Ativar criptografia de disco após a instalação

Se você quiser ativar a criptografia da sua pasta pessoal, precisará instalar e usar esses pacotes: ecryptfs-utils e cryptsetup . Além disso, você precisará de outra conta de usuário com privilégios de administrador (sudo). A documentação completa está aqui:

• Como criptografar sua pasta pessoal após Instalando o Ubuntu

Se você quiser habilitar a criptografia completa de disco após a instalação, a resposta curta por agora provavelmente é: não, você não pode . De qualquer forma, se você está interessado nisso, sua pergunta é duplicada:

• Existe uma maneira de fazer a criptografia completa do disco após a instalação?
• Criptografia total do disco

  

Pergunta de acompanhamento: quais são as vantagens e desvantagens do disco inteiro vs. apenas / home?

A criptografia em / home é feita usando um sistema de arquivos do espaço do usuário chamado ecryptfs . É muito bem feito e strongmente integrado ao sistema de autenticação padrão, para que você tenha zero desvantagens de usabilidade: quando você insere sua conta (a partir de um shell remoto ou da tela de login padrão), sua senha é usada para desembrulhar uma chave segura , que é então usado para criptografar / descriptografar seus arquivos em seu diretório home rapidamente (O sistema de arquivos montado residirá diretamente em / home / username). Quando você efetua logout / home / username é desmontado e somente os arquivos criptografados permanecem visíveis no sistema (geralmente em /home/.ecryptfs/username/.Private/). Eles se parecem com um monte de arquivos aleatórios / scrabbled desde nomes de arquivos são criptografados também. O único vazamento de informações é: tamanho do arquivo, registro de data e hora e número de arquivos (com a criptografia completa de disco, estes também estão ocultos).

Se o seu sistema deve ser compartilhado entre vários usuários, esse é um recurso muito interessante, mesmo que você decida adicionar criptografia total de disco junto com isso: a segurança da criptografia de disco total está desativada quando a máquina está em funcionamento enquanto a criptografia home (ecryptfs) está ativada, desde que você esteja desconectado.

Portanto, a criptografia completa de disco e a criptografia doméstica não são necessariamente exclusivas.

Aqui está uma lista de possíveis configurações, dependendo das diferentes necessidades de segurança:

• SOMENTE ENCRIPTAÇÃO DE DISCO TOTAL: Se você é o único que usa seu computador e sua máquina pode lidar com a sobrecarga da criptografia total de disco (todos os desktops modernos fazer isso sem que o usuário perceba, netbooks e laptops antigos não tanto) você pode usar criptografia de disco completo e colocar em casa no mesmo partição como seu sistema operacional (/).
• ENCRIPTAÇÃO DE DISCO TOTAL E INICIAÇÃO DE ECRYPTFS INICIAL : Se você estiver preocupado com a leitura de dados privados enquanto seu computador estiver em ou você compartilha seu computador com outros usuários, então você poderia ter casa em um partição diferente de / e usa ecryptfs ao longo da criptografia de disco completo (isto é, criptografia de / através de LUKS)
• CASA ENCRIPTAÇÃO DE ECRYPTFS SOMENTE : Se você não está muito preocupado com alguém mexendo em seu sistema enquanto estiver fora, mas ainda assim quiser manter seus dados privados seguros, pule a criptografia completa do disco e use ecryptfs ( criptografia de casa). Um bônus adicional desse cenário é que é muito fácil configurar mesmo após você ' Eu instalei o Ubuntu, usando apenas o ecryptfs-migrate-home. Além disso, esta tem sido a configuração padrão do Ubuntu antes de alterar alguns lançamentos, adicionando a possibilidade de criptografia completa do disco. Como a maioria dos desktops modernos pode manipular a criptografia de disco completo sem suar e adiciona uma fina camada de segurança contra a injeção de código off-line, a criptografia de disco completo foi adicionada ao instalador. Observe que, para a maioria dos usuários, apenas criptografar sua casa com o ecryptfs será suficiente para suas necessidades: manter seus amigos e ladrões de laptops comuns fora de seus dados privados. Além disso, se você foi singularmente visado por uma organização com os meios corretos, ter criptografia de disco completa ou apenas criptografia doméstica não fará muita diferença a menos que você também tenha estabelecido muitos outros comportamentos paranoicos (como: manter o kernel em um pen-drive separado que está sempre em você, constantemente verificando a violação de hardware / keyloggers e assim por diante)

  

Se eu não habilitei a criptografia de disco durante a instalação, existe alguma maneira de habilitá-lo post facto?

Sim, e será mais fácil se você estiver usando o LVM e tiver espaço suficiente no sistema para copiar todos os arquivos do sistema não criptografados em uma partição LUKS criptografada. Eu não estou indo para os detalhes no momento porque eu não sei se você está usando o LVM e se você preferir não apenas usar ecrypfs por agora e pular o incômodo de criptografia de disco completo até a próxima nova instalação. / p>     

Bem, você pode fazer um backup de todos os diretórios importantes e do software instalado. Certifique-se de que seu 13.10 esteja totalmente atualizado para evitar conflitos de versão. Normalmente, as coisas que fazem backup seria:

• /boot
• /etc
• home
• var
• /usr/local
• Software instalado via Synaptic / Software Center
• Se você compilou um software personalizado, talvez tenha que incluir pastas adicionais no seu backup (por exemplo, /bin , /lib , lib64 ).

Depois disso, você reinstala o sistema somente agora criptografado. Atualize-o para a extensão completa. Em seguida, mova o backup para o sistema criptografado e instale todo o software da versão anterior.

Apenas certifique-se de não sobrescrever os arquivos importantes para a criptografia, ao fazer o backup (por exemplo, /etc/fstab , /etc/cryptab , algum material relacionado ao grub e algumas coisas em /boot não devem ser substituídos pelo backup arquivos).

Resposta simples: não.

Resposta complicada:

A criptografia de um disco ou partição apagará tudo o que estiver atualmente nesse disco ou partição, portanto, para criptografar um disco, você também deve remover o conteúdo do disco. Você deve fazer backups de dados apropriados antes de iniciar. Obviamente, isso significa que você deve reinstalar o sistema para usar a criptografia de disco completo, sem outra alternativa. Isso ocorre porque dados aleatórios serão gravados em todo o disco para dificultar a recuperação dos dados.

Mas hoje em dia você não precisa criptografar sua partição raiz. Lembre-se de que, se algo ocorrer, você está fora do seu sistema, sem possibilidades de recuperar os dados. Você deve considerar apenas criptografar suas informações pessoais.

Veja a questão relacionada Como criptografar o disco completo após a instalação?