Implementei abaixo o código para criptografar minha unidade.
Precisa de um esclarecimento sobre o uso do ecryptfs.
Eu implementei o código abaixo no meu script
FILES_TO_BACKUP="/opt /opt/test /opt/test2 /opt/test3"
KEY=1234
time printf "%s" "${KEY}" | ecryptfs-add-passphrase --fnek - > tmp.txt
cat tmp.txt
#Now get the signature from the output of the above command
SIG='tail -1 tmp.txt | awk '{print $6}' | sed 's/\[//g' | sed 's/\]//g''
echo $SIG
for i in $FILES_TO_BACKUP
do
PATH_TO_CRYPT=$i
time mount -i -t ecryptfs $PATH_TO_CRYPT $PATH_TO_CRYPT \
-o noauto,ecryptfs_passthrough,ecryptfs_key_bytes=16,ecryptfs_cipher=aes,ecryptfs_sig=$SIG,ecryptfs_fnek_sig=$SIG,ecryptfs_unlink_sigs
done
Do código acima, estou adicionando a chave ao anel de chaves do kernel. A partir daí, estou usando o SIG (token de autenticação) para montar a pasta como pastas criptografadas. Note que não estou mais usando $ KEY.
Depois de executar meu script, se eu executar o comando $ mount, vejo
---
/opt/test on /opt/test type ecryptfs (rw,relatime,ecryptfs_fnek_sig=3208187a52bf0f9c,ecryptfs_sig=3208187a52bf0f9c,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough,ecryptfs_unlink_sigs)
---
Onde o token de autenticação 3208187a52bf0f9c é exibido. Isso é seguro? Se alguém digitar o comando mount quando meu devivce estiver ligado e depois tentar usar esse mesmo ID para montar minha partição do disco rígido conectando a outro PC, eles poderão hackear meu disco rígido?
Eles teriam que conseguir reverter um hash SHA512 para usar a assinatura de chave. Isso não é possível no momento, então você deve estar bem.
Espero que o script, contendo a chave, não seja armazenado no mesmo dispositivo em que você está usando o eCryptfs. Se um invasor obtiver posse desse script, ele terá tudo de que precisa para descriptografar seus arquivos.