在基于 Ubuntu 的系统上加密目录的最简单方法是什么?
假设我有一台运行 Ubuntu 10.04 的笔记本电脑,并且上面有一些需要安全保存的文档(如果我丢失了笔记本电脑)。
假设所有文档都在名为 ~/work/ 的目录中,并且此目录之外没有任何机密信息。因此无需加密整个主目录。
应该有一种方法可以从命令行锁定/解锁此目录。
似乎有一些不同的方法可以做到这一点:
- ecryptfs-实用程序
- 密码设置
- truecrypt(但不是 OSI 批准的开源)
但什么是最简单、最可靠的方法呢?
谢谢 Johan
更新:相关问题,但不一样在 ubuntu 10.04 中加密所有文件的最简单方法是什么?
答案1
有三种方法:在分区上设置加密卷(dm-crypt
,配置为cryptsetup
),设置加密卷的文件(truecrypt),设置每个文件单独加密的目录(ecryptfs
或encfs
)。
设置加密卷可以提供更多的保密性,因为文件的元数据(大小、修改时间)是不可见的。缺点是灵活性较差(您必须提前决定加密卷的大小)。ecryptfs 常见问题解答列出了两种方法之间的一些差异。
如果您选择逐个文件加密,我知道有两个选项:ecryptfs
和encfs
。前者使用内核驱动程序,而后者使用 FUSE。这可能具有ecryptfs
速度优势;它具有encfs
灵活性优势,因为无需以 root 身份执行任何操作。一个可能的好处ecryptfs
是,一旦您完成初始设置,您就可以使用登录密码作为文件系统密码,这要归功于模块pam_ecryptfs
。
对于我自己在类似情况下的使用,我选择了encfs
,因为我没有看到其他解决方案有任何实际的安全优势,因此易用性是决定性因素。性能不是问题。工作流程非常简单(第一次运行会encfs
创建文件系统):
aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work
我建议您还加密交换空间和任何可能写入临时机密文件的地方,例如/tmp
和/var/spool/cups
(如果您打印机密文件)。使用cryptsetup
加密您的交换分区。处理 的最简单方法/tmp
是将其挂载为内存tmpfs
(无论如何,这可能会带来轻微的性能优势)。
答案2
我专门使用 TrueCrypt 来做这些事情。无论是否获得 OSI 批准,我发现它从未让我失望过,而且我曾多次需要加密。
答案3
快速简便的方法是tar
和compress
然后bcrypt
。
tar cfj safe-archive.tar.bz2 目录/ bcrypt 安全存档.tar.bz2 # 将要求您输入两次 8 个字符的密码来锁定它。 # 但请记住在此之后删除你的目录, rm -rf 目录/ # 而且,我希望你不要忘记密码,否则你的数据就没了!
制作safe-archive.tar.bz2.bfe
——如果您对此感到疑惑,可以重命名。
要打开加密包,
bcrypt safe-archive.tar.bz2.bf3 # 或者,无论你叫它什么 tar xfj 安全存档.tar.bz2 # 现在,你的目录又回来了!
如果您准备处理更多问题,我建议您truecrypt
,并创建加密卷。
但是,我认为对于常规数据(例如与国家安全无关的数据)来说,这不是必要的。
附言:请注意,我并不是建议加密在任何方面都软弱或无力维护国家安全。
回复上面对我的回答的评论。
我试图给出一个简单的答案——并且,我确实同意,我不建议将 Truecrypt 作为首选的选择对这里的某些人来说可能不合适。
问题要求提供一种简单的方法来加密目录。
我在这里衡量安全性基于两点,
- 您希望获得什么?
- 你想从谁那里得到它
我认为这是你‘偏执’的程度。
现在,不用说 Truecrypt(或其他类似方法)成本更高,
我只想说,在 tmpfs 中运行的 bcrypt 序列足以满足您今天的日常使用
(我想大概十年后可能就不是这样了,但现在确实如此)。
而且,我还假设此处保护的数据的价值与 mona-lisa 类“恢复”尝试无法相比。
那么问题很简单——您是否希望有人尝试抓住您关机的笔记本电脑并尝试从其冷 RAM 空间中恢复数据?
如果您这样做,您可能应该重新考虑您的硬件和软件首先,检查您连接到哪个 ISP,谁可以听到您的按键,等等。
附言:我喜欢 Truecrypt 并且使用它。OSI 合规性或不合规性并不重要。而且,我并不是在与 Truecrypt 竞争,bcrypt
也不是在与这里提出的方案竞争。
答案4
最简单、最快的设置方法是安装ecryptfs-实用程序和守墓人:
sudo apt-get install ecryptfs-utils cryptkeeper
然后,完成后,查看系统托盘。您将看到一个由两个钥匙组成的图标。单击它并选择“新建加密文件夹”。输入名称并单击“前进”按钮(奇怪的是,它位于左下角,而不是右下角)。然后,输入所需的密码,重新确认,再次单击“前进”,然后单击“确定”。
这将安装加密文件夹,您可以将文件复制到其中。完成后,如果您注销或取消选中该已安装文件夹(单击系统托盘中的 Keys 图标即可执行此操作),则在重新安装之前将再次要求输入密码。