ディレクトリを暗号化する最も簡単な方法は何ですか?(Ubuntuの場合)


13

Ubuntuベースのシステムでディレクトリを暗号化する最も簡単な方法は何ですか?

Ubuntu 10.04を実行しているラップトップがあり、その上に(ラップトップを紛失した場合)安全に保管する必要のあるドキュメントがあるとします。

ドキュメントのすべてが〜/ work /というディレクトリにあり、このディレクトリの外に秘密はないとします。したがって、ホームディレクトリ全体を暗号化する必要はありません。

このディレクトリをコマンドラインからロック/ロック解除する方法があります。

これを行うにはいくつかの異なる方法があるようです:

  • ecryptfs-utils
  • cryptsetup
  • truecrypt(ただし、OSIが承認したオープンソースではありません)

しかし、最も簡単で信頼性の高い方法は何ですか?

ありがとうヨハン


更新:関連する質問ですが、同じではありませんubuntu 10.04ですべてのファイルを暗号化する最も簡単な方法は何ですか?


2
TruecryptがOSIで承認されていない場合、誰が気にしますか?承認されたOSIは優れたソフトウェアとは異なります。Truecryptは最高の環境であり、いくつかのケースでFBIを妨害しました。
TheLQ

3
OSI承認済みライセンスを使用するソフトウェアの方が安全だと感じています。
ヨハン

回答:


10

3つの方法があります:パーティションでの暗号化ボリュームのセットアップ(dm-cryptで構成cryptsetup)、暗号化ボリュームであるファイルのセットアップ(truecrypt)、各ファイルが個別に暗号化されるディレクトリのセットアップ(ecryptfsまたはencfs)。

暗号化されたボリュームを設定すると、ファイルのメタデータ(サイズ、変更時間)が見えなくなるため、もう少し機密性が高くなります。欠点は、柔軟性が低いことです(事前に暗号化ボリュームのサイズを決定する必要があります)。eCryptfsのよくある質問は 2つのアプローチのいくつかの違いを示しています。

あなたがファイルごとにファイルを暗号化することを選択した場合、私は2つのオプションを知っています:ecryptfsencfs。前者はカーネル内ドライバーを使用し、後者はFUSEを使用します。これによりecryptfs、速度が向上します。encfsルートとして何もする必要がないので、柔軟性の利点があります。考えられる利点はecryptfs、初期セットアップを完了すると、pam_ecryptfsモジュールのおかげでログインパスワードをファイルシステムパスワードとして使用できることです。

同様の状況で自分自身で使用する場合、encfs他のソリューションに対する実際のセキュリティ上の利点が見られなかったため、使いやすさが決定要因であったため、を選択しました。パフォーマンスは問題ではありませんでした。ワークフローは非常に単純です(最初の実行でencfsファイルシステムが作成されます):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

また、スワップスペースや、一時的な機密ファイルが書き込まれる可能性のある場所(/tmpおよび/var/spool/cups(機密ファイルを印刷する場合)など)も暗号化することをお勧めします。cryptsetupスワップパーティションを暗号化するために使用します。最も簡単な対処方法/tmpは、次のようにマウントすることでメモリに保持することですtmpfs(いずれの場合でも、これによりパフォーマンスがわずかに向上する可能性があります)。


/ tmpについては考えませんでしたが、tmpfsはこの問題をうまく解決します。実際にシャットダウンするだけです。
ヨハン

1
教えてくれてありがとうencfs!これは素晴らしいです!
user39559

1

私はそのようなことだけにTrueCryptを使用しています。OSIが承認したかどうかに関係なく、私はそれを決してがっかりさせないことがわかり、暗号化を複数回必要としました。


1

迅速かつ簡単な方法はにあるtarcompressし、その後bcrypt

tar cfj safe-archive.tar.bz2ディレクトリ/ 
bcrypt safe-archive.tar.bz2 
#8文字のパスワードを2回要求してロックします。
#ただし、この後は必ずディレクトリを削除してください。
rm -rfディレクトリ/ 
#そして、パスワードを忘れないでください。そうしないと、データが消えてしまいます!

作るsafe-archive.tar.bz2.bfe-あなたはそれについて偏執的に感じる場合は、名前を変更することができます。

暗号化されたパックを開くには、

bcrypt safe-archive.tar.bz2.bf3#または、あなたがそれを呼んだもの
tar xfj safe-archive.tar.bz2 
#そして、あなたのディレクトリが戻ってきました!

もっと面倒な準備ができたらtruecrypt、暗号化ボリュームを作成することをお勧めします。
しかし、私はそれが通常のデータに必要だとは思わない(例えば、国家安全保障に関係しないなど)。

追伸:bcryptが弱いとか、国家安全保障に無理があるとは言っていません。


上記の私の答えに対するコメントに返信してください。
私は簡単な答えを出そうとしました-そして、Truecryptを最初のオプションとして提案しないという私の選択は、ここのいくつかにとって不適切かもしれないことに同意します。

質問は、ディレクトリを暗号化する簡単な方法を求めています。
ここでのセキュリティの尺度は、2つのことに基づいています。

  1. 何を保護し、
  2. 誰から保護しますか

私はこれをあなたの「パラノイア」のレベルとして評価します。

さて、Truecrypt(または他の同様の方法)が高価である
ことは言うまでもありませんが、私が言いたいのは、tmpfsで実行されるbcryptシーケンスで今日の日常使用に十分であるということです
(おそらく10年ほどで、推測しますが、それは本当に今のところです)。
また、ここで保護されているデータの価値は、mona-lisaクラスの「回復」の試みに匹敵するものではないと想定しています。

それでは簡単な質問です。誰かが電源が入っていないラップトップをつかんで、コールドRAMスペースからデータを回復しようとすることを期待しますか?
その場合、おそらく最初にハードウェアソフトウェアを再検討し、接続しているISP、キー入力を聞くことができるISPなどを確認する必要があります。

ps:Truecryptが好きで、それを使用しています。OSI準拠またはそれの欠如は、実際には重要ではありません。そして、私はステージングbcryptではなく、ここで提案するスキームはそれに対抗するものです。


2
答えは1ですが、真に偏執的な私たちにとっては...データの価値によっては、これは悪い考えかもしれません。ユーザーは、この方法で削除されたディレクトリのファイルがディスク上に残され、「悪者」によって回復される可能性があることを認識しなければなりません。ただ、それがどのように安全に見るための「Linuxで削除されたファイルを回復する」ためにSUを見て回る...
布袋

@hotei、はい、Truecryptそのような合併症に取り組みます。別のトリックはtmpfs、暗号化されたディレクトリを操作するためにRAM上のマウントを使用するbfeことです-ramdiskにコピーし、そこで作業し、再び暗号化し、暗号化されたアーカイブをファイルシステムに保存します。
ニック

2
@hoteiよりも一歩進んで、ファイルを簡単に復元できるので、これは実際には暗号化ほどの品質ではないと言います(ファイル復元専用の市場があります)。暗号化は暗号化である必要があります。これは、暗号化の唯一の誤った感覚である
TheLQ

2
@nik:hoteiが説明したように、回答のメソッドは安全ではないだけでなく、エラーが発生しやすくなります(復号化されたファイルを削除するのを忘れたらどうしますか?)。使用の提案でさえtmpfs非常に危険です。ファイルを再暗号化するのを忘れて、変更を失うとどうなりますか?コンピューターがクラッシュした場合(変更内容はすべて失われます)また、不必要に複雑です。適切なツールを使用してこの問題を解決する実際の方法はたくさんありますが、そのうちの1つを使用してください。
ジル「SO-悪であるのをやめる」

1
@nik近くの大学で、RAMが1時間オフになった後でも、メモリにロードされたモナリザの写真を作成できることを示す展示がありました。すぐにマシンを再起動しない限り、RAMからデータを簡単に回復できます。Truecrypt、IIRCは、RAMを暗号化します。
digitxp

1

ノートパソコンを紛失することだけが心配な場合は、Ubuntuがecryptfsすでにセットアップされています。

ユーザーアカウントを作成し、適切なパスワードを設定するときに「暗号化されたホームディレクトリ」を選択するだけです。これにより、ホームフォルダー内にあるものはすべて保護されます。

はい、それ以上暗号化されますが~/work、シームレスです。

以下のための/tmp使用tmpfs

長所:

  • 他に何もする必要はありません。Ubuntuがすべてを行います。
  • あなたの友人はあなたのコンピュータを外出先で使用するかもしれません、彼らはあなたのファイルにアクセスしたい場合にのみパスワードを必要とします。

短所:

  • リークデータを作成する場所は他にもあります。Gillesの答えが最も完全です(彼にとっては+1)。

したがって、何らかの法医学の専門家が、あなたが印刷したものからデータを取得しようとすると思わない場合、これで十分です。

ecryptfs同様にスワップを暗号化することもできますが、RAMを使い果たしたことが発生しない限り、スワップを無効にすることをお勧めします。人生はスワップなしでより良いです。(または単に実行ecryptfs-setup-swapし、指示に従ってfstabを変更します)


警告:いずれにせよ、このラップトップを手に入れたばかりでない限り、ハードディスクには多くのものがすでに書き込まれています。私は私のものをたくさん見つけましたが、それをクリアするものは何もありませんでした。別のドライブまたはパーティションにバックアップを作成し、現在のファイルシステムをゼロで上書きし、ファイルを復元する必要があります(もちろん、暗号化が設定された後にのみ機密ファイルを復元します)。


1

これを設定する最も簡単で最速の方法は、ecryptfs-utilscryptkeeperをインストールすることです:

sudo apt-get install ecryptfs-utils cryptkeeper

次に、完了したら、システムトレイを確認します。2つのキーのアイコンが表示されます。それをクリックして、「新規暗号化フォルダー」を選択します。名前を入力し、「進む」ボタンをクリックします(奇妙なことに、右ではなく左下にあります)。次に、必要なパスワードを入力して再確認し、もう一度[転送]をクリックしてから[OK]をクリックします。

これにより、暗号化されたフォルダがマウントされ、ファイルをコピーできます。完了したら、そのマウントされたフォルダーをログアウトまたはチェック解除すると(システムトレイの[キー]アイコンをクリックして)、再マウントする前に再度パスワードが必要になります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.