Шифрование папки home, поделитесь опытом

[ogonekman]

Добрый день!

Я новичок в линуксах в целом и интересует такой вопрос.

Шифрование папки Home (+swap), утилитой ecryptfs. На данный момент функция выпилена из установщика, так как она якобы слишком глючная. Но ее можно активировать вручную после установки, по инструкции в интернете https://losst.ru/shifrovanie-domashnej-papki-v-ubuntu.

Кто давно пользуется этой функцией, поделитесь опытом - с какими проблема/глюками сталкивались? Были ли проблемы после переустановки системы?

[Usermaster]

Лично я против шифрования всего домашнего каталога или раздела, незачем это да ещё в случае поломки создаёт дополнительные трудности.
Обычно беру VeraCrypt, создаю защищённый контейнер и помещаю туда все необходимые данные.
Защищено, не глючно, элегантно, удобно.
VeraCrypt тоже может шифровать раздел, я лично не пользуюсь.

[c47]

Я новичок в линуксах в целом и интересует такой вопрос.

Зачем? Неуловимый Джо не даёт покоя?
Ставь простой дистрибутив и уже внутри него можно создать шифрованные папки, если уж так охота в Джеймса Бонда поиграть. Если новичок - обязательно сломаешь систему и в случае шифрованного раздела шанс восстановления стремится к нулю.
А если не игрушки и тебе реально нужно шифрование (я даже не спрашиваю для чего), то лучше прикупи ssd с функцией secureErase. Хотя в случае маски-шоу это особо не поможет, т.к. терморектальный криптоанализатор ещё никто не отменял - всё вспомнишь, даже то чего не знал)

[ogonekman]

Да, я рассматривал вариант шифрования отдельных папок, но мне не нравится, что потенциальному злоумышленнику останутся доступны файлы настроек программ (браузер, почта и т.д.), где могут содержаться конфиденциальные данные.
Поэтому я остановился на шифровании папки "Home" как наиболее оптимальным для меня. В связи с этим хотел бы услышать советы бывалых.

[c47]

файлы настроек программ (браузер, почта и т.д.)

тоже есть прога, типа "кошелёк", при запуске хрома задаётся пароль, и хранит все пароли в себе, если пароль не ввести - то список сохранённых паролей в хроме будет пуст, несмотря на включенную к примеру синхронизацию.

потенциальному злоумышленнику

(Нажмите, чтобы показать/скрыть)

ссылка на лурк

[ogonekman]

тоже есть прога, типа "кошелёк", при запуске хрома задаётся пароль, и хранит все пароли в себе, если пароль не ввести - то список сохранённых паролей в хроме будет пуст, несмотря на включенную к примеру синхронизацию.

Это не очень удобно, так как в таком случае придётся искать решение для каждой отдельной программы. В шифровании папки home мне нравится, что папка шифруется паролем пользователя. Таким образом я захожу как обычно, файлы прозрачно расшифровываются на лету, и никаких дополнительных неудобств при работе нет.

За исключением, разве что неработающего режима гибернации, так как раздел SWAP тоже придется шифровать. Ну это мелочь, т.к. гибернацией я все равно не пользуюсь.

[ogonekman]

Сам спросил, сам отвечаю В интернете предлагают следующее решение:

Шифрование домашней папке после установки Ubuntu. Сначала установите утилиты для шифрования:
sudo apt install ecryptfs-utils cryptsetup

Вы не сможете зашифровать домашний каталог пока вы в системе. Поэтому создаем другого пользователя с правами администратора (скажем это будет user2), задаем для него пароль, затем выходим из системы (завершение сеанса).

Заходим в систему из под user2, и выполняем команду в терминале, для шифрования хомяка:
sudo ecryptfs-migrate-home -u user1
где user1 это имя основного пользователя, папку которого мы шифруем. Вводим пароль, готово.

Выходим из системы (завершаем сеанс user2) и, не перегружая комп, входим под основным пользователем user1. Выйдет табличка, нам предлогут записать парольную фразу, на случай если нужно будет вручную расшифровать информацию в хомяке. Также в будущем посмотреть его можно командой:
ecryptfs-unwrap-passphrase

В принципе все, но для пущей убедительности рекомендуется также зашифровать swap, так как т-щ майор может обнаружить там какие-то фрагменты файлов или ключей, которые помогут ему найти на вашем компьютере запрещённые мемы и подшить их в дело.

Swap шифруем командой:
sudo ecryptfs-setup-swap

Вобщем-то всё. Если всё нормально работаем, удаляем автоматически созданный бэкап файло в папке home.

При переустановке можно сохранять хомяк, в том числе и зашифрованный. Ставим систему как обычно, загружаемся до окна логина, Alt+F1 и
sudo apt install ecryptfs-utils cryptsetup
Потом перезагружаемся и заходим как обычно.

Короче буду пробовать 

[ASteZ]

ogonekman, посмотрите еще шифрование luks (cryptSetup)

[F12]

Короче буду пробовать

- ну вот и поделишься опытом

[ogonekman]

Папку зашифровал полёт нормальный. Единственное, при  загрузке ОС пишет сообщение:

cryptsetup: WARNING: Option 'size' missing in crypttab for plain dm-crypt mapping root. Please read /usr/share/doc/cryptsetup/README.initramfs and add the correct 'size' option to your crypttab(5).

Не совем понятно, "size" чего нужно указать? Гугление пока не дало результатов.

[F12]

тыц
Пользователь добавил сообщение 22 Августа 2021, 18:29:25:Многие годы использую eCryptfs для шифрования домашнего каталога.
За все это время каких-то серьезных багов не наблюдалось, ну разве что в виде выскакивающих сообщений при загрузке системы, и то все они так или иначе были связаны с шифрованием swap, которое, как известно, при шифровании домашнего каталога происходит автоматом... 

[F12]

Папку зашифровал полёт нормальный.

Но тем не менее, запомни пару команд на всяк случай

Код: [Выделить]

sudo ecryptfs-recover-private /home/.ecryptfs/<user>/.Private
где /home/.ecryptfs/<user>/.Private - полный путь к зашифрованной домашней папке, это если восстанавливаешь данные находясь в той же системе, но как другой пользователь, ну а если восстанавливаешь загрузившись с LiveUSB, то этот путь уже будет что-то типа /media/<user LiveUSB>/<UUID диска, на котором расположена зашифрованная домашняя папка>/home/.ecryptfs/<user>/.Private

Ну и вторая команда - ecryptfs-unwrap-passphrase, она для получения Парольной фразы (не путать с паролем входа в систему, хотя этот пароль тоже понадобится, его нужно будет ввести в ходе выполнения команды), команду следует выполнять находясь в системе, как пользователь с зашифрованной домашней папкой, или указав полный путь к файлу wrapped-passphrase, например, /home/.ecryptfs/<user>/.ecryptfs/wrapped-passphrase

... получив Passphrase в выхлопе команды, храни ее в надежном месте, тоже может понадобиться при восстановлении данных (подробней тут)

[ogonekman]

ну разве что в виде выскакивающих сообщений при загрузке системы, и то все они так или иначе были связаны с шифрованием swap, которое, как известно, при шифровании домашнего каталога происходит автоматом...

cryptsetup: WARNING: Option 'size' missing in crypttab for plain dm-crypt mapping root. Please read /usr/share/doc/cryptsetup/README.initramfs and add the correct 'size' option to your crypttab(5).

Из прочитанного я так понял что это баг самой утилиты, на основной функционал не влияет 

[F12]

ogonekman, да, и там даже приведена ссылка на отчет об ошибке.

В то же время, там и решение предлагается, почему бы его не попробовать?

У меня, кстати, именно такого сообщения не выскакивает, да и не выскакивало, ни на одном из компов. Зато помнится, еще во времена, то ли 12.04, то ли 14.04, доставало сообщение о том, что /dev/mapper/cryptswap1 не готов или отсутствует, причем это было не просто безобидное сообщение, а действительно зашифрованный swap нормально не подхватывался системой. Решений, помнится, в те времена предлагалось несколько, но ни одно из них не было 100%-ным, а побороли этот баг, кажется, только в 16.04. (а может вовсе и не побороли, а попросту отказались от шифрования swap автоматом при шифровании домашнего каталога , точно не знаю)

[KJOI]

Шифрование папки home, поделитесь опытом

Тоже не понимаю для чего шифровать весь хомяк, у вас есть секретный архив с порнушкой который вы постоянно смотрите и пополняете ну и храните его в специально отведенном месте, например в папке Secret, а ее уже можно закодировать например cryfs и чтоб лишний раз не терминалить есть хорошая шкурка называется SiriKali.