Ubuntuベースのシステムでディレクトリを暗号化する最も簡単な方法は何ですか?
Ubuntu 10.04を実行しているラップトップがあり、その上に(ラップトップを紛失した場合に)安全に保管する必要のあるドキュメントがあるとします。
ドキュメントのすべてが〜/ work /というディレクトリにあり、このディレクトリの外に秘密は何もないとしましょう。したがって、ホームディレクトリ全体を暗号化する必要はありません。
コマンドラインからこのディレクトリをロック/ロック解除する方法があります。
これを行うには、いくつかの異なる方法があるようです。
しかし、最も簡単で信頼できる方法は何ですか?
ありがとうヨハン
Update:関連する質問ですが、同じではありません buntu 10.04ですべてのファイルを暗号化する最も簡単な方法は何ですか?
3つの方法があります:パーティションに暗号化されたボリュームをセットアップする(dm-crypt
、cryptsetup
で構成)、暗号化されたボリュームであるファイルをセットアップする(truecrypt)、各ファイルが置かれるディレクトリをセットアップする個別に暗号化されます(ecryptfs
またはencfs
)。
ファイルのメタデータ(サイズ、変更時間)は表示されないため、暗号化されたボリュームを設定すると、機密性が少し高まります。欠点は、柔軟性が低いことです(暗号化されたボリュームのサイズを事前に決定する必要があります)。 ecryptfs FAQ は、2つのアプローチの違いを示しています。
ファイルごとに暗号化することを選択した場合、私は2つのオプションを知っています:ecryptfs
とencfs
。前者はカーネル内ドライバーを使用し、後者はヒューズを使用します。これにより、ecryptfs
の速度が向上する可能性があります。 rootとして何もする必要がないため、encfs
に柔軟性の利点があります。 ecryptfs
の考えられる利点は、初期設定が完了したら、pam_ecryptfs
モジュールのおかげで、ログインパスワードをファイルシステムパスワードとして使用できることです。
同様の状況で私自身が使用するために、encfs
を選択しました。これは、他のソリューションに対する実際のセキュリティ上の利点が見られなかったため、使いやすさが決定要因でした。パフォーマンスは問題ではありませんでした。ワークフローは非常に単純です(encfs
を最初に実行するとファイルシステムが作成されます):
aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work
スワップスペースと、/tmp
や/var/spool/cups
(機密ファイルを印刷する場合)など、一時的な機密ファイルが書き込まれる可能性のある場所も暗号化することをお勧めします。 cryptsetup
を使用して、スワップパーティションを暗号化します。 /tmp
を処理する最も簡単な方法は、tmpfs
としてマウントしてメモリに保持することです(これにより、いずれの場合もパフォーマンスがわずかに向上する可能性があります)。
あなたがのみラップトップを失うことを心配しているなら、Ubuntuはすでにecryptfs
をセットアップしています。
ユーザーアカウントを作成するときに「暗号化されたホームディレクトリ」を選択し、適切なパスワードを設定するだけです。これにより、ホームフォルダ内にあるものがすべて保護されます。
はい、~/work
以上を暗号化しますが、シームレスです。
/tmp
には、tmpfs
を使用します。
長所:
短所:
したがって、法医学の専門家があなたが印刷したものからデータを取得しようとしないと思われる場合は、これで十分です。
ecryptfs
もスワップを暗号化できますが、RAMが不足したことが発生した場合を除いて、スワップを無効にすることをお勧めします。スワップなしで人生はより良いです。 (または、ecryptfs-setup-swap
を実行し、指示に従ってfstabを変更します)
警告:いずれにせよ、このラップトップを入手したばかりでない限り、ハードディスクにはすでにたくさんのものが書き込まれています。私は私の中にたくさんのものを見つけました、そして何もそれをクリアしませんでした。別のドライブまたはパーティションにバックアップを作成し、現在のファイルシステムをゼロで上書きして、ファイルを復元する必要があります(もちろん、暗号化が設定された後にのみ機密ファイルを復元します)。
すばやく簡単な方法は、tar
とcompress
、次にbcrypt
です。
tar cfj safe-archive.tar.bz2 Directory/ bcryptsafe-archive.tar.bz2 #は、8文字のパスワードを2回要求してロックします。 #ただし、この後、ディレクトリを削除することを忘れないでください。 rm -rf Directory / #そして、パスワードを忘れないでください。そうしないと、データが失われます!
safe-archive.tar.bz2.bfe
-それについて妄想を感じた場合は、名前を変更できます。
暗号化されたパックを開くには、
bcrypt safe-archive.tar.bz2.bf3#または、あなたがそれを呼んだものは何でも tar xfj safe-archive.tar.bz2 #そして、あなたのディレクトリが戻ってきました!
もっと面倒になる準備ができたら、truecrypt
を提案し、暗号化されたボリュームを作成します。
しかし、それは通常のデータには必要ないと思います(たとえば、国家安全保障とは関係ありません)。
ps:私が示唆しているわけではないことに注意してください bcrypt は弱いか、国家安全保障がまったくできない。
上記の私の答えに対するコメントに返信してください。
私は簡単な答えを出そうとしました-そして、最初のオプションとしてTruecryptを提案しないという私の選択は、ここの一部には不適切かもしれないことに同意します。
質問は、ディレクトリを暗号化する簡単な方法を求めています。
ここでの私のセキュリティ対策は、2つのことに基づいています。
私はこれをあなたの「パラノイア」のレベルとして評価します。
さて、Truecrypt(または他の同様の方法)はコストがかかることは言うまでもありませんが、
言いたいのは、tmpfsで実行されるbcryptシーケンスは、今日の日常の使用には十分です。
(おそらく、約10年後にはそうではないと思いますが、実際には今のところです)。
そして、ここで保護されているデータの価値は、モナリザクラスの「回復」の試みに匹敵するものではないと思います。
簡単な質問ですが、電源がオフになっているラップトップを誰かがつかんで、その冷たいRAMスペースからデータを回復しようとすることを期待していますか?
もしそうなら、おそらく最初にハードウェアとソフトウェアを再考する必要があります。接続しているISPを確認してください。キーの押下などを聞きます。
ps:Truecryptが好きで、使っています。 OSIコンプライアンス、またはその欠如は、実際には重要ではありません。そして、私はbcrypt
とそれに対抗してここで提案されたスキームをステージングしていません。
これを設定する最も簡単で最速の方法は、ecryptfs-utilsおよびcryptkeeperをインストールすることです。
Sudo apt-get install ecryptfs-utils cryptkeeper
次に、完了したら、システムトレイを調べます。 2つのキーのアイコンが表示されます。それをクリックして、[新しい暗号化フォルダー]を選択します。名前を入力し、[進む]ボタンをクリックします(奇妙なことに、右ではなく左下にあります)。次に、必要なパスワードを入力して再確認し、もう一度[転送]をクリックしてから[OK]をクリックします。
これにより、暗号化されたフォルダがマウントされ、ファイルをそのフォルダにコピーできます。完了したら、そのマウントされたフォルダをログアウトするかチェックを外すと(システムトレイの[キー]アイコンをクリックして)、再マウントする前に再度パスワードが必要になります。
私はそのようなことのためにTrueCryptを独占的に使用しています。 OSI承認の有無にかかわらず、私は決してがっかりすることはなく、何度も暗号化が必要でした。