ホームディレクトリ以外でecryptfsを使用する方法


14

ecryptfsを使用してランダムディレクトリ(主にホームパーティションのディスク領域の制限によるホームディレクトリまたはそのサブディレクトリではない)を暗号化し、アカウントにログインするときにそのディレクトリをマウントしたいと思います。これを行う方法がわかりません。または、既存のソフトウェアで本当に可能だとしてもです。あいまいな提案を提供する投稿を見ました(たとえば、mount.ecryptfs_privateALIASオプションで使用する)が、これを行う方法についての簡単なステップバイステップの手順をまだ見つけていません。誰かがこれらの指示を提供したり、どこにあるのかを教えてくれるでしょうか?


2
これは最も簡単な方法です:wiki.archlinux.org/index.php/…–
Rinzwind

1
このソリューションの私の問題は、暗号化されたホームディレクトリが既にあることです。のコードを見ると、ecryptsfs-setup-privateすでに暗号化された家があり、悪いことをすることを恐れて本当にやりたくない場合にどうなるかはわかりません。
user3004015

1
ダブルがとても難しいように見える理由を理解していますか?論理的なことは、暗号化されたストレージとフォルダを作成してそれらを自動マウントするための汎用システムを構築し、その上にホームディレクトリを実行するシステムを構築することだと思われますが、このソフトウェアはたくさん書かれているようです物事のハードワイヤード。ストレージは.Privateでなければならず、ディレクトリはPrivateでなければなりません。
user3004015

2
パスワードで保護されたzipファイルの使用は、暗号的に安全ではありません。同様のアプローチはを使用することgpgです。フォルダーを安全に保存したいmydata場合tar -c mydata | gpg --symmetric > mydata.tar.gpg && rm -rf mydata、データの保存とgpg --decrypt mydata.tar.gpg | tar -x復元に使用できます。秘密/公開鍵を簡単に使用して、データを保護することをお勧めします。この方法では、少量のデータのみを保存する必要があります。@Rinzwind
アルネL.

1
場合は、データを暗号化する目的を無効にしますrm -fR mydata。そのデータは、「削除」した後もディスクから回復できます。私はそれがどれほど安全かはわかりませんが、代わりに「再帰的な」断片に傾倒しますfind mydata -type f -exec shred -uz -- {} \;。シュレッディングは、ジャーナリングされていないファイルシステムと特定のデバイスタイプでのみ有効です。重要な場合は、最善の方法で調査する必要があります。これは安全な方法ではないと思います。このようなアーカイブの暗号化と復号化です。オッズは効果がないだろう。
バンバム

回答:


8

ecryptsfs-setup-privateとのような非常に簡単なスクリプトだけを見ています。ecryptsfs-mount-privateそれらは、あなたが探していると思われるより一般的なツールを使用しています:mount.ecryptfsecryptfs-add-passphrase。詳細については、彼らのmanページをご覧ください。

また、Rinzwindの投稿されたリンクには、必要なすべての情報があります。ページのさらに下の[手動設定]の下にあります。それらは非常に長いですが、非常に短いバージョンは次のようになります。


「手動セットアップ」方法(archlinux wiki)

まず、必要に応じてエイリアスを選択します。このセクションを通じて、ALIASは秘密になります。必要なディレクトリ/ファイルを作成します。

$ mkdir ~/.secret ~/secret ~/.ecryptfs
$ touch ~/.ecryptfs/secret.conf ~/.ecryptfs/secret.sig

~/.secretディレクトリには、暗号化されたデータを保持します。~/secretディレクトリがマウントポイントである~/.secretのeCryptfsファイルシステムとしてマウントされます。

[ここで実際のマウントパスフレーズを作成します(簡単なスクリプトはからランダムな32文字を選択します/dev/urandom)。

$ echo "$HOME/.secret $HOME/secret ecryptfs" > ~/.ecryptfs/secret.conf
$ ecryptfs-add-passphrase
Passphrase: 
Inserted auth tok with sig [78c6f0645fe62da0] into the user session keyring

前のコマンドの出力署名(ecryptfs_sig)を〜/ .ecryptfs / secret.sigに書き込みます。

$ echo 78c6f0645fe62da0 > ~/.ecryptfs/secret.sig
  • ファイル名の暗号化に2番目のパスフレーズを使用できます。選択した場合は、キーリングに追加します。

    $ ecryptfs-add-passphrase
    Passphrase: 
    Inserted auth tok with sig [326a6d3e2a5d444a] into the user session keyring
    

    上記のコマンドを実行する場合、その出力署名(ecryptfs_fnek_sig)を〜/ .ecryptfs / secret.sigに追加します。

    $ echo 326a6d3e2a5d444a >> ~/.ecryptfs/secret.sig
    

最後に、〜/ secretに〜/ .secretをマウントするには:

$ mount.ecryptfs_private secret

〜/ .secretをアンマウントするには:

$ umount.ecryptfs_private secret

  • または、自分で実際に手を汚し、ecryptfs-utilsなしの指示に従うことができます。

  • または、簡単なスクリプトecryptsfs-setup-private&を既に見ているecryptsfs-mount-private場合は、少しのスキルと忍耐で、それらをコピーして好みのディレクトリを指すように編集できる場合があります。

  • または、パスフレーズを何らかの方法で(安全にできれば)自分で保存し、man ecryptfsページの例のようにします(マニュアルページを読む必要があります)。

    The following command will layover mount eCryptfs on /secret with a passphrase
    contained in a file stored on secure media mounted at /mnt/usb/.
    
    mount  -t  ecryptfs -o key=passphrase:passphrase_passwd_file=/mnt/usb/file.txt /secret /secret
    
    Where file.txt contains the contents "passphrase_passwd=[passphrase]".
    

暗号化されたホームフォルダーとホーム内の暗号化されたフォルダーについて-ネストされたeCryptfsフォルダー

また、暗号化されたホームフォルダーは通常/home/.ecryptfs/user/、ファイルをに保存しますが、暗号化されたプライベートフォルダーには独自のホームフォルダー内にファイルがあります。両方を同時に使用することできません。eCryptfsは、ネストされた暗号化フォルダーを実行しません。しかし、暗号化された家と、家の外にある暗号化されたフォルダは大丈夫です。

  • 暗号化されたホームを持つ新しいユーザーを作成してみました sudo adduser --encrypt-home jack

    次の/home/.ecryptfs/フォルダを作成しました:

    • /home/.ecryptfs/jack/.ecryptfs/ -ログイン時にジャックのホームを自動マウントするためのパスフレーズと設定ファイルのラップ
    • /home/.ecryptfs/jack/.Private/-実際の暗号化されたホームファイル/home/jack/。ログイン時にマウントされます。

      また、/home/jack/フォルダもありますが、ログインしているかどうかに関係なくリンクが含まれています

      /home/jack/.ecryptfs/ -> /home/.ecryptfs/jack/.ecryptfs

    • 次に、私はジャックとしてログインしましたが、リンクはまだそこにあったので、実行しようとするecryptfs-setup-privateと、それは覗き込みました/home/jack/.ecryptfs/が、実際に既存のファイルを見る/home/.ecryptfs/jack/.ecryptfsため、別のパスワードファイルを作成して失敗しましたERROR: wrapped-passphrase file already exists, use --force to overwrite.

      暗号化されたホーム内で .secretフォルダーを使用して、上記の「エイリアス」の手順を試すと、次のエラーが発生して失敗しました。
      Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
      Reading sb failed; rc = [-22]

      「暗号化されたディレクトリ内の暗号化されたディレクトリのネストは、eCryptfsではサポートされていません。申し訳ありません。」-eCryptfs作成者およびメンテナー

    • 、ジャックの家のALIASフォルダの外を変更しようと/tmp/.secret//tmp/secret/ 作品。ただし、ジャックがログアウトした場合、新しい暗号化フォルダーはマウントされたままになるため、アンマウントする必要があります(umount.ecryptfs_private secret)。


1
簡略化された応答をありがとう。ただし、1つの質問:これは自動マウントの問題を処理しますか?これについてはごめんなさい。申し訳ありませんが、あなたが指定したウェブページとマニュアルページは、非標準的な状況で自動マウントを設定することに関して特に理解するのは簡単ではありません。暗号化されたホームディレクトリを既に持っているので、$ HOME / .ecryptfs / auto-mountとwrapped-passphraseを既に持っていますが、最初のものは空で、2番目のものは既に何かを持っています。新しいパスフレーズを追加して、ディレクトリを自動マウントするように指示する方法は、私には完全にはわかりません。
user3004015

少しテストして更新し、この男ragingpenguin.com/2012/12 / ... は、PAMでの自動マウントに関するArch Wikiガイドに従って運が良かったようですが、
Xen2050

あなたの努力に感謝します。ecryptfsディレクトリをネストすることには興味がありませんが、2番目のディレクトリを2番目の場所に自動マウントします。私は少し時間があればそれを動作させようとしますが、それは間違いなく明確ではありません
...-user3004015

それを1 mount行にトリムできます。.confファイルやキーを追加する必要はなくman ecryptfs、利用可能なオプションのページを読むだけです。次に、「ログイン時に実行」ファイルをスローします/home/user/.config/autostart/。しかし、不適切に保存された場合は、パスフレーズのセキュリティが危険にさらされる可能性があり
Xen2050

問題は、ecryptfsには、ログインパスワードで開かれるラッパー内に暗号化パスワードをラップする優れたシステムがあるということです。これにより、ecryptfsパスワードの保護が強化されます。.config / autostartに何かを入れても、スクリプトに入れるべきものを誤解しない限り、これが可能になるとは思わない。
user3004015

0

encfsのように使用する場合は、次のエントリを使用して実行できます。 /etc/fstab

/tmp/.geheim /tmp/geheim ecryptfs rw,no_sig_cache,ecryptfs_fnek_sig=1f7aefb9e239099f,ecryptfs_cipher=aes,ecryptfs_key_bytes=32,ecryptfs_enable_filename_crypto=y,ecryptfs_passthrough=n,passphrase_passwd=geheimpw,user,noauto 0 0

geheimは秘密のドイツ語ですが、キーワードではないことを保証します。最初にディレクトリを作成する必要があります。初めて離れる必要がありecryptfs_fnek_sig=1f7aefb9e239099fます。その後mount /tmp/geheim、正しい値が表示されます。

別の場所にパスワードを保存し、より洗練されたオプションを設定できます。すべてのオプションはにありman ecryptfsます。


-1
ecryptfs /destination/to/encrypted/storage /destination/to/seeing/unencrypted/data

例えば:

ecryptfs /home/$USER/EFILES /home/$USER/Downloads/RANDOMDIRECTORY

上記のコマンドを使用して、RANDOMDIRECTORYに保存されたファイルが暗号化され、EFILESに保存される暗号化システムを作成およびマウントします。

その他の注意事項。開始時にRANDOMDIRECTORYが空であることを確認してください。上記のコマンドを実行し、システムがマウントされて準備ができたら、RANDOMDIRECTORYに保存したファイルは、システムがマウントされている場合、EFILESに暗号化されます。すばやくマウント/アンマウントするには、bashスクリプトを作成してアプリのショートカットから実行するか、クイックマウント用のエイリアスコマンドを作成します。

私はもう1年以上これを使用しています。

編集:確認するために家に帰り、あなたのコマンドはecryptfsではありません。そのencfsすなわち

encfs /destination/encrypted /destination/unencrypted

ごめんなさい これにより、新しいプログラムをインストールする必要があります(おそらく)


1
コマンドを入力すると、ecryptfs見つからないコマンドに応答します。 man ecryptfsはのmanページを表示しますがmount -t ecryptfs、そのような暗号化されたファイルシステムの作成方法については実際には説明していません。
user3004015

Ubuntu 14.04 LTSを使用しているため、インストールは比較的新しいことに注意してください。あるecryptfsコマンドは、最近追加?
user3004015

encfsはecryptfsと同じではありません。これらは2つの異なるものです。
ダイアゴン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.