如何在Ubuntu 18.04上加密/ home?
失望地看到18.04安装程序不再提供加密主目录的选项。 根据安装程序中引用的此错误报告,目前推荐的加密方法是使用LUKS的全磁盘或目录的fscrypt。 全盘加密似乎对我的需求有点过分,而且Wiki上提到的所有错误和警告并没有使它成为一个非常有吸引力的选择。 我真正想要的是保护我的主目录,以防有人访问我的文档,照片等,如果我的笔记本电脑被盗,让fscrypt成为我的选择。
fscrypt GitHub页面有一些关于如何设置它的例子,但我找不到任何旨在加密Ubuntu上的主目录的文档。 旧的ecryptfs工具仍然可用,但在设置之后,Ubuntu有时会在登录屏幕上冻结。
所以我的问题是:如何设置fscrypt来加密我的/ home目录并在我登录时解密? 我也喜欢ecryptfs如何允许手动解密文件夹(例如,从磁盘映像)。
( 这里发布了一个类似的问题,不幸的是因为是一个“偏离主题”的错误报告而被关闭。为了澄清,这不是一个错误报告。加密主目录选项从安装程序中删除的事实是故意的。所有我我在这里问的是如何设置fscrypt。)
谢谢
TL; DR:使用Linux Mint 19 Tara的经典家庭加密。
家庭加密的fscrypt
仍然被打破。
如何设置fscrypt来加密我的/ home目录并在我登录时解密?
这是我们很多人想要的。 看来Ubuntu团队无法让ecryptfs
在Ubuntu 18.04上fscrypt
地工作,并且无法及时修复fscrypt
的错误, fscrypt
为预定的Ubuntu 18.04版本提供家庭加密选项。
对于fscrypt
,至少有一个关键错误,使其目前无法用于家庭加密:
- fscrypt /问题/ 77
此外,我们需要一种透明的身份validation/解锁方式,才能成为“旧”ecryptfs类型家庭加密的现实替代方案。 这是在这里跟踪:
- fscrypt /问题/ 95
打开这些问题后,您可以考虑在此时断开家庭加密。 有了这个,我和我的同事们认为Ubuntu 18.04 18.04.1目前尚未完成,并希望在Ubuntu 18.04.1 18.04.2中将家庭加密带回来(使用新的,更好的fscrypt
方法)。
在此之前,我们坚持使用Ubuntu 16.04。 我们已经使用ecryptfs
将所有机器切换到使用经典家庭加密的Linux Mint 19 Tara 。 阅读Linux Mint 19 Tara发行说明中关于ecryptfs
限制的“已知问题”部分,看看这是否可以接受:
(…) 请注意,在Mint 19和更新版本中,您的加密主目录在注销时不再卸载。
如果你已经尝试了fscrypt
并发现它被破坏了你的用法,你可以在下面的启动板错误中投票“这个bug也会影响我” :
- 的ubuntu / fscrypt / +错误/ 1768340
请注意, fscrypt
/ ext4-crypt
(未来的“加密主页”)是最快的选项,而ecryptfs
(旧的“加密主页”)是最慢的选项。 LUKS
(“加密整个驱动器”)位于中间。
因此,“方便”推荐整个磁盘加密。 因为如果你有非常大的项目有很多小文件,使用版本管理很多,做大编,等等,你会发现加密你的整个驱动器的过度杀伤实际上是值得的,而旧的ecryptfs类型的速度慢家庭加密。
最后,加密整个驱动器有许多缺点:
- 来宾帐户
- 家庭笔记本电脑与私人帐
- 使用类似PREY的防盗软件
令人费解的是,Canonical在他们的LTS版本上决定“我们不再需要它了” ,后者被称为更“严肃”的版本。
从Panther的答案这里全盘加密加密包括/ home在内的所有内容,而加密只有特定的目录,例如/ home只在你没有登录时才被加密。
要加密现有用户主目录:
首次注销该帐户并登录管理员帐户:
安装作业的加密实用程序:
sudo apt install ecryptfs-utils cryptsetup
从那个启动板错误 ecryptfs-utils现在在宇宙回购中。
迁移该用户的主文件夹:
sudo ecryptfs-migrate-home -u
后跟该帐户的用户密码
然后注销并登录加密用户帐户 – 重启前! 完成加密过程
在帐户内打印并记录恢复密码:
ecryptfs-unwrap-passphrase
您现在可以重新启动并登录。 一旦您满意,您可以删除备份主文件夹。
此外,如果要创建具有加密主目录的新用户:
sudo adduser --encrypt-home
欲了解更多信息: man ecryptfs-migrate-home ; man ecryptfs-setup-private
就个人而言,对于大多数用例,我几乎从不建议对任何人使用文件系统加密(FSE)。 有几个原因,其中最重要的是现有的,更有效的替代方案。 你们都说,只有两个选项,FSE或FDE(全盘加密)。 然而,事实并非如此。 实际上,还有另外两个选项可以使OP受益更大,即文件容器加密和加密存档。
文件容器加密就像Veracrypt这样的软件,以及现在已经不存在的Truecrypt。 大容量加密内置于大多数文件压缩归档软件(如Winzip和7zip)中,作为创建此类归档时的选项。
这两者都比FSE有许多优点,最明显的是当你不使用加密文件时你不需要将它们挂起。 这可以防止任何人能够访问谁能够覆盖用户配置文件密钥和屏幕锁定的保护。 此外,您可能会做一些愚蠢的事情,例如离开您的计算机,但忘记锁定屏幕,或允许某人使用计算机,并希望他们不会偷看您隐藏的目录。 此外,您可以轻松地一次移动大量文件,而无需以其他方式加密它们,因为容器是可移植的。
Veracrypt容器非常有用的一个优点是它们可以作为驱动器安装,并允许您使用单独的文件系统格式化它们,最好是非日志文件系统,如EXT2或FAT32。 日记文件系统可能会将信息泄露给攻击者。 但是,如果你所做的只是试图隐藏配偶的裸体照片,这可能与你无关。 另一方面,如果保姆恰好只有15岁,那么它可能会。 如果使用密钥文件,您还可以将它们设置为在启动时自动挂载。 但是,不推荐这样做,因为密钥文件需要存储在比FSE存储用户配置文件密钥的地方更不安全的地方。
两者都提供使用文件压缩的能力。 您也可以隐藏文件名,但使用压缩存档时并非总是如此,具体取决于所使用的某些压缩算法。
就个人而言,我对不会被移动的文件使用容器加密,并为将被移动或存储在云中的文件加密存档,因为它的文件较小。
使用容器加密仍然可以加密主目录。 也许将您的加密密钥存储在YubiKey上?
无论如何,我只是想为你提供一些其他海报没有提及的替代方案。 随意同意,或不同意我所说的任何事情。