Comment chiffrer / home sur Ubuntu 18.04?

57

Déçu de constater que le programme d'installation de 18.04 n'offre plus la possibilité de chiffrer le répertoire de base. Selon ce rapport de bogue référencé dans le programme d'installation, la méthode recommandée pour le cryptage est le disque complet avec LUKS ou fscrypt pour les répertoires. Le chiffrement de disque complet semble un peu excessif pour mes besoins, et tous les bogues et mises en garde mentionnés sur le wiki ne rendent pas cette option très attrayante. Tout ce que je veux vraiment, c’est protéger mon répertoire personnel contre tout accès de mes documents, photos, etc. par mon ordinateur portable, en cas de vol de mon ordinateur portable, ce qui me permet de choisir fscrypt.

La page fscrypt GitHub a quelques exemples sur la façon de le configurer, mais je ne trouve aucune documentation visant à chiffrer le répertoire de base sur Ubuntu. L'ancien outil ecryptfs est toujours disponible, mais après l'avoir configuré, Ubuntu se figeait parfois à l'écran de connexion.

Ma question est donc la suivante: comment configurer fscrypt pour chiffrer mon répertoire / home et le déchiffrer lorsque je me connecte? J'ai également apprécié la manière dont ecryptfs permettait de déchiffrer le dossier manuellement (par exemple, à partir d'images de disque).

(Une question similaire a été postée ici et était malheureusement fermée car elle constituait un rapport de bogue "hors sujet". Pour clarifier, il ne s'agit pas d'un rapport de bogue. Le fait que l'option de chiffrement du répertoire de base ait été supprimée de l'installateur était intentionnel. Je demande ici comment configurer fscrypt.)

elight24
la source
2
@Panther LUKS permet-il de décrypter des fichiers stockés sur un lecteur de sauvegarde? Je pose la question parce que je fais mes sauvegardes système complètes à partir de Windows avec Macrium Reflect. Si je dois extraire quelques fichiers de la sauvegarde, il me faut un moyen de déchiffrer les fichiers sauvegardés. Avec ecryptfs, tout ce que je devais faire était de brancher mon lecteur et d’exécuter le script stocké dans le dossier chiffré.
elight24
7
Alors, qu'en est-il de ceux d'entre nous qui ont chiffré notre dossier de départ à partir de 16.04, mais ne peuvent pas le monter à nouveau car l'option "chiffrer le dossier de départ" a disparu de l'installateur? Nous ne pouvons même pas nous connecter. C'est ridicule.
SunnyDaze
2
@SunnyDaze Cela fait longtemps que je n'ai pas eu à monter mes données manuellement, mais je crois que la commande utilisée était "ecryptfs-mount-private".
elight24
3
Vous pouvez avoir du mal à utiliser LUKS sur tout le disque, cela ne fonctionnera pas avec Windows à double démarrage, par opposition à l'utilisation de LUKS sur la partition Ubuntu, fonctionne correctement avec double démarrage de Windows. Je n'ai pas lu la page wiki
Panther
2
Le chiffrement intégral du disque est excellent et fait le travail. Mais c'est suffisant seulement si c'est votre ordinateur personnel et que vous êtes le seul utilisateur. Si quelqu'un se demande why encrypt the home?, quand il y a beaucoup d'utilisateurs, c'est utile. Lorsque vous vous connectez, seule votre maison est déchiffrée, mais pas les autres
AnthonyB

Réponses:

25

Mise à jour 2019-07

Je gère plusieurs maisons cryptées avec fscrypt. Installez votre système sans chiffrement et utilisez ce guide pour le mettre en œuvre fscryptchez vous.

Assurez-vous de chmod 700votre domicile et / ou de votre utilisation umask 077car fscrypt ne définit pas automatiquement les autorisations comme ecryptfsauparavant.

L'API fscryptrisque de changer à l'avenir, alors assurez-vous de sauvegarder vos fichiers importants si vous tentez de mettre à niveau votre système.

(Cette fonctionnalité n'est pas largement utilisée sur le bureau. Utilisez-la à vos risques et périls.)

Mise à jour 2018-11

TL: DR; Vous pouvez essayer fscryptdans Ubuntu 18.10+ ou Linux Mint 19.1+

On dirait que ça a finalement été corrigé. Voici un guide de préemption: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Je ne cite pas les instructions ici parce que cela nécessite quelques piratages et que vous risquez de perdre vos données personnelles.

Avertissement: Un avertissement de l'utilisateur @dpg : "SOYEZ PRUDENT: j'ai suivi les instructions de ce" guide de préemption "(je l'ai fait sous tty) et j'ai obtenu une boucle de connexion infinie."

Considérez ce guide à des fins éducatives uniquement.

Suivant est ma réponse originale:

Réponse originale 2018-05

TL; DR: Utilisez le cryptage domestique classique avec Linux Mint 19 Tara .

fscrypt pour le cryptage à domicile est encore cassé.


Comment configurer fscrypt pour chiffrer mon répertoire / home et le déchiffrer lorsque je me connecte?

C'est quelque chose que beaucoup d'entre nous veulent. Il semble que l’équipe Ubuntu n’ait pas pu ecryptfsfonctionner sans problème avec Ubuntu 18.04, et qu’elle ne soit pas en mesure de corriger les bogues fscryptpour une option de chiffrement à domicile à temps pour la version planifiée d’Ubuntu 18.04.

Car fscrypt, au moins un bogue critique le rend inutilisable pour le chiffrement à domicile pour le moment:

De plus, nous aurions besoin d’un moyen transparent d’authentification / déverrouillage avant de constituer une alternative réaliste au "vieux" cryptage de type ecryptfs. Ceci est suivi ici:

Avec ces problèmes ouverts, vous pouvez envisager le chiffrement à domicile cassé à ce stade. Sur ce, mes collègues et moi considérons Ubuntu 18.04 18.04.1 comme inachevé pour le moment et espérons que le cryptage à domicile sera rétabli (avec la nouvelle fscryptméthode, bien meilleure ) sous Ubuntu 18.04.1 18.04.2.

Jusque-là, nous nous en tenons à Ubuntu 16.04. Nous avons basculé toutes nos machines sur Linux Mint 19 Tara avec le cryptage domestique classique ecryptfs. Lisez la section "Problèmes connus" des Notes de publication pour Linux Mint 19. Tara à propos des ecryptfslimitations, et voyez si cela vous convient:

(...) Veuillez noter que dans Mint 19 et les versions plus récentes, votre répertoire personnel crypté n'est plus démonté lors de la déconnexion.

Si vous avez essayé fscryptet trouvé qu'il était cassé pour votre usage, vous pouvez voter "ce bogue m'affecte aussi" au bogue suivant du tableau de bord:


Notez que fscrypt/ ext4-crypt(future "encrypt home") est l’option la plus rapide et ecryptfs(old "encrypt home") l’option la plus lente. LUKS("crypter le lecteur entier") est au milieu.

Pour cette raison, le chiffrement intégral du disque est recommandé. Parce que si vous avez de très gros projets avec beaucoup de petits fichiers, utilisez beaucoup de gestion de révision, faites de grandes compilations, etc., vous constaterez que le surdimensionnement du cryptage de votre disque entier en vaut la peine comparé à la lenteur de l'ancien type ecryptfs. chiffrement à domicile.

Au final, le cryptage de l'intégralité du lecteur présente de nombreux inconvénients:

  • Compte d'invité
  • Ordinateur portable familial avec comptes privés
  • Utilisation d'un logiciel antivol de type PREY

Il est étonnant que Canonical ait décidé que "nous n'en avons plus besoin" sur leur version LTS, qui est connue pour être leur distribution plus "sérieuse".

Redsandro
la source
2
Ubuntu 18.04.1 a été publié aujourd'hui, les deux bogues étant toujours présents. J'espère voir fscrypt dans 18.04.2, mais je suis un peu moins optimiste maintenant. Veuillez mettre à jour!
Nonny Moose
2
@NonnyMoose mis à jour - voir la section en gras à mi-chemin de mon post.
Redsandro
3
Hou la la! quand les gens passent de 16.04 à 18.04, qu'advient-il de leur ~!?
MaxB
2
ATTENTION: j'ai suivi les instructions de ce "guide de préemption" (l'a fait sous tty), et j'ai obtenu une boucle de connexion infinie. Je l'ai essayé deux fois lors d'une nouvelle installation du 18.10 avec le même résultat.
PetroCliff
2
Au cas où quelqu'un se retrouverait dans une boucle de connexion infinie après le cryptage, mais pourrait se connecter en mode tty. Dans mon cas, cela était dû à un mauvais propriétaire du /home/myuserrépertoire. Il s'agissait d'une racine pour une raison quelconque, si bien que le changement de propriétaire en mon utilisateur a résolu le problème.
PetroCliff
8

De la réponse de Panther ici Full Disk Encryption crypte tout , y compris / home tout en cryptant seulement un répertoire spécifique tel que / home est uniquement encypted lorsque vous pas connecté.

Pour chiffrer un répertoire personnel d'utilisateurs existants:

Commencez par vous déconnecter de ce compte et connectez-vous à un compte administrateur:

installez les utilitaires de chiffrement pour le travail:

 sudo apt install ecryptfs-utils cryptsetup

depuis ce bug du tableau de bord, ecryptfs-utils est maintenant dans le dépôt Univers.

migrer le dossier de base de cet utilisateur:

sudo ecryptfs-migrate-home -u <user>

suivi du mot de passe utilisateur de ce compte

Ensuite, déconnectez-vous et connectez-vous au compte utilisateur chiffré, avant un redémarrage! pour compléter le processus de cryptage

À l'intérieur du compte, imprimez et enregistrez le mot de passe composé de récupération:

ecryptfs-unwrap-passphrase

Vous pouvez maintenant redémarrer et vous connecter. Une fois que vous êtes satisfait, vous pouvez supprimer le dossier de base de sauvegarde.

De même, si vous souhaitez créer un nouvel utilisateur avec un répertoire personnel chiffré:

sudo adduser --encrypt-home <user>

Pour plus d'informations: man ecryptfs-migrate-home ; homme ecryptfs-setup-private

ptetteh227
la source
2
Merci pour la réponse, ptetteh. J'ai essayé cette méthode l'autre jour, mais cela semblait poser des problèmes de connexion. Cela bloquait parfois l'écran de connexion et me faisait redémarrer. J'ai réinstallé 18.04 juste pour m'assurer que ce n'était pas autre chose qui causait le problème, et jusqu'à présent, tout semble aller pour le mieux. Si ecryptfs est maintenant jugé impropre à être inclus par défaut, je pense que la meilleure chose à faire serait que j'utilise LUKS ou fscrypt.
elight24
1
Cela a fonctionné pour moi dans une installation propre (18.04.1). Je devais le faire en "mode de récupération". Unwrap n'était pas nécessaire car lorsque vous vous connectez, il vous en informe et vous demande d'écrire la phrase secrète générée. Merci!
lepe
2
ecryptfs ne fonctionnera pas si vous avez des noms de chemin plus longs (> ~ 140 caractères) dans votre répertoire personnel. Voir unix.stackexchange.com/questions/32795/…
Sebastian Stark le
1

Personnellement, je ne recommanderais presque jamais l'utilisation de File System Encryption (FSE) à qui que ce soit, dans la plupart des cas d'utilisation. Il y a plusieurs raisons, dont la moindre n'est pas le fait qu'il existe des alternatives plus efficaces. Vous parlez tous comme s'il n'y avait que deux options, FSE ou FDE (Full Disk Encryption). Cependant, ce n'est tout simplement pas le cas. En fait, il existe deux autres options qui profiteraient beaucoup mieux au PO, celles-ci étant le chiffrement de conteneur de fichiers et les archives chiffrées.

Le cryptage des conteneurs de fichiers est l’un des logiciels pour lesquels Veracrypt et Truecrypt, aujourd'hui disparu, ont été écrits. Le cryptage de conteneur est intégré à la plupart des logiciels d'archivage de compression de fichiers tels que Winzip et 7zip, en option lors de la création d'une telle archive.

Les deux offrent de nombreux avantages par rapport à FSE, le plus évident étant que vous n’avez pas besoin de les laisser montés lorsque vous ne travaillez pas avec vos fichiers cryptés. Cela empêche toute personne d'accéder aux personnes qui peuvent outrepasser les protections de la clé de profil utilisateur et du verrouillage de l'écran. Vous pouvez également faire quelque chose de stupide, comme vous éloigner de votre ordinateur, mais oublier de verrouiller l’écran ou permettre à quelqu'un d’utiliser l’ordinateur, en espérant qu’ils ne jetteront pas un œil à vos répertoires cachés. De plus, vous pouvez facilement déplacer de grandes quantités de fichiers à la fois, sans avoir à les chiffrer autrement, car les conteneurs sont portables.

L'un des avantages de la grande utilité des conteneurs Veracrypt réside dans le fait qu'ils peuvent être montés en tant que lecteur, ce qui vous permet de les formater avec un système de fichiers séparé, de préférence un système de fichiers sans journalisation, comme EXT2 ou FAT32. Le système de fichiers de journalisation peut potentiellement transmettre des informations à un attaquant. Toutefois, si vous ne cachez que vos photos personnelles, il se peut que cela ne vous concerne pas vraiment. Si, par contre, vous avez des secrets d’État ou des données protégées légalement, il se peut que ce soit le cas. Vous pouvez également les configurer pour monter automatiquement au démarrage, si vous utilisez un fichier de clé. Toutefois, cela n’est pas recommandé, car le fichier de clé doit être stocké dans un endroit moins sécurisé que celui dans lequel FSE stocke la clé de profil de l’utilisateur.

Les deux offrent la possibilité d'utiliser la compression de fichier. Vous pouvez également masquer les noms de fichiers, bien que ce ne soit pas toujours le cas lorsque vous utilisez des archives compressées, en fonction de l'algorithme de compression utilisé.

Personnellement, j'utilise le cryptage de conteneur pour les fichiers qui ne seront pas déplacés, et les archives cryptées pour les fichiers qui seront déplacés ou stockés dans le cloud, car la taille de fichier est plus petite.

Le cryptage d'un répertoire de base est toujours possible avec le cryptage de conteneur. Peut-être stocker votre clé de cryptage sur une clé YubiKey?

En tout cas, je voulais juste vous proposer à tous des alternatives qui ne soient pas mentionnées par les autres affiches. N'hésitez pas à être d'accord ou en désaccord avec tout ce que j'ai dit.

M. Cypherpunk
la source
8
Salut. J'ai quelques commentaires à propos de votre exemple de "baby-sitter": - premièrement, dans de nombreux endroits, on peut s'attendre à ce que la baby-sitter moyenne soit un adolescent par défaut, ce qui en fait une analogie dérangeante si vous tombez dans un sujet comme celui-ci. Deuxièmement, je tiens simplement à affirmer qu'il existe de bien meilleurs cas d'utilisation du cryptage que de cacher un secret coupable.
mwfearnley
Les conteneurs ont une taille fixe, le chiffrement de système de fichiers (fscrypt, eCryptfs, EncFS, etc.) occupe seulement autant d’espace que les fichiers et peut être agrandi et réduit en conséquence. CQFD PS, vous ne semblez pas savoir qu'eCryptfs ne peut crypter qu’un seul répertoire à la maison, déchiffré à la fantaisie.
Xen2050
3
Honnêtement, cette réponse est utile, mais le contenu est choquant. Simplement en raison de l’association du chiffrement à une activité criminelle, comme s’il n’y en avait pas assez dans les médias. Le cryptage est une protection contre les activités criminelles. Je ne peux pas voter pour cette raison. Ill supprimer ce commentaire une fois qu'une édition se produit.
Todd
1
Notez que si vous ne pouvez pas faire confiance à la racine (uid: 0), vous ne pouvez utiliser le système pour aucun chiffrement (que ce soit FSE, conteneur ou archive). Tous les systèmes de chiffrement sont vulnérables si vous ouvrez le chiffrement et quittez le système sans le verrouiller en toute sécurité. De plus, si vous ne chiffrez pas tout votre système de fichiers, vous devez comprendre que potentiellement, toutes les applications qui touchent les fichiers secrets feront potentiellement des copies non chiffrées en dehors de votre partition sécurisée.
Mikko Rantalainen le
0

Si, comme moi, vous faites une nouvelle installation d'Ubuntu 18.04 sur Ubuntu 16.04 et que vous avez déjà chiffré votre fichier /home, vous verrez que vous ne pouvez pas vous connecter après l'installation. Tout ce que vous avez à faire est d'installer les packages liés à ecryptfs:, sudo apt install ecryptfs-utils cryptsetupredémarrez et connectez-vous.

Pour installer ces paquets, vous pouvez soit vous connecter à un tty de rechange après le chargement de la perruche ( Cntrl+ Alt+ F1), soit entrer en mode de récupération sous Linux et l'installer à partir de là.

Akronix
la source