Déçu de constater que le programme d'installation de 18.04 n'offre plus la possibilité de chiffrer le répertoire de base. Selon ce rapport de bogue référencé dans le programme d'installation, la méthode recommandée pour le cryptage est le disque complet avec LUKS ou fscrypt pour les répertoires. Le chiffrement de disque complet semble un peu excessif pour mes besoins, et tous les bogues et mises en garde mentionnés sur le wiki ne rendent pas cette option très attrayante. Tout ce que je veux vraiment, c’est protéger mon répertoire personnel contre tout accès de mes documents, photos, etc. par mon ordinateur portable, en cas de vol de mon ordinateur portable, ce qui me permet de choisir fscrypt.
La page fscrypt GitHub a quelques exemples sur la façon de le configurer, mais je ne trouve aucune documentation visant à chiffrer le répertoire de base sur Ubuntu. L'ancien outil ecryptfs est toujours disponible, mais après l'avoir configuré, Ubuntu se figeait parfois à l'écran de connexion.
Ma question est donc la suivante: comment configurer fscrypt pour chiffrer mon répertoire / home et le déchiffrer lorsque je me connecte? J'ai également apprécié la manière dont ecryptfs permettait de déchiffrer le dossier manuellement (par exemple, à partir d'images de disque).
(Une question similaire a été postée ici et était malheureusement fermée car elle constituait un rapport de bogue "hors sujet". Pour clarifier, il ne s'agit pas d'un rapport de bogue. Le fait que l'option de chiffrement du répertoire de base ait été supprimée de l'installateur était intentionnel. Je demande ici comment configurer fscrypt.)
la source
why encrypt the home?
, quand il y a beaucoup d'utilisateurs, c'est utile. Lorsque vous vous connectez, seule votre maison est déchiffrée, mais pas les autresRéponses:
Mise à jour 2019-07
Je gère plusieurs maisons cryptées avec
fscrypt
. Installez votre système sans chiffrement et utilisez ce guide pour le mettre en œuvrefscrypt
chez vous.Assurez-vous de
chmod 700
votre domicile et / ou de votre utilisationumask 077
car fscrypt ne définit pas automatiquement les autorisations commeecryptfs
auparavant.L'API
fscrypt
risque de changer à l'avenir, alors assurez-vous de sauvegarder vos fichiers importants si vous tentez de mettre à niveau votre système.(Cette fonctionnalité n'est pas largement utilisée sur le bureau. Utilisez-la à vos risques et périls.)
Mise à jour 2018-11
TL: DR; Vous pouvez essayer
fscrypt
dans Ubuntu 18.10+ ou Linux Mint 19.1+On dirait que ça a finalement été corrigé. Voici un guide de préemption: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html
Je ne cite pas les instructions ici parce que cela nécessite quelques piratages et que vous risquez de perdre vos données personnelles.
Suivant est ma réponse originale:
Réponse originale 2018-05
TL; DR: Utilisez le cryptage domestique classique avec Linux Mint 19 Tara .
fscrypt
pour le cryptage à domicile est encore cassé.C'est quelque chose que beaucoup d'entre nous veulent. Il semble que l’équipe Ubuntu n’ait pas pu
ecryptfs
fonctionner sans problème avec Ubuntu 18.04, et qu’elle ne soit pas en mesure de corriger les boguesfscrypt
pour une option de chiffrement à domicile à temps pour la version planifiée d’Ubuntu 18.04.Car
fscrypt
, au moins un bogue critique le rend inutilisable pour le chiffrement à domicile pour le moment:De plus, nous aurions besoin d’un moyen transparent d’authentification / déverrouillage avant de constituer une alternative réaliste au "vieux" cryptage de type ecryptfs. Ceci est suivi ici:
Avec ces problèmes ouverts, vous pouvez envisager le chiffrement à domicile cassé à ce stade. Sur ce, mes collègues et moi considérons Ubuntu
18.0418.04.1 comme inachevé pour le moment et espérons que le cryptage à domicile serarétabli(avec la nouvellefscrypt
méthode, bien meilleure ) sous Ubuntu18.04.118.04.2.Jusque-là, nous nous en tenons à Ubuntu 16.04.Nous avons basculé toutes nos machines sur Linux Mint 19 Tara avec le cryptage domestique classiqueecryptfs
. Lisez la section "Problèmes connus" des Notes de publication pour Linux Mint 19. Tara à propos desecryptfs
limitations, et voyez si cela vous convient:Si vous avez essayé
fscrypt
et trouvé qu'il était cassé pour votre usage, vous pouvez voter "ce bogue m'affecte aussi" au bogue suivant du tableau de bord:Notez que
fscrypt
/ext4-crypt
(future "encrypt home") est l’option la plus rapide etecryptfs
(old "encrypt home") l’option la plus lente.LUKS
("crypter le lecteur entier") est au milieu.Pour cette raison, le chiffrement intégral du disque est recommandé. Parce que si vous avez de très gros projets avec beaucoup de petits fichiers, utilisez beaucoup de gestion de révision, faites de grandes compilations, etc., vous constaterez que le surdimensionnement du cryptage de votre disque entier en vaut la peine comparé à la lenteur de l'ancien type ecryptfs. chiffrement à domicile.
Au final, le cryptage de l'intégralité du lecteur présente de nombreux inconvénients:
Il est étonnant que Canonical ait décidé que "nous n'en avons plus besoin" sur leur version LTS, qui est connue pour être leur distribution plus "sérieuse".
la source
/home/myuser
répertoire. Il s'agissait d'une racine pour une raison quelconque, si bien que le changement de propriétaire en mon utilisateur a résolu le problème.De la réponse de Panther ici Full Disk Encryption crypte tout , y compris / home tout en cryptant seulement un répertoire spécifique tel que / home est uniquement encypted lorsque vous pas connecté.
Pour chiffrer un répertoire personnel d'utilisateurs existants:
Commencez par vous déconnecter de ce compte et connectez-vous à un compte administrateur:
installez les utilitaires de chiffrement pour le travail:
depuis ce bug du tableau de bord, ecryptfs-utils est maintenant dans le dépôt Univers.
migrer le dossier de base de cet utilisateur:
suivi du mot de passe utilisateur de ce compte
Ensuite, déconnectez-vous et connectez-vous au compte utilisateur chiffré, avant un redémarrage! pour compléter le processus de cryptage
À l'intérieur du compte, imprimez et enregistrez le mot de passe composé de récupération:
Vous pouvez maintenant redémarrer et vous connecter. Une fois que vous êtes satisfait, vous pouvez supprimer le dossier de base de sauvegarde.
De même, si vous souhaitez créer un nouvel utilisateur avec un répertoire personnel chiffré:
Pour plus d'informations: man ecryptfs-migrate-home ; homme ecryptfs-setup-private
la source
Personnellement, je ne recommanderais presque jamais l'utilisation de File System Encryption (FSE) à qui que ce soit, dans la plupart des cas d'utilisation. Il y a plusieurs raisons, dont la moindre n'est pas le fait qu'il existe des alternatives plus efficaces. Vous parlez tous comme s'il n'y avait que deux options, FSE ou FDE (Full Disk Encryption). Cependant, ce n'est tout simplement pas le cas. En fait, il existe deux autres options qui profiteraient beaucoup mieux au PO, celles-ci étant le chiffrement de conteneur de fichiers et les archives chiffrées.
Le cryptage des conteneurs de fichiers est l’un des logiciels pour lesquels Veracrypt et Truecrypt, aujourd'hui disparu, ont été écrits. Le cryptage de conteneur est intégré à la plupart des logiciels d'archivage de compression de fichiers tels que Winzip et 7zip, en option lors de la création d'une telle archive.
Les deux offrent de nombreux avantages par rapport à FSE, le plus évident étant que vous n’avez pas besoin de les laisser montés lorsque vous ne travaillez pas avec vos fichiers cryptés. Cela empêche toute personne d'accéder aux personnes qui peuvent outrepasser les protections de la clé de profil utilisateur et du verrouillage de l'écran. Vous pouvez également faire quelque chose de stupide, comme vous éloigner de votre ordinateur, mais oublier de verrouiller l’écran ou permettre à quelqu'un d’utiliser l’ordinateur, en espérant qu’ils ne jetteront pas un œil à vos répertoires cachés. De plus, vous pouvez facilement déplacer de grandes quantités de fichiers à la fois, sans avoir à les chiffrer autrement, car les conteneurs sont portables.
L'un des avantages de la grande utilité des conteneurs Veracrypt réside dans le fait qu'ils peuvent être montés en tant que lecteur, ce qui vous permet de les formater avec un système de fichiers séparé, de préférence un système de fichiers sans journalisation, comme EXT2 ou FAT32. Le système de fichiers de journalisation peut potentiellement transmettre des informations à un attaquant. Toutefois, si vous ne cachez que vos photos personnelles, il se peut que cela ne vous concerne pas vraiment. Si, par contre, vous avez des secrets d’État ou des données protégées légalement, il se peut que ce soit le cas. Vous pouvez également les configurer pour monter automatiquement au démarrage, si vous utilisez un fichier de clé. Toutefois, cela n’est pas recommandé, car le fichier de clé doit être stocké dans un endroit moins sécurisé que celui dans lequel FSE stocke la clé de profil de l’utilisateur.
Les deux offrent la possibilité d'utiliser la compression de fichier. Vous pouvez également masquer les noms de fichiers, bien que ce ne soit pas toujours le cas lorsque vous utilisez des archives compressées, en fonction de l'algorithme de compression utilisé.
Personnellement, j'utilise le cryptage de conteneur pour les fichiers qui ne seront pas déplacés, et les archives cryptées pour les fichiers qui seront déplacés ou stockés dans le cloud, car la taille de fichier est plus petite.
Le cryptage d'un répertoire de base est toujours possible avec le cryptage de conteneur. Peut-être stocker votre clé de cryptage sur une clé YubiKey?
En tout cas, je voulais juste vous proposer à tous des alternatives qui ne soient pas mentionnées par les autres affiches. N'hésitez pas à être d'accord ou en désaccord avec tout ce que j'ai dit.
la source
Si, comme moi, vous faites une nouvelle installation d'Ubuntu 18.04 sur Ubuntu 16.04 et que vous avez déjà chiffré votre fichier
/home
, vous verrez que vous ne pouvez pas vous connecter après l'installation. Tout ce que vous avez à faire est d'installer les packages liés à ecryptfs:,sudo apt install ecryptfs-utils cryptsetup
redémarrez et connectez-vous.Pour installer ces paquets, vous pouvez soit vous connecter à un tty de rechange après le chargement de la perruche ( Cntrl+ Alt+ F1), soit entrer en mode de récupération sous Linux et l'installer à partir de là.
la source