Bagaimana cara Mengenkripsi / beranda di Ubuntu 18.04?

Kecewa melihat bahwa penginstal 18.04 tidak lagi menawarkan opsi untuk mengenkripsi direktori home. Menurut ini laporan bug dirujuk dalam installer, metode yang direkomendasikan untuk enkripsi hari ini adalah full-disk dengan LUKS, atau fscrypt untuk direktori. Enkripsi cakram penuh sepertinya sedikit berlebihan untuk kebutuhan saya, dan semua bug dan peringatan yang disebutkan di Wiki tidak menjadikannya pilihan yang sangat menarik. Yang saya inginkan adalah melindungi direktori home saya dari seseorang yang mengakses dokumen, foto, dll. Jika laptop saya dicuri, menjadikan fscrypt opsi untuk saya.

Halaman fscrypt GitHub memiliki beberapa contoh tentang cara mengaturnya, tetapi saya tidak dapat menemukan dokumentasi yang ditujukan untuk mengenkripsi direktori home di Ubuntu. Alat ecryptfs lama masih tersedia, tetapi setelah pengaturannya Ubuntu kadang-kadang akan membeku di layar login.

Jadi pertanyaan saya adalah: Bagaimana cara mengatur fscrypt untuk mengenkripsi direktori / home saya dan mendekripsi ketika saya login? Saya juga menyukai bagaimana ecryptfs memungkinkan mendekripsi folder secara manual (mis. Dari gambar disk).

(Pertanyaan serupa telah diposting di sini dan sayangnya ditutup karena laporan bug "off-topic". Untuk memperjelas, ini bukan laporan bug. Fakta bahwa opsi direktori home terenkripsi telah dihapus dari penginstal disengaja. Semua saya Yang saya tanyakan di sini adalah cara mengatur fscrypt.)

Perbarui 2019-07

Saya menjalankan beberapa rumah terenkripsi dengan fscrypt. Instal sistem Anda tanpa enkripsi dan gunakan panduan ini untuk diterapkan fscryptdi rumah Anda.

Pastikan ke chmod 700rumah Anda dan / atau gunakan umask 077karena fscrypt tidak secara otomatis mengatur izin seperti ecryptfsdulu.

API untuk fscryptdapat berubah di masa mendatang, jadi pastikan untuk membuat cadangan file penting Anda jika Anda mencoba untuk meningkatkan sistem Anda.

(Fitur ini tidak banyak digunakan di Desktop. Gunakan dengan risiko Anda sendiri.)

Perbarui 2018-11

TL: DR; Anda dapat mencoba fscryptdi Ubuntu 18.10+ atau Linux Mint 19.1+

Sepertinya ini akhirnya diperbaiki. Berikut panduan pencegahan: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Saya tidak mengutip instruksi di sini karena memang memerlukan beberapa peretasan dan Anda akhirnya dapat kehilangan data rumah Anda.

Peringatan: Peringatan dari pengguna @dpg : "HATI-HATI: Saya mengikuti instruksi dari" panduan pre-emptive "(melakukannya di bawah tty), dan mendapat loop login tanpa batas."

Pertimbangkan panduan ini hanya untuk tujuan pendidikan.

Berikutnya adalah jawaban asli saya:

Jawaban Asli 2018-05

TL; DR: Gunakan enkripsi rumah klasik dengan Linux Mint 19 Tara .

fscrypt untuk enkripsi rumah masih rusak.

Bagaimana cara mengatur fscrypt untuk mengenkripsi direktori / home saya dan mendekripsi ketika saya masuk?

Ini adalah sesuatu yang banyak dari kita inginkan. Tampaknya tim Ubuntu tidak bisa ecryptfsbekerja bebas bug di Ubuntu 18.04, dan tidak bisa memperbaiki bug fscryptuntuk opsi enkripsi rumah pada waktunya untuk rilis Ubuntu 18.04 yang dijadwalkan.

Sebab fscrypt, setidaknya ada satu bug penting yang membuatnya tidak dapat digunakan untuk enkripsi rumah saat ini:

• fscrypt / issues / 77

Selain itu, kami membutuhkan cara yang transparan untuk mengautentikasi / membuka kunci sebelum ini merupakan alternatif yang realistis untuk enkripsi rumah tipe "lama" ecryptfs. Ini dilacak di sini:

• fscrypt / issues / 95

Dengan masalah ini terbuka, Anda dapat mempertimbangkan enkripsi rumah rusak pada saat ini. Dengan itu, kolega saya dan saya menganggap Ubuntu 18.04 18.04.1 belum selesai saat ini, dan berharap enkripsi rumah akan dikembalikan (menggunakan metode baru dan jauh lebih baik fscrypt) di Ubuntu 18.04.1 18.04.2.

Sampai saat itu, kami tetap menggunakan Ubuntu 16.04. Kami telah mengalihkan semua mesin kami ke Linux Mint 19 Tara dengan enkripsi rumah klasik ecryptfs. Baca bagian "masalah yang diketahui" di Catatan Rilis untuk Linux Mint 19 Tara tentang ecryptfsbatasannya, dan lihat apakah ini dapat Anda terima:

(...) perlu diketahui bahwa di Mint 19 dan rilis yang lebih baru, direktori home terenkripsi Anda tidak lagi dilepas pada saat logout.

Jika Anda telah mencoba fscryptdan menemukannya rusak untuk penggunaan Anda, Anda dapat memilih "bug ini mempengaruhi saya juga" di bug launchpad berikut:

• ubuntu / fscrypt / + bug / 1768340

Perhatikan bahwa fscrypt/ ext4-crypt("enkripsi rumah" masa depan) adalah opsi tercepat, dan ecryptfs("enkripsi rumah" lama) adalah pilihan paling lambat. LUKS("mengenkripsi seluruh drive") ada di tengah.

Karena alasan ini, seluruh enkripsi disk 'mudah' direkomendasikan. Karena jika Anda memiliki proyek yang sangat besar dengan banyak file kecil, gunakan manajemen revisi banyak, buat kompilasi besar, dan sebagainya, Anda akan menemukan bahwa terlalu banyak mengenkripsi seluruh drive Anda benar-benar layak dibandingkan dengan lambatnya tipe-ecryptfs lama enkripsi rumah.

Pada akhirnya, mengenkripsi seluruh drive memiliki beberapa kelemahan:

• Akun tamu
• Laptop keluarga dengan akun pribadi
• Menggunakan perangkat lunak anti pencurian seperti PREY

Sangat membingungkan bahwa Canonical memutuskan bahwa "kita tidak perlu ini lagi" pada versi LTS mereka, yang kemudian dikenal sebagai distribusi "serius" mereka.

Dari jawaban Panther di sini Enkripsi disk lengkap mengenkripsi semuanya termasuk / home sementara mengenkripsi hanya dir tertentu seperti / home hanya dienkripsi ketika Anda tidak login.

Untuk mengenkripsi direktori home pengguna yang ada:

Logout pertama dari akun itu dan masuk ke akun admin:

instal utilitas enkripsi untuk pekerjaan:

 sudo apt install ecryptfs-utils cryptsetup

dari itu launchpad bug ecryptfs-utils sekarang di repo semesta.

bermigrasi folder rumah dari pengguna itu:

sudo ecryptfs-migrate-home -u <user>

diikuti oleh kata sandi pengguna akun itu

Lalu logout dan masuk ke akun pengguna terenkripsi - sebelum reboot! untuk menyelesaikan proses enkripsi

Di dalam akun cetak dan catat frasa sandi pemulihan:

ecryptfs-unwrap-passphrase

Anda sekarang dapat reboot dan masuk. Setelah puas, Anda dapat menghapus folder beranda cadangan.

Juga jika Anda ingin membuat pengguna baru dengan direktori home terenkripsi:

sudo adduser --encrypt-home <user>

Untuk info lebih lanjut: man ecryptfs-migrate-home ; man ecryptfs-setup-private

Secara pribadi, saya hampir tidak akan merekomendasikan menggunakan Enkripsi Sistem File (FSE) kepada siapa pun, untuk sebagian besar kasus penggunaan. Ada beberapa alasan, yang paling tidak adalah fakta yang ada, dan alternatif yang lebih efektif. Anda semua berbicara seperti hanya ada dua opsi, baik FSE atau FDE (Enkripsi Disk Penuh). Namun, itu tidak terjadi. Bahkan, ada dua opsi lain yang akan menguntungkan OP jauh lebih besar, yaitu Enkripsi Wadah File dan Arsip Terenkripsi.

Enkripsi wadah file adalah perangkat lunak seperti Veracrypt, dan Truecrypt yang sekarang sudah mati ditulis untuk. Enkripsi kontainer dibangun ke sebagian besar perangkat lunak arsip kompresi file seperti Winzip dan 7zip, sebagai opsi saat membuat arsip seperti itu.

Keduanya sama-sama memiliki banyak kelebihan dibandingkan FSE, yang paling jelas adalah Anda tidak perlu membiarkan mereka tetap terpasang saat Anda tidak bekerja dengan file terenkripsi Anda. Itu mencegah siapa pun untuk dapat mengakses siapa yang bisa menimpa perlindungan kunci profil pengguna, dan kunci layar. Juga, Anda mungkin melakukan sesuatu yang bodoh, seperti menjauh dari komputer Anda, tetapi lupa mengunci layar, atau mengizinkan seseorang menggunakan komputer, dan berharap mereka tidak akan mengintip direktori tersembunyi Anda. Selain itu, Anda dapat dengan mudah memindahkan sejumlah besar file sekaligus, tanpa perlu mengenkripsi mereka dengan cara lain, karena wadahnya portabel.

Satu keuntungan bahwa wadah Veracrypt sangat berguna adalah kenyataan bahwa mereka dapat dipasang sebagai drive, dan yang memungkinkan Anda untuk memformatnya dengan sistem file terpisah, lebih disukai sistem file non-jurnal, seperti EXT2 atau FAT32. Sistem file jurnal berpotensi bocor informasi ke penyerang. Namun, jika semua yang Anda lakukan adalah menyembunyikan foto pribadi Anda, ini mungkin tidak semua yang relevan bagi Anda. Sebaliknya, jika Anda memiliki rahasia negara atau data yang dilindungi secara hukum, maka itu mungkin. Anda juga dapat mengatur mereka untuk secara otomatis me-mount saat boot up, jika menggunakan file kunci. Namun, itu tidak disarankan, karena file kunci perlu disimpan di tempat yang kurang aman daripada tempat FSE menyimpan kunci profil pengguna.

Keduanya menawarkan kemampuan untuk menggunakan kompresi file. Anda juga dapat menyembunyikan nama file, meskipun, tidak selalu terjadi ketika menggunakan arsip terkompresi, tergantung pada algoritma kompresi tertentu yang digunakan.

Secara pribadi, saya menggunakan enkripsi wadah untuk file yang tidak akan dipindahkan, dan arsip terenkripsi untuk file yang akan dipindahkan atau disimpan di cloud, karena itu ukuran file yang lebih kecil.

Mengenkripsi direktori Home masih dimungkinkan dengan enkripsi kontainer. Mungkin menyimpan kunci enkripsi Anda di YubiKey?

Ngomong-ngomong, saya hanya ingin menawarkan kepada Anda semua alternatif yang tidak disebutkan oleh poster-poster lain. Jangan ragu untuk setuju, atau tidak setuju dengan apa pun yang saya katakan.

Jika Anda, seperti saya sebelumnya, sedang melakukan instalasi baru Ubuntu 18.04 melalui Ubuntu 16.04 dan Anda sebelumnya telah mengenkripsi Anda /home, Anda akan melihat bahwa Anda tidak dapat login setelah instalasi. Yang perlu Anda lakukan adalah menginstal paket-paket yang terkait dengan ecryptfs:, sudo apt install ecryptfs-utils cryptsetupreboot dan login.

Untuk menginstal paket-paket tersebut Anda dapat login di tty cadangan sekali budgie telah memuat ( Cntrl+ Alt+ F1) atau masuk dalam mode pemulihan linux dan menginstalnya dari sana.