Ativar criptografia de disco após a instalação

44

Estou correndo 13.10 Saucy. Se eu não habilitei a criptografia de disco durante a instalação, existe alguma maneira de habilitá-lo depois?

Eu encontrei este , que diz que a criptografia tem que acontecer no momento da instalação, mas também está se referindo ao Fedora. Eu posso facilmente arrancar em um disco ao vivo, se houver alguma maneira de fazê-lo de lá.

    
por Isaac Dontje Lindell 27.10.2013 / 15:35

4 respostas

37

Se você quiser ativar a criptografia da sua pasta pessoal, precisará instalar e usar esses pacotes: ecryptfs-utils e cryptsetup . Além disso, você precisará de outra conta de usuário com privilégios de administrador (sudo). A documentação completa está aqui:

Se você quiser habilitar a criptografia completa de disco após a instalação, a resposta curta por agora provavelmente é: não, você não pode . De qualquer forma, se você está interessado nisso, sua pergunta é duplicada:

por Radu Rădeanu 01.11.2013 / 19:39
12
  

Pergunta de acompanhamento: quais são as vantagens e desvantagens do disco inteiro vs. apenas / home?

A criptografia em / home é feita usando um sistema de arquivos do espaço do usuário chamado ecryptfs . É muito bem feito e strongmente integrado ao sistema de autenticação padrão, para que você tenha zero desvantagens de usabilidade: quando você insere sua conta (a partir de um shell remoto ou da tela de login padrão), sua senha é usada para desembrulhar uma chave segura , que é então usado para criptografar / descriptografar seus arquivos em seu diretório home rapidamente (O sistema de arquivos montado residirá diretamente em / home / username). Quando você efetua logout / home / username é desmontado e somente os arquivos criptografados permanecem visíveis no sistema (geralmente em /home/.ecryptfs/username/.Private/). Eles se parecem com um monte de arquivos aleatórios / scrabbled desde nomes de arquivos são criptografados também. O único vazamento de informações é: tamanho do arquivo, registro de data e hora e número de arquivos (com a criptografia completa de disco, estes também estão ocultos).

Se o seu sistema deve ser compartilhado entre vários usuários, esse é um recurso muito interessante, mesmo que você decida adicionar criptografia total de disco junto com isso: a segurança da criptografia de disco total está desativada quando a máquina está em funcionamento enquanto a criptografia home (ecryptfs) está ativada, desde que você esteja desconectado.

Portanto, a criptografia completa de disco e a criptografia doméstica não são necessariamente exclusivas.

Aqui está uma lista de possíveis configurações, dependendo das diferentes necessidades de segurança:

  • SOMENTE ENCRIPTAÇÃO DE DISCO TOTAL: Se você é o único que usa seu computador e sua máquina pode lidar com a sobrecarga da criptografia total de disco (todos os desktops modernos fazer isso sem que o usuário perceba, netbooks e laptops antigos não tanto) você pode usar criptografia de disco completo e colocar em casa no mesmo partição como seu sistema operacional (/).
  • ENCRIPTAÇÃO DE DISCO TOTAL E INICIAÇÃO DE ECRYPTFS INICIAL : Se você estiver preocupado com a leitura de dados privados enquanto seu computador estiver em ou você compartilha seu computador com outros usuários, então você poderia ter casa em um partição diferente de / e usa ecryptfs ao longo da criptografia de disco completo (isto é, criptografia de / através de LUKS)
  • CASA ENCRIPTAÇÃO DE ECRYPTFS SOMENTE : Se você não está muito preocupado com alguém mexendo em seu sistema enquanto estiver fora, mas ainda assim quiser manter seus dados privados seguros, pule a criptografia completa do disco e use ecryptfs ( criptografia de casa). Um bônus adicional desse cenário é que é muito fácil configurar mesmo após você ' Eu instalei o Ubuntu, usando apenas o ecryptfs-migrate-home. Além disso, esta tem sido a configuração padrão do Ubuntu antes de alterar alguns lançamentos, adicionando a possibilidade de criptografia completa do disco. Como a maioria dos desktops modernos pode manipular a criptografia de disco completo sem suar e adiciona uma fina camada de segurança contra a injeção de código off-line, a criptografia de disco completo foi adicionada ao instalador. Observe que, para a maioria dos usuários, apenas criptografar sua casa com o ecryptfs será suficiente para suas necessidades: manter seus amigos e ladrões de laptops comuns fora de seus dados privados. Além disso, se você foi singularmente visado por uma organização com os meios corretos, ter criptografia de disco completa ou apenas criptografia doméstica não fará muita diferença a menos que você também tenha estabelecido muitos outros comportamentos paranoicos (como: manter o kernel em um pen-drive separado que está sempre em você, constantemente verificando a violação de hardware / keyloggers e assim por diante)
  

Se eu não habilitei a criptografia de disco durante a instalação, existe alguma maneira de habilitá-lo post facto?

Sim, e será mais fácil se você estiver usando o LVM e tiver espaço suficiente no sistema para copiar todos os arquivos do sistema não criptografados em uma partição LUKS criptografada. Eu não estou indo para os detalhes no momento porque eu não sei se você está usando o LVM e se você preferir não apenas usar ecrypfs por agora e pular o incômodo de criptografia de disco completo até a próxima nova instalação. / p>     

por user824924 03.11.2013 / 03:12
2

Bem, você pode fazer um backup de todos os diretórios importantes e do software instalado. Certifique-se de que seu 13.10 esteja totalmente atualizado para evitar conflitos de versão. Normalmente, as coisas que fazem backup seria:

Depois disso, você reinstala o sistema somente agora criptografado. Atualize-o para a extensão completa. Em seguida, mova o backup para o sistema criptografado e instale todo o software da versão anterior.

Apenas certifique-se de não sobrescrever os arquivos importantes para a criptografia, ao fazer o backup (por exemplo, /etc/fstab , /etc/cryptab , algum material relacionado ao grub e algumas coisas em /boot não devem ser substituídos pelo backup arquivos).

    
por con-f-use 02.11.2013 / 17:32
1

Resposta simples: não.

Resposta complicada:

A criptografia de um disco ou partição apagará tudo o que estiver atualmente nesse disco ou partição, portanto, para criptografar um disco, você também deve remover o conteúdo do disco. Você deve fazer backups de dados apropriados antes de iniciar. Obviamente, isso significa que você deve reinstalar o sistema para usar a criptografia de disco completo, sem outra alternativa. Isso ocorre porque dados aleatórios serão gravados em todo o disco para dificultar a recuperação dos dados.

Mas hoje em dia você não precisa criptografar sua partição raiz. Lembre-se de que, se algo ocorrer, você está fora do seu sistema, sem possibilidades de recuperar os dados. Você deve considerar apenas criptografar suas informações pessoais.

Veja a questão relacionada Como criptografar o disco completo após a instalação?

    
por Braiam 01.11.2013 / 21:51

Tags