Estive usando o Truecrypt, mas tentando o ecryptfs

1

Eu tenho usado o Truecrypt com um sistema de arquivos de 32GB para manter arquivos privados importantes e pessoais. A ideia é que um estranho ao entrar no meu sistema não consiga ver nenhum desses arquivos, incluindo cache do Chrome, senhas, etc.

Funcionando bem, mas descobri o ecryptfs e estou pensando em usá-lo, porque ele não requer um arquivo de tamanho fixo ou sistema de arquivos.

A forma como eu uso o Truecrypt é quando o Gnome inicia, recebo um prompt (arquivos / etc / gdm3 / * Session) junto com um script para montar meu sistema de arquivos Truecrypt.

Eu gostaria de fazer semelhante para o ecryptfs. Instalei, criei meus sistemas de arquivos ~ / .Private e ~ / Private com o ecryptfs-setup-private e funciona.

Infelizmente, monta automaticamente no login - ruim. Então, pesquisei alguns e vi que remover ~ / .ecryptfs / wrapped-passphrase desativa essa capacidade.

Mas agora o ecryptfs-mount-private diz "ERRO: O diretório privado criptografado não está configurado corretamente" - ruim.
Também fazendo "sudo mount -t ecryptfs ~ / .Private ~ .Private" me faz responder todas as mesmas questões que ecryptfs-setup-private - eu até criei um arquivo ~ / .ecryptfsrc com coisas apropriadas nele - sem workee.

O que eu gostaria é que, na inicialização do Gnome, ele me peça minha senha (ou root) e minha frase-senha semelhante ao que o Truecrypt faz agora para mim.

Mas, ainda é preciso descobrir como obter uma montagem simples ou o ecryptfs-mount-private para funcionar sem problemas antes de chegar lá.

Quaisquer pensamentos ou problemas semelhantes?

Obrigado,

Jim

    
por Jimmy Wayne Webster 24.08.2013 / 00:27

1 resposta

2

Eu não sou um especialista em eCryptFS, para dizer o mínimo, e não uso o gnome, mas defini algo assim.

A remoção do arquivo de frase-senha encapsulado fará com que ele não seja montado quando você fizer login, mas apenas porque ele tornará seu diretório privado criptograficamente inacessível - o arquivo com a frase-chave encapsulada é a senha "real" que sua senha digitada / senha descriptografa para que o sistema possa, por sua vez, descriptografar seus arquivos. Você pode até mesmo ligar simbolicamente o arquivo de frase-senha empacotado em algum outro local, digamos um cartão SD removível, para que você possa remover o cartão e, assim, desabilitar o diretório criptografado.

Para desabilitar a montagem automática, o método que usei foi remover o arquivo .ecryptfs / auto-mount (também removi o arquivo de desmontagem automática porque ele desmonta o diretório no logout da sessão - por exemplo, se você for a um vterm e faça o login e então efetue logout, de repente o diretório sumiu, você pode ter, por exemplo, um script de sessão gnome desmontando quando você realmente "desconecta" da máquina, mas eu sou o único usuário, então eu não me preocupo com isso .)

Eu então executo um script que abre uma janela de termos que executa o ecryptfs-mount-private, que solicita a senha para desdobrar o arquivo da frase-chave com quebra de pacotes, como você descreve.

Se você realmente excluiu sua senha envolvida (em vez de renomear ou mover), será necessário recriar seu diretório particular.

Note que você vai querer certificar-se de que seu espaço de troca também esteja criptografado, para que os dados de spool do SO não sejam interrompidos (isso também interrompe a hibernação e talvez também "adormece"). em "ecryptfs-setup-swap" para mais. Você também pode querer criptografar / tmp por motivos semelhantes. Eu fiz isso (transforma / tmp em um risco de ram que poderia spool para swap - então swap deve ser criptografado ou isso é arriscado):

% bl0ck_qu0te%

... mas isso está fora do escopo desta pergunta. Essas complicações (e o fato de que o ecryptfs é mais lento) fazem parte do motivo pelo qual as pessoas gostam de criptografia em nível de bloco, como TrueCrypt, mas eu aprecio a flexibilidade do ecryptfs.

Presumivelmente, o seu arquivo de frase-senha com quebra de invólucro foi encapsulado usando sua senha de login padrão quando você usou o assistente de configuração. A maioria das pessoas deseja que o diretório criptografado seja montado automaticamente por conveniência: os arquivos ainda são criptografados até que eles efetuem login com sua senha. Sua pergunta implica que você deseja usar uma senha diferente para os arquivos criptografados por algum motivo. Para fazer isso, você precisará alterar a senha usada para o arquivo de frase secreta encapsulado. Para fazer isso, acredito que o que você quer fazer é algo assim (não testado):

  • desmontar o diretório particular
  • executar: % bl0ck_qu0te%
  •   
por lacinato 19.12.2013 / 21:21