Главная » Linux

Linux шифрование домашней папки linux

Содержание
  1. Как зашифровать домашнюю папку в Linux
  2. от sasza
  3. Установить EcryptFS
  4. Ubuntu
  5. Debian
  6. Arch Linux
  7. Fedora
  8. OpenSUSE
  9. Другие Linux
  10. Зашифровать домашнюю папку
  11. Создать нового пользователя
  12. Начать шифрование
  13. Удалить учетную запись пользователя
  14. Добавить пароль шифрования
  15. Шифрование файлов и папок в Linux
  16. Утилита GPG
  17. Шифрование файлов с помощью пароля
  18. Шифрование с использованием ключей
  19. Подписи и шифрование
  20. Выводы
  21. Стоит ли шифровать домашний каталог?
  22. Альтернативы

Как зашифровать домашнюю папку в Linux

от sasza

Тем, кто ищет простой и универсальный способ шифрования домашней папки в Linux, не нужно искать дальше EcryptFS. При правильной настройке пользователи могут легко шифровать и расшифровывать свои личные данные без особых усилий.

ОПОВЕЩЕНИЕ СПОЙЛЕРА: прокрутите вниз и посмотрите видеоурок в конце этой статьи.

Установить EcryptFS

Перед тем, как начать какое-либо шифрование, вам необходимо установить инструмент шифрования. Он очень популярен, работает практически со всеми дистрибутивами Linux и прост в использовании. Для установки вам необходимо запустить Ubuntu, Debian, Arch Linux, Fedora, OpenSUSE, или вы можете собрать его из исходного кода, если вы используете другой дистрибутив.

Ubuntu

Debian

Arch Linux

Fedora

OpenSUSE

Другие Linux

Не можете найти устанавливаемый пакет EcryptFS в вашей операционной системе Linux? Если да, вам нужно скачать исходный код и установите программное обеспечение вручную. Если у вас возникли проблемы со сборкой программного обеспечения, ознакомьтесь с Страница документации EcryptFS .

Зашифровать домашнюю папку

Во время этого процесса шифрования мы создадим временного пользователя. Этот пользователь не будет постоянным. В конце этого урока мы полностью удалим его. Создание временной учетной записи суперпользователя важно, потому что невозможно зашифровать каталог пользователя во время входа в систему.

Создать нового пользователя

Чтобы создать нового пользователя, откройте терминал, войдите в учетную запись root.

Теперь, когда оболочка является root, используйте useradd для создания временной учетной записи. Обязательно добавьте -M, чтобы система не создавала новый домашний каталог.

Useradd создаст нового пользователя, но у него нет пароля. Используя passwd, назначьте encrypt-admin новый пароль UNIX.

Encrypt-admin готов к использованию, но не сможет получать доступ и выполнять корневые команды. Чтобы позволить пользователю запускать команды root, нам нужно добавить его в файл sudoers. Используя visudo, отредактируйте файл конфигурации sudo.

В текстовом редакторе Nano прокрутите вниз и найдите «# Спецификация привилегий пользователя». Под ним вы должны увидеть «root ALL = (ALL: ALL) ALL». Нажмите Enter на клавиатуре под этой строкой и напишите в Nano следующее.

Сохраните файл visudo, нажав Ctrl + O, затем закройте Ctrl + X.

Начать шифрование

Чтобы начать процесс шифрования, выйдите из системы с именем пользователя, с которого вы планируете начать шифрование. На экране входа в систему нажмите Alt + Ctrl + F1. Если эта комбинация кнопок не работает, попробуйте клавиши с F2 по F6.

Используя приглашение TTY, напишите encrypt-admin в приглашении входа в систему, а затем введите пароль, установленный ранее. Затем используйте EncryptFS, чтобы запустить шифрование.

Примечание: измените «yourusername» на имя учетной записи пользователя, из которой вы только что вышли из системы. Чтобы зашифровать несколько учетных записей пользователей, выполните эту команду несколько раз.

Читайте также:  Zywall usg windows vpn

Вышеупомянутая команда перенесет вашего пользователя в зашифрованную домашнюю папку. Отсюда безопасно выйти из учетной записи временного администратора и вернуться к обычному пользователю. Выйдите из консоли TTY с помощью:

Команда выхода должна немедленно вернуться к предыдущему экрану входа в систему. Оттуда нажмите Alt + F2 — F7, чтобы вернуться в графический режим.

Удалить учетную запись пользователя

EcryptFS полностью настроен в Linux, так что пора избавиться от учетной записи encrypt-admin. Начните с удаления его из файла sudoers. Откройте терминал и измените visudo.

Прокрутите файл sudoers и удалите код, добавленный ранее в руководстве.

Сохраните правку файла sudoer в Nano, нажав Ctrl + O на клавиатуре. Выйдите из Nano и вернитесь в оболочку терминала с помощью Ctrl + X.

Encrypt-admin больше не имеет возможности получить root-доступ или каким-либо образом изменить систему. На данный момент это безвредно, и можно просто оставить его там. Тем не менее, если вы не заинтересованы в том, чтобы на вашем ПК с Linux было несколько пользователей, может быть хорошей идеей полностью удалить его. В терминале используйте команду userdel, чтобы избавиться от него.

Добавить пароль шифрования

EcryptFS почти готов к работе. Осталось только установить новый пароль. Откройте терминал (без использования sudo или root) и введите добавить новую парольную фразу. Помните, что шифрование бессмысленно без надежного пароля. Перейти к strongpasswordgenerator.com и создайте надежную парольную фразу.

Примечание: не хотите использовать генератор для создания нового пароля? Прочтите эту статью чтобы узнать, как вместо этого создать собственную безопасную парольную фразу.

По завершении «ecryptfs-add-passphrase» ваша домашняя папка должна быть полностью зашифрована. Чтобы начать использовать его, перезагрузите компьютер с Linux. После перезапуска EcryptFS потребует вашу новую парольную фразу для правильного входа в систему.

Источник

Шифрование файлов и папок в Linux

В современном мире каждый аспект нашей личной жизни записывается на компьютеры. Один из способов защиты наиболее важной информации — шифрование файлов и каталогов. Во время шифрования содержимое файлов перемешивается с избыточными данными в соответствии с установленным алгоритмом, таким образом, что расшифровать его можно только имея специальный пароль или ключ.

В операционной системе Linux есть замечательный инструмент с открытым исходным кодом для шифрования файлов — GNU Privacy Guard или просто GPG, который может быть использован для шифрования любого файла из командной строки или в графическом режиме. О нем и пойдет речь в сегодняшней статье.

Утилита GPG

Перед тем как перейти к использованию утилиты, давайте рассмотрим ее синтаксис:

$ gpg опции файл параметры

Опции указывает что необходимо сделать с файлом, как это сделать и какие возможности использовать. Давайте рассмотрим самые основные опции, которые мы будем использовать в этой статье:

  • -h — вывести справку по утилите;
  • -s, —sign — создать цифровую подпись, эта опция используется вместе с другими опциями для шифрования;
  • —clearsign — подписать незашифрованный текст;
  • -e, —encrypt — зашифровать данные, с помощью ключа;
  • -с, —symmetric — зашифровать данные, с помощью пароля;
  • -d, —decrypt — расшифровать данные, зашифрованные с помощью ключа или пароля;
  • —verify — проверить подпись;
  • -k, —list-keys — вывести доступные ключи;
  • —list-sigs — вывести доступные подписи;
  • —fingerprint — вывести все ключи вместе с их отпечатками;
  • —delete-key — удалить ключ;
  • —delete-secret-key — удалить секретный ключ;
  • —export — экспортировать все ключи;
  • —export-secret-keys — экспортировать все секретные ключи;
  • —import — импортировать ключи;
  • —send-keys — отправить ключи на сервер, должен быть указан сервер ключей;
  • —recv-keys — получить ключи от сервера ключей;
  • —keyserver — указать сервер ключей;
  • —fetch-keys — скачать ключи;
  • —gen-key — создать ключ;
  • —sign-key — подписать ключ;
  • —passwd — изменить пароль для ключа.
Читайте также:  Инверсия сенсора планшета windows

А теперь рассмотрим по порядку, что нам нужно для того, чтобы выполнять шифрование файлов Linux.

Шифрование файлов с помощью пароля

Симметричный шифр — самый простой и в то же время надежный способ шифрования файлов linux. Расшифровать файл сможет любой у кого есть пароль. Для использования просто запустите терминал и выполните команду gpg с параметром -c:

gpg -c имя файла

Утилита создаст файл с расширением gpg. Для расшифровки используйте:

Шифрование с использованием ключей

Асимметричный шифр более надежный так как для шифрования используется два ключа — публичный, собственно для шифрования, которым может воспользоваться любой, и приватный — для расшифровки. Причем файл можно расшифровать только с помощью приватного ключа, даже если вы зашифровали файл, без приватного ключа вы его не расшифруете.

Сначала необходимо настроить gpg, создать пару ключей, для этого наберите:

Программа задаст ряд вопросов для настройки ключа:

Выберите требуемый тип ключа.

Выберите нужный размер для ключа, обычно 2048 будет достаточно.

Выберите строк действия для ключа.

Проверьте все ли правильно.

Введите имя нового ключа, фактически, это имя пользователя, но вы будете использовать его чтобы зашифровать файл linux, поэтому выбирайте обдумано.

Введите ваш email адрес.

Описание ключа, если нужно.

Финальная проверка, затем нажмите O для завершения.

Процесс генерации может занять некоторое время. Когда все будет готово в каталоге

./gnupg появятся два файла. В файле pubring.gpg публичный ключ, а в secring.gpg приватный.

Также вы можете посмотреть список доступных ключей:

Если вы собираетесь шифровать файлы на другом компьютере необходимо экспортировать публичный ключ, для этого есть опция -а:

gpg -a -o gpgkey.asc —export имя_ключа

Затем передаем файл на целевое устройство и импортируем ключ:

gpg —import gpgkey.asc

После импорта ключа уровень доверия к нему по умолчанию будет неизвестным поэтому при каждом шифровании gpg будет спрашивать действительно ли вы доверяете этому ключу. Чтобы этого избежать нужно указать уровень доверия. Для этого воспользуйтесь редактором ключей:

gpg —edit-key Username

Для выбора уровня доверия введите команду trust:

Для своих ключей можно использовать пункт абсолютно доверяю с номером 5, вы же знаете что это именно ваш ключ.

Теперь можно переходить к шифрованию. Для того чтобы зашифровать файл linux используйте команду:

gpg -e -r ид_пользователя имя_файла

Ид пользователя нужно указывать тот что вы использовали при создании ключа. Для расшифровки используйте:

gpg -d имя_файла.gpg

Для каталогов действия аналогичны только сначала нужно создать архив с помощью tar:

tar -cf — каталог | gpg -e -r ид_пользователя

А для расшифровки:

gpg -d каталог.gpg | tar -xvf

Читайте также:  Windows 2003 изменить режим работы леса

Подписи и шифрование

Для проверки подлинности файлов может использоваться не шифрование, а подпись. Тогда на основе файла и ключа создается отпечаток, который записывается в файл. Если файл будет изменен, то отпечаток уже не совпадет.

Вы можете подписать файл с помощью опции —sign:

gpg —sign имя_файла

Если вы не хотите изменить исходный файл, то можно создать подпись в отдельном файле:

gpg -b имя_файла

Тогда в каталоге, рядом с файлом появиться файл .sig с подписью. Дальше, чтобы проверить достаточно использовать команду verify:

gpg —verify textfile.sig textfile

Если файл был изменен, то вы увидите, что подпись не сходиться.

Выводы

В этой статье мы рассмотрели как выполняется шифрование файла linux, а также настройка утилиты gpg. Шифрование gpg linux используется людьми для хранения важных данных, а механизм подписей популярен среди разработчиков дистрибутивов. Если у вас остались вопросы, спрашивайте в комментариях!

На завершение отличное видео о том, как работает асимметричный алгоритм шифрования:

Источник

Стоит ли шифровать домашний каталог?

Шифрование домашнего каталога обеспечивает надежную защиту данных, хранящихся на жёстком диске или ином носителе. Если вы просто установите сложный пароль на вход в систему, потенциальные злоумышленники всегда смогут загрузиться с внешнего LiveCD/LiveUSB и получить доступ к вашей информации. Даже пароль на BIOS не обеспечивает защиты информации при получении физического доступа к носителю. Шифрование особенно актуально на переносных ПК, на компьютерах со множественным доступом, а также в любых других условиях, в которых вы беспокоитесь за конфиденциальность своих файлов. Шифрование домашнего каталога будет вам предложено при установке.

Производительность снижается незначительно 1) , по крайней мере пока не пользуется SWAP 2) .

SWAP тоже шифруется, если в инсталляторе выбрать шифрование домашнего каталога, и при этом перестает работать спящий режим. Как его починить — описано, например, здесь

Не шифровать SWAP при шифрованном домашнем каталоге — потенциально опасно, так как там могут оказаться данные из шифрованных файлов в открытом виде — весь смысл шифрования теряется.

Если вы решили зашифровать свой домашний каталог во время установки, то обязательно выполните инструкции, которые система выдаст при первой загрузке — получите и сохраните passphrase в безопасном месте (вне шифрованного домашнего каталога и лучше вне самой машины). В последствии вы всегда можете узнать его командой ecryptfs-unwrap-passphrase, но только из своей системы. Чтобы восстановить passphrase с LiveCD/LiveUSB, введите encryptfs-unwrap-passphrase /media/usbdisk/home/.ecryptfs/your_username/.ecryptfs/wrapped-passphrase

Passphrase потребуется вам для доступа к данным в случае краха системы или при перестановке системы (хотя в последнем случае можно предварительно перенести данные с шифрованного раздела на резервное устройство, а после установки — вернуть их в зашифрованный домашний каталог.

Альтернативы

Альтернатива всегда есть, и в данном случае можно воспользоваться способом, изложенном в этой статье. Сохранится спящий режим, хотя вопросы производительности останутся (но, как уже было сказано, это актуально преимущественно для слабых машин).

В версии *ubuntu 12.10, при установке есть возможность выбрать вариант шифрования всего диска. Этот вариант наиболее подходит для сохранения персональных данных на переносных устройствах (у которых, как правило, только один пользователь).

Источник

Оцените статью
© 2024 Советы по настройке компьютера