我有一个未加密的 $HOME(我使用了非常基本的安装,没有进一步分区,也没有加密)。现在我想将我的 $HOME 移动到外部驱动器上的加密分区(或者先移动到那里,然后再加密,没关系)。假设我有一个未分区的驱动器,我必须执行哪些步骤?我认为这里的主要问题是:如何在登录或启动时安装加密的 $HOME?
提前致谢。
编辑:这博客文章是关于ecryptfs-migrate-home命令的。但现在有一个问题:它是否适用于安装在 中的外部驱动器上的用户主目录/home?
答案1
有两种常用的方法可以加密主文件夹中的数据:
在物理磁盘和文件系统之间使用加密块设备:此方法称为加密分区、(全)磁盘加密、LUKS 或 dm-crypt。
文件系统 /home、/home/user 或 /path/to/sensitive/data 将存储在加密块设备中。在挂载文件系统之前(通常在启动过程的早期),系统将要求输入密码。
此方法通常需要更改分区布局,并且通常与 LVM 一起使用。如果您想采用这种方法,我建议您找到一个好的教程(与您的 Ubuntu 版本同步)。
在普通文件系统上使用加密文件系统。此方法称为 ecryptfs 或“私人”目录。
对于此设置,现有的分区表和文件系统保持不变。需要加密的数据将通过 ecryptfs 文件系统驱动程序进行路由。
您的系统应该已经有一个私人目录,其工作原理如下。
通常,您的登录密码用于生成加密密码。在这种情况下,您只需在正常登录提示符下输入一次密码。加密“透明地起作用”。
您可以将 ecryptfs 用于整个主目录。如果您在命令行中创建新用户,则操作非常简单。
adduser --encrypt-home newusername为新用户名创建一个加密的主目录。
维基百科提供了有关此方法。
正如@dAnjou 所意识到的,存在一个脚本可以为现有用户启用 ecryptfs。
由于 ecryptfs 依靠文件系统工作,因此数据的物理存储位置并不重要。根据 Ubuntu 版本或设置过程,一些 ecryptfs 元数据位于 中
/var/lib/ecryptfs。可以在外部存储上安装 /home,并且与 ecryptfs 兼容。
答案2
如果您是全新安装的,这将使操作更加简单。一个好问题是,您想要加密您的个人主文件夹还是整个主文件夹?您可以将驱动器安装为整个主文件夹或 /home/user。我个人会将其设置为 home/user。使用此视频设置驱动器加密。http://www.youtube.com/watch?v=M4JYkZxnhJw我在视频中指出的一件事是,加密是在创建分区时创建的。因此该分区上的所有数据都会丢失。
您也可以按照此处的信息加密分区。https://help.ubuntu.com/community/EncryptedHome