntu 18.04でバグなしで動作させることができず、予定されているUbuntu 18.04リリースに間に合うようにホーム暗号化オプションのfscryptのバグを修正できなかったようですどちらか。

fscryptの場合、現時点でホーム暗号化に使用できなくなる重大なバグが少なくとも1つあります。

さらに、「古い」ecryptfsタイプのホーム暗号化の現実的な代替手段になる前に、認証/ロック解除の透過的な方法が必要になります。これはここで追跡されます:

これらの問題が未解決の場合、この時点でホーム暗号化が壊れていると考えることができます。それで、同僚と私はUbuntuを検討しています 18.04 18.04.1現時点では未完​​成であり、Ubuntuでホーム暗号化が(新しいはるかに優れたfscryptメソッドを使用して)戻されることを願っています 18.04.1 18.04.2。

そのような時まで、私たちはUbuntu 16.04に固執しています。 すべてのマシンを Linux Mint 19 Tara に切り替えました。ecryptfsリリースノートLinux Mint 19 Tara「既知の問題」セクションを読んで、ecryptfsの制限について、およびこれが受け入れられる場合:

(...)Mint 19以降のリリースでは、暗号化されたホームディレクトリはログアウト時にアンマウントされないことに注意してください。

fscryptを試してみて、使用状況によって破損していることがわかった場合は、次のランチパッドのバグで「このバグも私に影響します」投票できます。


fscrypt/ext4-crypt(将来の「ホームを暗号化」)が最も速いオプションであり、ecryptfs(古い「ホームを暗号化」)が最も遅いオプションであることに注意してください。 LUKS(「ドライブ全体を暗号化する」)は中央にあります。

このため、ディスク全体の暗号化を「便利に」お勧めします。多数の小さなファイルを含む非常に大きなプロジェクトがあり、リビジョン管理を頻繁に使用し、大きなコンパイルを行うなどの場合、ドライブ全体を暗号化することの過剰は、古いecryptfsタイプの遅さに比べて実際に価値があることがわかりますホーム暗号化。

最終的に、ドライブ全体の暗号化には複数の欠点があります。

  • ゲストアカウント
  • プライベートアカウントを持つ家族のラップトップ
  • PREYのような盗難防止ソフトウェアを使用する

CanonicalがLTSバージョンで「これはもう必要ない」と決定したのは不可解です。これは、より「深刻な」ディストリビューションとして知られるようになりました。

24
Redsandro

From Panther's answer here フルディスク暗号化は/ homeを含むすべてを暗号化しますが、/ homeなどの特定のディレクトリのみを暗号化するには、ログインしていないときにのみ暗号化されます。

既存のユーザーのホームディレクトリを暗号化するには:

そのアカウントの最初のログアウトと管理者アカウントへのログイン:

ジョブの暗号化ユーティリティをインストールします。

 Sudo apt install ecryptfs-utils cryptsetup

そこから ランチパッドのバグ ecryptfs-utilsは現在ユニバースリポジトリにあります。

そのユーザーのホームフォルダーを移行します。

Sudo ecryptfs-migrate-home -u <user>

その後にそのアカウントのユーザーパスワードが続きます

次に、再起動する前に、暗号化されたユーザーアカウントからログアウトしてログインします。暗号化プロセスを完了する

アカウント内で、回復パスフレーズを印刷して記録します。

ecryptfs-unwrap-passphrase

これで、再起動してログインできます。満足したら、バックアップホームフォルダーを削除できます。

また、暗号化されたホームディレクトリを使用して新しいユーザーを作成する場合:

Sudo adduser --encrypt-home <user>

詳細: man ecryptfs-migrate-home ; man ecryptfs-setup-private

7
ptetteh227

個人的には、ほとんどのユースケースでFile System Encryption(FSE)を使用することはほとんどお勧めしません。いくつかの理由がありますが、少なくともその事実は既存の事実であり、より効果的な代替案です。 FSEまたはFDE(フルディスク暗号化)の2つのオプションしかないように話します。ただし、そうではありません。実際、ファイルコンテナの暗号化と暗号化されたアーカイブの2つのオプションがあります。

ファイルコンテナの暗号化は、Veracryptのようなソフトウェアであり、現在では機能しないTruecryptが記述されています。コンテナの暗号化は、Winzipや7Zipなどのほとんどのファイル圧縮アーカイブソフトウェアに、このようなアーカイブを作成する際のオプションとして組み込まれています。

この2つには、FSEよりも多くの利点があります。最も明白なのは、暗号化されたファイルを操作していない間、それらをマウントしたままにする必要がないことです。これにより、ユーザープロファイルキーの保護と画面ロックを無効にできるユーザーはだれにもアクセスできなくなります。また、コンピューターから離れるなど、愚かなことをするかもしれませんが、画面をロックすることを忘れるか、誰かがコンピューターを使用できるようにし、隠されたディレクトリを覗かないように願っています。また、コンテナは移植性があるため、大量のファイルを一度に簡単に移動できます。別の方法で暗号化する必要はありません。

Veracryptコンテナが非常に有用な利点の1つは、ドライブとしてマウントできることと、別のファイルシステム、できればEXT2やFAT32などの非ジャーナリングファイルシステムでフォーマットできることです。ジャーナリングファイルシステムは、情報を攻撃者に漏らす可能性があります。ただし、個人的な写真を非表示にしている場合、これはあなたに関係のあるものではないかもしれません。一方、州の秘密や法的に保護されたデータがある場合は、そうなる可能性があります。キーファイルを使用している場合は、起動時に自動的にマウントするように設定することもできます。ただし、FSEがユーザープロファイルキーを保存する場所よりも安全性の低い場所にキーファイルを保存する必要があるため、これはお勧めしません。

どちらもファイル圧縮を使用する機能を提供します。ファイル名を非表示にすることもできますが、使用される特定の圧縮アルゴリズムによっては、圧縮アーカイブを使用する場合は常にそうとは限りません。

個人的には、移動されないファイルにはコンテナ暗号化を使用し、クラウドに移動または保存されるファイルには暗号化されたアーカイブを使用します。ファイルサイズが小さいためです。

ホームディレクトリの暗号化は、コンテナ暗号化を使用して引き続き可能です。暗号化キーをYubiKeyに保存しますか?

とにかく、私はあなたに、他のポスターから言及されていないいくつかの代替案を提供したかっただけです。私が言ったことに自由に同意するか、同意しない。

1
Mr. Cypherpunk