加密目录的最简单方法是什么？（在 Ubuntu 上）

有三种方法：在分区上设置加密卷（dm-crypt，配置为cryptsetup），设置加密卷的文件（truecrypt），设置每个文件单独加密的目录（ecryptfs或encfs）。

设置加密卷可以提供更多的保密性，因为文件的元数据（大小、修改时间）是不可见的。缺点是灵活性较差（您必须提前决定加密卷的大小）。ecryptfs 常见问题解答列出了两种方法之间的一些差异。

如果您选择逐个文件加密，我知道有两个选项：ecryptfs和encfs。前者使用内核驱动程序，而后者使用 FUSE。这可能具有ecryptfs速度优势；它具有encfs灵活性优势，因为无需以 root 身份执行任何操作。一个可能的好处ecryptfs是，一旦您完成初始设置，您就可以使用登录密码作为文件系统密码，这要归功于模块pam_ecryptfs。

对于我自己在类似情况下的使用，我选择了encfs，因为我没有看到其他解决方案有任何实际的安全优势，因此易用性是决定性因素。性能不是问题。工作流程非常简单（第一次运行会encfs创建文件系统）：

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

我建议您还加密交换空间和任何可能写入临时机密文件的地方，例如/tmp和/var/spool/cups（如果您打印机密文件）。使用cryptsetup加密您的交换分区。处理 的最简单方法/tmp是将其挂载为内存tmpfs（无论如何，这可能会带来轻微的性能优势）。

我专门使用 TrueCrypt 来做这些事情。无论是否获得 OSI 批准，我发现它从未让我失望过，而且我曾多次需要加密。

快速简便的方法是tar和compress然后bcrypt。

tar cfj safe-archive.tar.bz2 目录/
bcrypt 安全存档.tar.bz2
# 将要求您输入两次 8 个字符的密码来锁定它。
# 但请记住在此之后删除你的目录，
rm -rf 目录/
# 而且，我希望你不要忘记密码，否则你的数据就没了！

制作safe-archive.tar.bz2.bfe——如果您对此感到疑惑，可以重命名。

要打开加密包，

bcrypt safe-archive.tar.bz2.bf3 # 或者，无论你叫它什么
tar xfj 安全存档.tar.bz2
# 现在，你的目录又回来了！

如果您准备处理更多问题，我建议您truecrypt，并创建加密卷。
但是，我认为对于常规数据（例如与国家安全无关的数据）来说，这不是必要的。

^{附言：请注意，我并不是建议加密在任何方面都软弱或无力维护国家安全。}

---

回复上面对我的回答的评论。
我试图给出一个简单的答案——并且，我确实同意，我不建议将 Truecrypt 作为首选的选择对这里的某些人来说可能不合适。

问题要求提供一种简单的方法来加密目录。
我在这里衡量安全性基于两点，

1. 您希望获得什么？
2. 你想从谁那里得到它

我认为这是你‘偏执’的程度。

现在，不用说 Truecrypt（或其他类似方法）成本更高，
我只想说，在 tmpfs 中运行的 bcrypt 序列足以满足您今天的日常使用
（我想大概十年后可能就不是这样了，但现在确实如此）。
而且，我还假设此处保护的数据的价值与 mona-lisa 类“恢复”尝试无法相比。

那么问题很简单——您是否希望有人尝试抓住您关机的笔记本电脑并尝试从其冷 RAM 空间中恢复数据？
如果您这样做，您可能应该重新考虑您的硬件和软件首先，检查您连接到哪个 ISP，谁可以听到您的按键，等等。

^{附言：我喜欢 Truecrypt 并且使用它。OSI 合规性或不合规性并不重要。而且，我并不是在与 Truecrypt 竞争，bcrypt也不是在与这里提出的方案竞争。}

最简单、最快的设置方法是安装ecryptfs-实用程序和守墓人：

sudo apt-get install ecryptfs-utils cryptkeeper

然后，完成后，查看系统托盘。您将看到一个由两个钥匙组成的图标。单击它并选择“新建加密文件夹”。输入名称并单击“前进”按钮（奇怪的是，它位于左下角，而不是右下角）。然后，输入所需的密码，重新确认，再次单击“前进”，然后单击“确定”。

这将安装加密文件夹，您可以将文件复制到其中。完成后，如果您注销或取消选中该已安装文件夹（单击系统托盘中的 Keys 图标即可执行此操作），则在重新安装之前将再次要求输入密码。