Создание приватной шифрованной директории в Ubuntu 8.10 |
[исправить] |
В Ubuntu 8.10 появилась возможность создания в домашней директории пользователя каталога,
для хранения приватных данных, хранимых в зашифрованном виде (для шифрования
используется eCryptfs).
Для включения данной возможности нужно установить пакет ecryptfs-utils:
sudo aptitude install ecryptfs-utils
Создаем директорию для помещения шифрованных данных:
mkdir ~/Private
chmod 700 ~/Private
Монтируем ecryptfs (http://launchpad.net/ecryptfs) к созданной директории
(другой вариант запустить скрипт ecryptfs-setup-private, но он светит открытым
пароль в списке процессов):
sudo mount -t ecryptfs ~/Private ~/Private
На появившееся приглашение набираем "1" (passphrase) и вводим пароль, который будет использован
для доступа к зашифрованной директории. Шифр выбираем по умолчанию (aes/16).
Режим "passthrough" позволит отображать файлы, записанные в директорию при
отключении шифрования (до монтирования).
Отмонтируем директорию:
sudo umount ~/Private
Создаем в GNOME ярлык для быстрого монтирования. Жмем на десктопе правой
кнопкой мыши и выбираем "Create Launcher"/"Создать ярлык".
В параметрах добавляем:
Type: Application in Terminal
Name: Mount Private Folder
Command: sudo mount -t ecryptfs ~/Private ~/Private -o
key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n
При этом система в интерактивном режиме перед монтированием запросит пароль для
расшифровки раздела.
Вместо "~" нужно прописать полный путь к домашней директории.
Через опцию passphrase_passwd_file можно указать путь к файлу в который
сохранен пароль (например, его можно положить на Flash).
Но в этом случае лучше вместо режима passphrase использовать openssl, оперируя
SSL ключом, а не паролем.
Используя PAM модуль pam_ecryptfs.so можно автоматизировать подключение шифрованного
раздела при вхоже в систему, используя стандартный системный пароль в качестве
ключа для шифрования.
В /etc/pam.d/common-auth добавляем после pam_unix.so :
auth required pam_ecryptfs.so unwrap
В /etc/pam.d/common-session:
session optional pam_ecryptfs.so unwrap
Для автоматизации настроек и установки можно использовать скрипт ecryptfs-setup-pam.sh
|
|
|
|
Раздел: Корень / Безопасность / Шифрование, PGP |
1.1, prapor (??), 19:11, 12/02/2009 [ответить]
| +/– |
>key=passphrase
И тем самым сводим к нулю эффективность
| |
|
2.3, Аноним (-), 20:54, 12/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Почему ? passphrase это не открытый пароль, а ключ запроса ввода пароля в командной строки, открытый пароль передавался бы через переменную passphrase_passwd.
| |
|
1.2, denger (??), 20:52, 12/02/2009 [ответить]
| +/– |
А в папке Private продукция одной видеозаписывающей компании?
> И тем самым сводим к нулю эффективность
Можно зашифровать ярлык через GPG
| |
1.5, chuwy (?), 19:29, 13/02/2009 [ответить]
| +/– |
собственно я так понимаю это совет не только для ubuntu. допустим в gentoo тоже есть пакет ecryptfs-utils
| |
|
2.6, cobain (??), 17:42, 17/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
в gentoo есть pam_mount. ещё LUKS и dm-crypt.
и совет всем начинающим, если что то нужно зашифровать, сначало разбиритесь в алгоритмах как оно действует, иначе смысла нет...
| |
|
1.7, Mafk (?), 06:46, 18/02/2009 [ответить]
| +/– |
Переводчик сам то пробовал?
в комманде ланчера не хватает -o перед key=passphrase
С ~/Private по ярлыку не хотело монтироваться. пришлось писать полный путь /home/user/Private
| |
1.9, Александр (??), 22:04, 12/04/2009 [ответить]
| +/– |
у меня ubuntu 8.10 и после этой процедуры я не смог войти в систему... не пропускал и root'а в консольном режиме - пришлось грузиться с диска и удалять из файлов
/etc/pam.d/common-auth после pam_unix.so :
auth required pam_ecryptfs.so unwrap
В /etc/pam.d/common-session:
session optional pam_ecryptfs.so unwrap
| |
1.10, Al (??), 20:13, 25/08/2009 [ответить]
| +/– |
а как поступить если была произведена переустановка системы? те остался зашифрованный домашний каталог, а корень был затерт?
| |
|