Ubuntu 18.04で/ homeを暗号化する方法は?

57

18.04インストーラーがホームディレクトリを暗号化するオプションを提供しなくなったことに失望しました。インストーラーで参照されているこのバグレポートによると最近の暗号化の推奨される方法は、LUKSを使用したフルディスク、またはディレクトリのfscryptです。フルディスク暗号化は私のニーズには少し行き過ぎだと思われ、Wikiで言及されているすべてのバグと注意事項は、それを非常に魅力的なオプションにしません。本当に欲しいのは、ラップトップが盗まれた場合に、誰かが私のドキュメントや写真などにアクセスすることからホームディレクトリを保護し、fscryptを私に選択させることです。

fscrypt GitHubのページには、それを設定する方法についていくつかの例がありますが、私はUbuntuの上のホームディレクトリを暗号化することを目的とした任意のドキュメントを見つけることができません。古いecryptfsツールは引き続き使用できますが、セットアップ後、Ubuntuがログイン画面でフリーズすることがあります。

私の質問は次のとおりです。ログイン時に/ homeディレクトリを暗号化し、復号化するためにfscryptを設定するにはどうすればよいですか?また、ecryptfsがフォルダを手動で(たとえば、ディスクイメージから)復号化できることも気に入りました。

(同様の質問がここに投稿されましたが、残念ながら「トピック外」のバグレポートであるため閉じられました。明確にするために、これはバグレポートではありません。ここで尋ねるのはfscryptのセットアップ方法です。)

encryption  home-directory  18.04 
elight24
ソース
2
@Panther LUKSでは、バックアップドライブに保存されているファイルを復号化できますか?私が尋ねる理由は、Macrium Reflectを使用してWindowsからシステム全体のバックアップを作成するためです。バックアップからいくつかのファイルを取り出す必要がある場合、バックアップされたファイルを復号化する方法が必要になります。ecryptfsを使用すると、ドライブを接続して、暗号化されたフォルダーに保存されているスクリプトを実行するだけで済みました。
elight24
7
では、16.04からホームフォルダーが暗号化されているが、インストーラーから「ホームフォルダーの暗号化」オプションがなくなっているため、新しいフォルダーをマウントできない場合はどうでしょうか。ログインすることさえできません。それはばかげています。
-SunnyDaze
2
@SunnyDaze手動でデータをマウントしなければならなかったのでしばらく経ちましたが、そのコマンドは「ecryptfs-mount-private」だったと思います。
elight24
3
ディスク全体でLUKSを使用すると混乱する可能性があります。これは、デュアルブートウィンドウでは機能しませんが、UbuntuパーティションでLUKSを使用すると、ウィンドウでのデュアルブートが正常に機能します。wikiページを読んでいません
Panther
2
完全なディスク暗号化は優れており、仕事をします。しかし、それがあなたのパソコンであり、あなたが唯一のユーザーである場合にのみ十分です。誰かが疑問に思っているならwhy encrypt the home?、多くのユーザーがいるとき、それは役に立ちます。ログインすると、自宅だけが復号化されますが、他のものは復号化されません
-AnthonyB

回答:

25

更新2019-07

で複数の暗号化されたホームを実行していfscryptます。暗号化せずにシステムをインストールし、このガイドを使用fscryptして自宅に実装します。

chmod 700umask 077fscryptは以前のようにアクセス権を自動的に設定しないので、必ず自宅ecryptfs使用してください。

API fscryptは将来変更される可能性があるため、システムをアップグレードする場合は、重要なファイルを必ずバックアップしてください。

(この機能はデスクトップでは広く使用されていません。自己責任で使用してください。)

2018-11の更新

TL:DR; fscryptUbuntu 18.10以降またはLinux Mint 19.1以降で試すことができます

これは最終的に修正されたようです。ここに先制ガイドがあります:http : //tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

ハックが必要であり、自宅のデータが失われる可能性があるため、ここでは説明を引用していません。

警告:ユーザー@dpgからの警告:「注意:私はその「プリエンプティブガイド」の指示に従い(ttyの下でそれを行いました)、無限のログインループになりました。」

このガイドは教育目的でのみ検討してください。

次は私の最初の答えです:

元の回答2018-05

TL; DR:Linux Mint 19 Taraで従来のホーム暗号化を使用します。

fscrypt 自宅の暗号化はまだ壊れています。

ログイン時に/ homeディレクトリを暗号化し、復号化するためにfscryptを設定するにはどうすればよいですか?

これは多くの人が望むものです。Ubuntuチームはecryptfs、Ubuntu 18.04でバグなしで作業することができずfscrypt、予定されているUbuntu 18.04のリリースに間に合うようにホーム暗号化オプションのバグを修正することもできなかったようです。

fscrypt現時点では家庭の暗号化のために、それが使用できなくなり、少なくとも1つの重要なバグは次のとおりです。

さらに、「古い」ecryptfsタイプのホーム暗号化の現実的な代替手段になる前に、認証/ロック解除の透過的な方法が必要になります。これはここで追跡されます:

これらの問題が未解決の場合、この時点でホーム暗号化が壊れていると考えることができます。それで、同僚と私は、Ubuntu 18.04 18.04.1が現時点では未完​​成であると考えており、ホーム暗号化がfscryptUbuntu 18.04.1 18.04.2で復活することを願っています。

その時まで、Ubuntu 16.04に固執しています。 我々は、すべての我々のマシンを切り替えているLinuxのミント19タラの古典的な家庭の暗号化を使用してecryptfsLinux Mint 19 Taraのリリースノートの制限について「既知の問題」セクションを読み、これが受け入れられるかどうかを確認します。ecryptfs

(...)Mint 19以降のリリースでは、暗号化されたホームディレクトリはログアウト時にアンマウントされないことに注意してください。

試しfscryptてみて、使用状況によって破損していることがわかった場合は、次のランチパッドのバグで「このバグも私に影響を与えます」と投票できます。

fscrypt/ ext4-crypt(将来の「ホームを暗号化する」)が最速のオプションであり、ecryptfs(古い「ホームを暗号化する」)が最も遅いオプションであることに注意してください。LUKS(「ドライブ全体を暗号化する」)は途中です。

このため、ディスク全体の暗号化を「便利に」お勧めします。多数の小さなファイルを含む非常に大きなプロジェクトがあり、リビジョン管理を頻繁に使用し、大きなコンパイルなどを行う場合、ドライブ全体を暗号化するのはやり過ぎであることが、古いecryptfsタイプの遅さに比べて実際に価値があることがわかりますホーム暗号化。

最終的に、ドライブ全体の暗号化には複数の欠点があります。

  • ゲストアカウント
  • プライベートアカウントを持つ家族のラップトップ
  • PREYのような盗難防止ソフトウェアを使用する

Canonical がLTSバージョンで「これはもう必要ない」と決定したのは不可解です。これは、より「深刻な」ディストリビューションとして知られるようになりました。

レッサンドロ
ソース
2
Ubuntu 18.04.1は本日リリースされ、両方のバグが未解決のままです。18.04.2でfscryptを見たいと思っていますが、今は少し楽観的ではありません。更新してください!
ノニームース
2
@NonnyMooseが更新されました- 投稿の途中の太字のセクションをご覧ください。
レッサンドロ
3
うわー!人々が16.04から18.04にアップグレードすると、〜!?はどうなりますか?
MaxB
2
注意:私はその「先制ガイド」の指示に従い(ttyの下でそれを行いました)、無限のログインループを取得しました。18.10の新規インストールで2回試して同じ結果を得ました。
ペトロクリフ
2
暗号化後に誰かが無限のログインループに入ったが、ttyでログインできる場合。私の場合、/home/myuserディレクトリの所有者が間違っていたことが原因でした。何らかの理由でルートであったため、所有者をユーザーに変更すると問題が解決しました。
ペトロクリフ
8

ここパンサーの答えあなたがログインしていないとき、/ homeなどの唯一の特定のディレクトリを暗号化するだけencyptedされている間のフルディスク暗号化/家を含め、すべてを暗号化します。

既存のユーザーのホームディレクトリを暗号化するには:

そのアカウントの最初のログアウトと管理者アカウントへのログイン:

ジョブの暗号化ユーティリティをインストールします。

 sudo apt install ecryptfs-utils cryptsetup

そのランチパッドのバグからecryptfs-utilsがユニバースリポジトリにあります。

そのユーザーのホームフォルダーを移行します。

sudo ecryptfs-migrate-home -u <user>

その後にそのアカウントのユーザーパスワードが続きます

次に、再起動する前に、暗号化されたユーザーアカウントからログアウトしてログインします。暗号化プロセスを完了する

アカウント内で、回復パスフレーズを印刷して記録します。

ecryptfs-unwrap-passphrase

これで、再起動してログインできます。満足したら、バックアップホームフォルダーを削除できます。

また、暗号化されたホームディレクトリを使用して新しいユーザーを作成する場合:

sudo adduser --encrypt-home <user>

詳細情報:man ecryptfs-migrate-home ; man ecryptfs-setup-private

ptetteh227
ソース
2
答えてくれてありがとう、ptetteh。先日、この方法を試しましたが、ログイン時に問題が発生するようでした。ログイン画面でフリーズし、再起動が必要になることがありました。18.04を再インストールしたのは、それが問題を引き起こしている他の何かではないことを確認するためだけで、これまでのところすべてが問題ないようです。ecryptfsがデフォルトで含まれるとは考えられない場合、LUKSまたはfscryptを使用するのが最善だと思います。
elight24
1
クリーンインストール(18.04.1)で機能しました。「リカバリモード」で実行する必要がありました。アンラップはログイン時に必要ではなかったため、通知され、生成されたパスフレーズを書き留めるように要求されます。ありがとう!
lepe
2
ホームディレクトリに長いパス名(140文字以上)がある場合、ecryptfsは機能しません。unix.stackexchange.com/questions/32795/…を
セバスチャンスターク
1

個人的には、ほとんどのユースケースでFile System Encryption(FSE)を使用することはほとんどお勧めしません。いくつかの理由がありますが、少なくともその事実は既存の事実であり、より効果的な代替案です。FSEまたはFDE(フルディスク暗号化)の2つのオプションしかないように話します。ただし、そうではありません。実際、ファイルコンテナの暗号化と暗号化されたアーカイブの2つのオプションがあります。

ファイルコンテナの暗号化は、Veracryptのようなソフトウェアであり、現在では機能しないTruecryptが記述されています。コンテナの暗号化は、Winzipや7zipなどのほとんどのファイル圧縮アーカイブソフトウェアに、このようなアーカイブを作成する際のオプションとして組み込まれています。

この2つには、FSEよりも多くの利点があります。最も明白なのは、暗号化されたファイルを操作していない間、それらをマウントしたままにする必要がないことです。これにより、ユーザープロファイルキーと画面ロックの保護を上書きできるユーザーにアクセスできなくなります。また、コンピューターから離れるなど、愚かなことをするかもしれませんが、画面をロックすることを忘れるか、誰かがコンピューターを使用できるようにし、隠されたディレクトリを覗かないように望みます。また、コンテナは移植性があるため、別の方法で暗号化する必要なく、一度に大量のファイルを簡単に移動できます。

Veracryptコンテナが非常に有用な利点の1つは、ドライブとしてマウントできることと、別のファイルシステム(できればEXT2やFAT32などの非ジャーナリングファイルシステム)でフォーマットできることです。ジャーナリングファイルシステムは、情報を攻撃者に漏らす可能性があります。ただし、個人的な写真を非表示にしている場合、これはあなたに関係のないものかもしれません。一方、州の秘密や法的に保護されたデータがある場合は、そうなる可能性があります。キーファイルを使用している場合は、起動時に自動的にマウントするように設定することもできます。ただし、FSEがユーザープロファイルキーを保存する場所よりも安全性の低い場所にキーファイルを保存する必要があるため、これはお勧めしません。

どちらもファイル圧縮を使用する機能を提供します。ファイル名を非表示にすることもできますが、使用される特定の圧縮アルゴリズムによっては、圧縮アーカイブを使用する場合は常にそうとは限りません。

個人的には、移動されないファイルにはコンテナ暗号化を使用し、クラウドに移動または保存されるファイルには暗号化されたアーカイブを使用します。ファイルサイズが小さいためです。

ホームディレクトリの暗号化は、コンテナ暗号化を使用して引き続き可能です。暗号化キーをYubiKeyに保存しますか?

とにかく、私はあなたに、他のポスターから言及されていないいくつかの代替案を提供したかっただけです。私が言ったことに自由に同意するか、同意しない。

ミスターサイファーパンク
ソース
8
こんにちは。あなたの「ベビーシッター」の例についていくつかコメントがあります。-第一に、多くの場所で、人々はデフォルトで平均的なベビーシッターがティーンエイジャーであると予想するかもしれません。第二に、私はただ、有罪の秘密を隠すよりも暗号化の方がはるかに優れたユースケースがあることを確認したいだけです。
mwfearnley
コンテナは固定サイズであり、ファイルシステムの暗号化(fscrypt、eCryptfs、EncFSなど)はファイルと同じ容量しか占有せず、それに応じて拡大および縮小できます。QED。PS eCryptfsはホーム内の1つのディレクトリのみを暗号化でき、気まぐれにしか解読できないことを知らないようです。
Xen2050
3
正直なところ、この答えは有用ですが、内容は不快です。単に暗号化を犯罪行為に関連付けるためです。メディアに十分な量がないかのように。暗号化は、犯罪行為から保護するためのものです。このため、私は賛成できません。編集が行われると、このコメントは削除されます。
トッド
1
ルート(uid:0)を信頼できない場合、暗号化にシステムを使用できないことに注意してください(FSE、コンテナ、またはアーカイブ)。暗号化を開き、安全にロックせずにシステムから離れると、すべての暗号化システムは脆弱です。また、ファイルシステム全体を暗号化しない場合、シークレットファイルにアクセスするすべてのアプリケーションが、安全なパーティション外で暗号化されていないコピーを作成する可能性があることを理解する必要があります。
ミッコランタライネン
0

私のように、Ubuntu 16.04の上にUbuntu 18.04を新規インストールし、以前にを暗号化/homeしたことがある場合、インストール後にログインできないことがわかります。必要なのは、ecryptfs関連パッケージをインストールすることだけです: sudo apt install ecryptfs-utils cryptsetup、再起動してログインします。

これらのパッケージをインストールするには、budgieがロードされたら(Cntrl+ Alt+ F1)予備のttyにログインするか、Linux復旧モードに入り、そこからインストールします。

アクロニクス
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.