Como criptografar / home no Ubuntu 18.04?

Desapontado ao ver que o instalador 18.04 não oferece mais a opção de criptografar o diretório inicial. De acordo com este relatório de bug mencionado no instalador, o método recomendado para criptografia atualmente é o disco completo com LUKS ou fscrypt para diretórios. A criptografia de disco completo parece um pouco exagerada para minhas necessidades, e todos os bugs e advertências mencionados no Wiki não o tornam uma opção muito atraente. Tudo o que eu realmente quero é proteger meu diretório pessoal de alguém acessando meus documentos, fotos, etc., se meu laptop for roubado, tornando a opção fscrypt a minha opção.

A página fscrypt GitHub tem alguns exemplos de como configurá-lo, mas não consigo encontrar nenhuma documentação destinada a criptografar o diretório inicial no Ubuntu. A antiga ferramenta ecryptfs ainda está disponível, mas depois de configurada, o Ubuntu às vezes congelava na tela de login.

Portanto, minha pergunta é: Como eu configuro o fscrypt para criptografar meu diretório / home e descriptografar quando eu faço login? Eu também gostei de como o ecryptfs permitia descriptografar a pasta manualmente (por exemplo, a partir de imagens de disco).

(Uma pergunta semelhante foi publicada aqui e infelizmente foi encerrada por ser um relatório de erro "fora de tópico". Para esclarecer, este não é um relatório de erro. O fato de a opção de criptografia do diretório inicial ter sido removida do instalador foi intencional. Estou perguntando aqui é como configurar o fscrypt.)

Atualização 2019-07

Estou executando várias casas criptografadas com fscrypt. Instale seu sistema sem criptografia e use este guia para implementar fscryptem sua casa.

Certifique-se de chmod 700sua casa e / ou uso, umask 077porque o fscrypt não define automaticamente as permissões como ecryptfscostumava fazer.

A API fscryptpode mudar no futuro, portanto, faça backup de seus arquivos importantes se você tentar atualizar seu sistema.

(Esse recurso não é amplamente usado em Desktop. Use por seu próprio risco.)

Atualização 2018-11

TL: DR; Você pode tentar fscryptno Ubuntu 18.10+ ou Linux Mint 19.1+

Parece que isso foi finalmente corrigido. Aqui está um guia preventivo: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Não estou citando instruções aqui, porque requer alguns hacks e você pode acabar perdendo seus dados domésticos.

Aviso: Um aviso do usuário @dpg : "CUIDADO: segui as instruções desse" guia preventivo "(fiz isso sob tty) e obtive um loop infinito de login".

Considere este guia apenas para fins educacionais.

Em seguida é a minha resposta original:

Resposta original 2018-05

TL; DR: use criptografia doméstica clássica com o Linux Mint 19 Tara .

fscrypt para criptografia doméstica ainda está quebrado.

Como eu configuro o fscrypt para criptografar meu diretório / home e descriptografar quando faço login?

Isso é algo que muitos de nós queremos. Parece que a equipe do Ubuntu não conseguiu ecryptfstrabalhar sem bugs no Ubuntu 18.04 e não conseguiu consertar os bugs fscryptpara uma opção de criptografia doméstica a tempo do lançamento agendado do Ubuntu 18.04.

Pois fscrypt, há pelo menos um bug crítico que o torna inutilizável para criptografia doméstica no momento:

• fscrypt / Issues / 77

Além disso, precisaríamos de uma maneira transparente de autenticação / desbloqueio antes que ela seja uma alternativa realista à criptografia doméstica "antiga" do tipo ecryptfs. Isso é rastreado aqui:

• fscrypt / Issues / 95

Com esses problemas abertos, você pode considerar a criptografia doméstica interrompida neste momento. Com isso, meus colegas e eu consideramos o Ubuntu 18.04 18.04.1 inacabado no momento e esperamos que a criptografia doméstica seja recuperada (usando o método novo e muito melhor fscrypt) no Ubuntu 18.04.1 18.04.2.

Até esse momento, estamos mantendo o Ubuntu 16.04. Mudamos todas as nossas máquinas para o Linux Mint 19 Tara com a criptografia doméstica clássica usando ecryptfs. Leia a seção "problemas conhecidos" nas Notas da versão do Linux Mint 19 Tara sobre as ecryptfslimitações e veja se isso é aceitável para você:

(...) lembre-se de que no Mint 19 e em versões mais recentes, seu diretório pessoal criptografado não é mais desmontado no logout.

Se você tentou fscrypte achou que estava quebrado para o seu uso, pode votar em "esse bug também me afeta" no seguinte bug da barra de ativação:

• ubuntu / fscrypt / + bug / 1768340

Observe que fscrypt/ ext4-crypt(futura "criptografar casa") é a opção mais rápida e ecryptfs(antiga "criptografar casa") é a opção mais lenta. LUKS("criptografar a unidade inteira") está no meio.

Por esse motivo, a criptografia de disco inteira é 'convenientemente' recomendada. Como se você tem projetos muito grandes com muitos arquivos pequenos, usa muito o gerenciamento de revisões, faz grandes compilações, etc., verá que o exagero de criptografar toda a sua unidade realmente vale a pena em comparação com a lentidão do antigo tipo ecryptfs criptografia doméstica.

No final, a criptografia de toda a unidade tem várias desvantagens:

• Conta de visitante
• Família laptop com contas privadas
• Usando software anti-roubo semelhante ao PREY

É surpreendente que a Canonical tenha decidido que "não precisamos mais disso" em sua versão LTS, que passou a ser conhecida como sua distribuição mais "séria".

Da resposta da Panther aqui A criptografia de disco completo criptografa tudo, incluindo / home, enquanto criptografa apenas um diretório específico, como / home, é criptografado apenas quando você não está conectado.

Para criptografar um diretório pessoal de usuários existentes:

Primeiro faça logoff dessa conta e faça login em uma conta de administrador:

instale os utilitários de criptografia para o trabalho:

 sudo apt install ecryptfs-utils cryptsetup

a partir dessa barra de ativação, o ecryptfs-utils está agora no repositório do universo.

migre a pasta pessoal desse usuário:

sudo ecryptfs-migrate-home -u <user>

seguido pela senha do usuário dessa conta

Em seguida, efetue logout e login na conta de usuários criptografados - antes de reiniciar! para concluir o processo de criptografia

Dentro da conta, imprima e registre a senha de recuperação:

ecryptfs-unwrap-passphrase

Agora você pode reiniciar e fazer login. Quando estiver satisfeito, você pode excluir a pasta inicial de backup.

Além disso, se você deseja criar um novo usuário com o diretório inicial criptografado:

sudo adduser --encrypt-home <user>

Para mais informações: man ecryptfs-migrate-home ; man ecryptfs-setup-private

Pessoalmente, eu quase nunca recomendaria o uso do File System Encryption (FSE) para ninguém, na maioria dos casos de uso. Existem várias razões, entre as quais se destacam as alternativas existentes e mais eficazes. Todos vocês falam como se houvesse apenas duas opções, FSE ou FDE (Full Disk Encryption). No entanto, esse simplesmente não é o caso. De fato, existem duas outras opções que beneficiariam muito o OP, sendo elas: Criptografia de Contêiner de Arquivos e Arquivos Criptografados.

A criptografia de contêiner de arquivo é para qual software como o Veracrypt, e agora o Truecrypt agora extinto. A criptografia de contêiner é incorporada à maioria dos softwares de arquivamento de compactação de arquivos, como o Winzip e o 7zip, como uma opção ao criar esse arquivo.

Os dois têm muitas vantagens sobre o FSE, sendo o mais óbvio que você não precisa deixá-los montados enquanto não estiver trabalhando com seus arquivos criptografados. Isso impede que alguém possa acessar quem pode substituir as proteções da chave do perfil do usuário e do bloqueio de tela. Além disso, você pode fazer algo estúpido, como se afastar do computador, mas esqueça de bloquear a tela ou permitir que alguém use o computador, esperando que eles não espreitem seus diretórios ocultos. Além disso, você pode mover facilmente grandes quantidades de arquivos por vez, sem precisar criptografá-los de outra maneira, pois os contêineres são portáteis.

Uma vantagem dos contêineres da Veracrypt serem tão úteis é o fato de poderem ser montados como uma unidade e permitir que você os formate com um sistema de arquivos separado, de preferência um sistema de arquivos sem registro no diário, como EXT2 ou FAT32. O sistema de arquivos de registro em diário pode vazar informações para um invasor. No entanto, se tudo o que você está fazendo é ocultar suas fotos pessoais, isso pode não ser tão relevante para você. Se, por outro lado, você tiver segredos de estado ou dados protegidos legalmente, é possível. Você também pode configurá-los para montar automaticamente na inicialização, se estiver usando um arquivo de chave. No entanto, isso não é recomendado, pois o arquivo da chave precisaria ser armazenado em algum lugar menos seguro do que onde o FSE armazena a chave do perfil do usuário.

Ambos oferecem a capacidade de usar a compactação de arquivos. Você também pode ocultar os nomes dos arquivos, embora nem sempre seja o caso ao usar arquivos compactados, dependendo do algoritmo de compactação usado.

Pessoalmente, uso criptografia de contêiner para arquivos que não serão movidos e arquivamentos criptografados para arquivos que serão movidos ou armazenados na nuvem, pois é um tamanho de arquivo menor.

Criptografar um diretório inicial ainda é possível com a criptografia de contêiner. Talvez armazene sua chave de criptografia em um YubiKey?

Enfim, eu só queria oferecer a você algumas alternativas que não estavam sendo mencionadas pelos outros pôsteres. Sinta-se livre para concordar ou discordar de qualquer coisa que eu tenha dito.

Se você, como eu estava, está fazendo uma nova instalação do Ubuntu 18.04 sobre o Ubuntu 16.04 e você já criptografou o seu /home, verá que não poderá fazer o login após a instalação. Tudo que você precisa fazer é instalar os pacotes relacionados ao ecryptfs:, sudo apt install ecryptfs-utils cryptsetupreinicie e faça o login.

Para instalar esses pacotes, você pode fazer login em um tty sobressalente após o carregamento do budgie ( Cntrl+ Alt+ F1) ou entrar no modo de recuperação linux e instalá-lo a partir daí.