шифрование домашнего каталога нового пользователя - как?..

[Andrew_SWH]

При установке хотел зашифровать домашний каталог. Вроде с глазами не поругался и нужную галочку выбрал - но почему-то каталог оказался незашифрованным (у меня Linux Mint 9 KDE, немногим ранее ставил исходную Kubuntu 10.04 - там все получилось). Обнаружил сей факт только через месяц, система уже настроена и отлажена, не переставлять же :-). Как я понимаю, исправить ситуацию можно врнучную настроив pam_encfs. Но с английским я дружу слабо, на русском языке информации маловато.

Решил пойти другим, весьма банальным путем: создать нового пользователя с зашифрованным каталогом и перенести данные туда. Но и тут облом-с: в панели управления пользователями при создании нового про шифрование тишина....

Есть мысль сделать полный бэкап средствами MintBackup, переставить систему и раскатать все обратно... но как-то это чересчур уж навороченно. Более простого способа за'encfs'ить домашний каталог нет?..

[dimas000]

если хомяк на отдельном разделе, можно создать там luks-контейнер. только придется каждый раз вводить не только пароль юзера, но и еще пароль от раздела. впрочем, при паранойе - самое то

[Andrew_SWH]

Сейчас на том же, но не проблема и перенести, на винте есть пара разделов от предыдущих линуксов, кои уже можно освободить. И другой пароль тоже в плюс.

Просто сделать монтирование чего-либо я могу и с помощью скрипта из одной строчки теми же средствами encfs. Но хочется чтобы каталог автоматически монтировался при входе юзверя и, что важнее, автоматически размонтировался при выходе.

Скорее всего покурив мануалы можно все это реализовать и с нуля, но очень не хочется изобретать велосипед. Раз инсталлятор убунты умеет делать все это на автомате - наверняка там все это делается элементарным скриптом, кой можно заставить создать необходимый набор каталогов и скриптов монтирования/размонтирования на уже установленной системе. Знать бы только где копать....

[666joy666]

http://gentooway.ru/2009/11/ubuntu-shifruem-home-i-swap-v-ubuntu-9-10-karmic

[dimas000]

можно, конечно, попробовать ecryptfs замутить, через который оно и сделано. ставим ecryptfs-utils или как там его, читаем маны... я шифрование делал при установке, могу поглядеть нужные конфиги, если решишь заморочиться.
с luks сложнее будет, если у тебя много юзеров. если один - пихай в фстаб. при старте спросит пароль и смонтируется, при выключении отмонтируется, ну и ctrl+alt+L в гноме... можно, конечно, и вовсе извратиться с авторизацией по какой-нибудь флэшке или еще хз как, но это уж на любителя....

[666joy666]

можно, конечно, и вовсе извратиться с авторизацией по какой-нибудь флэшке или еще хз как, но это уж на любителя....

Чувствую себя отпятым извращенцем  . Вторая система arch , стоит на шифрованном root разделе под btrfs, swap и home естественно тоже шифрованные,  все разделы зашифрованы разными алгоритмами, ключ на флешке, если при загрузке не вставить, есестно не загрузиться...Ах, и /boot ,единственное что не шифрованное:)

[FST]

Дык, пользуемся и не ворчим   
TrueCrypt - Free Open-Source Disk Encryption Software
Шифрует все на свете. 

[dimas000]

да, Ъкрипт - тоже дело! и ключевые файлы откуда-нибудь подальше. внутри можно что угодно создать. у меня вот на сервере собранный без гуя Ъкрипт, внутри контейнера Reiser4, ключевой файл на другом разделе... если юзер один - пихаем в нужный ранлевел. консольное обращение освоить несложно. единственное, что напрягает - отсутствие автодополнения при указании ключевых файлов (т.е. полностью ручками пишем /path/to/filename) ежели таковые используются... коли надо, могу подсобить со сборкой безголовой версии и ручным монтированием.

[Andrew_SWH]

Всем спасибо за ссылки и комментарии, видимо, расчищу на днях один из разделов и перетащу на него шифрованый home...

TrueCrypt - хорошая штука, только не знаю как в новых версиях, а в старых (я исторически 4-й пользуюсь) не поддерживались юниксоидные fs, только fat и ntfs, что вполне подходило для пользовательских данных (я так на рабочем компе храю свои фотографии и прочие личные вещи), но мало годилось для тех мест, где нужны права доступа.

Кста, хорошая реклама трукрипта вышла: http://habrahabr.ru/blogs/crypto/97646/
видимо, терморектальный криптоанализ там не в моде :-)

[dimas000]

TrueCrypt - хорошая штука, только не знаю как в новых версиях, а в старых (я исторически 4-й пользуюсь) не поддерживались юниксоидные fs, только fat и ntfs,

на фс ему вообще плевать. да, гуевая создавалка спрашивает, мол ext3 или ntfs, или вообще ничего, но на том выбор не ограничивается. как и в случае с luks, здесь создается блочное устройство, которое можно форматнуть во что угодно (а то, наверно, даже фдиском разметить), т.е. никто не мешает потом форматнуть в нужную фс. вот у меня Reiser4 внутри, к примеру