Primeiro, uma declaração: Eu não fiz isso com o Ubuntu, mas em uma máquina com o Debian "Stretch" instalado usando um kernel personalizado do Linux 4.2.3 que eu habilitei EXT4_FS_ENCRYPTION
on.
As instruções dadas por kmeaw não funcionam para mim exatamente como postadas. Algumas coisas foram deixadas de fora (parâmetros de linha de comando e etapas).
- Atualize
e2fsprogs
como mostrado acima -
Gere seu sal aleatório. Eu usei o seguinte para armazená-lo em um "lugar seguro":
head -c 16 /dev/urandom | xxd -p >~/tmp-salt.txt echo 0x'cat ~/tmp-salt.txt' >~/.cryptoSalt
-
Para usar a criptografia ext4 no sistema de arquivos, o sinalizador "encriptar" deve ser definido no super-bloco. Este não é o padrão quando o sistema de arquivos ext4 é criado. Usando o utilitário "tune2fs" do e2fsprogs 1.43 ou posterior, defina a opção "encrypt":
sudo tune2fs -O encrypt /dev/sda4
-
Monte ou remonte o sistema de arquivos para que o kernel saiba a mudança (talvez seja automático, mas eu fiz isso apenas em uma partição separada, então não tenho certeza.)
-
Crie um diretório no sistema de arquivos montado com a criptografia ativada:
sudo mkdir -p /secret/home/$USER sudo chown $USER:$USER /secret/home/$USER
-
Crie a chave no chaveiro e use-a para definir a política para o diretório a ser criptografado (o comando
sudo
não é necessário aqui):$ /usr/sbin/e4crypt add_key -S s:'cat ~/.cryptoSalt' Enter passphrase (echo disabled): Added key with descriptor [0132fed69f946c86] $ /usr/bin/e4crypt set_policy 0132fed69f946c86 /secret/home/$USER Key with descriptor [0132fed69f946c86] applies to /secret/home/theuser.
-
Após cada reinicialização, o comando
add_key
pode ser usado para definir a chave para descriptografar o diretório e seus descendentes:$ /usr/sbin/e4crypt add_key -S s:'cat ~/.cryptoSalt' Enter passphrase (echo disabled): Added key with descriptor [0132fed69f946c86]
Digite a mesma senha usada no passo anterior, e você não precisa se lembrar da string hexadecimal do descritor.
-
Você também pode usar
add_key
diretamente. Isto irá usar um sal específico do sistema de arquivos (Então, todas as pastas sob essa partição terão o mesmo sal)$ /usr/sbin/e4crypt add_key /secret/home/$USER Added key with descriptor [0132fed69f946c86] Key with descriptor [0132fed69f946c86] applies to /secret/home/theuser.