No Linux, é possível criptografar uma pasta / partição de uma forma que não seja acessível a ninguém sem a senha?

Navegue suas respostas
6

Eu estava revendo as diferentes alternativas que tenho (como a criptografia ext4), mas eu acho que todas elas são vulneráveis para o root apenas entrar em minha conta e ver o que está armazenado lá, o que é algo muito fácil de fazer quando alguém fica com o computador.

Estou procurando uma maneira de tornar meus arquivos inacessíveis, mesmo para o root, mesmo que alguém assuma o metal. Estou disposto a arriscar perder meus dados se esquecer a chave, isso não é um problema, é realmente desejável.

    
por almosnow 11.03.2016 / 12:36

2 respostas

5

  • O eCryptFS pode criptografar sua pasta pessoal (e subpastas) e descriptografar automaticamente com sua senha de login. A raiz não pode apenas alterar sua senha, ela precisa de sua frase de acesso real. O script ecryptfs-migrate-home / ferramenta pode criptografar uma casa existente, ou muitas distribuições podem criptografar uma casa quando um novo usuário é criado. Está disponível para a maioria das distribuições, Debian, Mint & Ubuntu derivado, Arch, Gentoo, etc. E é livre para expandir seu tamanho.

    Ou pode usar apenas uma única pasta "Privada" criptografada, com ecryptfs-setup-private

  • O EncFS também criptografa uma pasta, mas pode precisar de mais personalização para a descriptografia automática segura.

  • LUKS ou dm-crypt simples usa um arquivo ou dispositivo contêiner, de tamanho fixo, não tão fácil de expandir quanto as soluções baseadas em arquivos acima, mas não revela tanta informação (número de arquivo e amp tamanho aproximado)

  • TrueCrypt ou derivados funcionam como LUKS

  • Muitas distribuições também podem ser instaladas com "criptografia completa de disco" (geralmente usando LUKS & LVM), que exige a senha correta digitada na inicialização. É uma boa solução para um computador de usuário único ("pessoal") que não precisa reinicializar sozinho, mas em um computador multiusuário seria "descriptografado" para todos os outros usuários também.

por 12.03.2016 / 06:16
2

Você pode usar o dm-crypt para isso. Você precisa criar um arquivo vazio que será usado como um dispositivo de armazenamento. Você pode criar um com um tamanho específico com dd ou por exemplo fallocate: 

fallocate -l 512M /home/user/cryptedDevice' 
dd if=/dev/zero of=/home/user/cryptedDevice bs=1M count=512

Isso criará um arquivo de 512 MB em seu diretório inicial chamado cryptedDevice. Então você pode colocar o luks no topo desse arquivo cryptsetup -y luksFormat /home/user/cryptedDevice Com o Luks você pode facilmente mudar o tamanho do container etc.

Para abrir o arquivo criptografado, você pode fazer: cryptsetup luksOpen /home/user/cryptedDevice someDeviceName

Então você precisa formatar esta partição com um sistema de arquivos: mkfs.ext4 -j /dev/mapper/someDeviceName

Depois disso, você pode simplesmente montar o dispositivo em uma pasta: mount /dev/mapper/someDeviceName /mnt/ .

Referência digitalocean

    
por 11.03.2016 / 12:52

Tags

Como usar gerenciadores de senha sem usar a área de transferência? Novo computador comprado sem COA ou Product Key