The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Создание приватной шифрованной директории в Ubuntu 8.10
В Ubuntu 8.10 появилась возможность создания в домашней директории пользователя каталога, 
для хранения приватных данных, хранимых в зашифрованном виде (для шифрования
используется eCryptfs).

Для включения данной возможности нужно установить пакет ecryptfs-utils:

   sudo aptitude install ecryptfs-utils

Создаем директорию для помещения шифрованных данных:

   mkdir ~/Private
   chmod 700 ~/Private

Монтируем ecryptfs (http://launchpad.net/ecryptfs) к созданной директории 
(другой вариант запустить скрипт ecryptfs-setup-private, но он светит открытым
пароль в списке процессов):

    sudo mount -t ecryptfs ~/Private ~/Private

На появившееся приглашение набираем "1" (passphrase) и вводим пароль, который будет использован 
для доступа к зашифрованной директории. Шифр выбираем по умолчанию (aes/16).
Режим "passthrough" позволит отображать файлы, записанные в директорию при
отключении шифрования (до монтирования).

Отмонтируем директорию:

   sudo umount ~/Private

Создаем в GNOME ярлык для быстрого монтирования. Жмем на десктопе правой
кнопкой мыши и выбираем "Create Launcher"/"Создать ярлык".

В параметрах добавляем:

    Type: Application in Terminal
    Name: Mount Private Folder
    Command: sudo mount -t ecryptfs ~/Private ~/Private -o
       key=passphrase,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n  

При этом система в интерактивном режиме перед монтированием запросит пароль для
расшифровки раздела.
Вместо "~" нужно прописать полный путь к домашней директории.

Через опцию passphrase_passwd_file можно указать путь к файлу в который
сохранен пароль (например, его можно положить на Flash).
Но в этом случае лучше вместо режима passphrase использовать openssl, оперируя
SSL ключом, а не паролем.

Используя PAM модуль pam_ecryptfs.so можно автоматизировать подключение шифрованного 
раздела при вхоже в систему, используя стандартный системный пароль в качестве
ключа для шифрования.
В /etc/pam.d/common-auth добавляем после pam_unix.so :

   auth required pam_ecryptfs.so unwrap

В /etc/pam.d/common-session:

   session optional pam_ecryptfs.so unwrap

Для автоматизации настроек и установки можно использовать скрипт ecryptfs-setup-pam.sh
 
12.02.2009 , Источник: http://www.ubuntugeek.com/how-to-cr...
Ключи: crypt, ubuntu, mount / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ RSS ]
  • 1.1, prapor (??), 19:11, 12/02/2009 [ответить]  
  • +/
    >key=passphrase

    И тем самым сводим к нулю эффективность

     
     
  • 2.3, Аноним (-), 20:54, 12/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Почему ? passphrase это не открытый пароль, а ключ запроса ввода пароля в командной строки, открытый пароль передавался бы через переменную passphrase_passwd.
     

  • 1.2, denger (??), 20:52, 12/02/2009 [ответить]  
  • +/
    А в папке Private продукция одной видеозаписывающей компании?

    > И тем самым сводим к нулю эффективность

    Можно зашифровать ярлык через GPG

     
  • 1.5, chuwy (?), 19:29, 13/02/2009 [ответить]  
  • +/
    собственно я так понимаю это совет не только для ubuntu. допустим в gentoo тоже есть пакет ecryptfs-utils
     
     
  • 2.6, cobain (??), 17:42, 17/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    в gentoo есть pam_mount. ещё LUKS и dm-crypt.
    и совет всем начинающим, если что то нужно зашифровать, сначало разбиритесь в алгоритмах как оно действует, иначе смысла нет...
     

  • 1.7, Mafk (?), 06:46, 18/02/2009 [ответить]  
  • +/
    Переводчик сам то пробовал?
    в комманде ланчера не хватает -o перед key=passphrase
    С ~/Private по ярлыку не хотело монтироваться. пришлось писать полный путь /home/user/Private
     
     
  • 2.8, Перепел (?), 11:03, 19/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще там написано вместо "~" - указать полный путь :))
     

  • 1.9, Александр (??), 22:04, 12/04/2009 [ответить]  
  • +/
    у меня ubuntu 8.10 и после этой процедуры я не смог войти в систему... не пропускал и root'а в консольном режиме - пришлось грузиться с диска и удалять из файлов
    /etc/pam.d/common-auth после pam_unix.so :

       auth required pam_ecryptfs.so unwrap

    В /etc/pam.d/common-session:

       session optional pam_ecryptfs.so unwrap

     
  • 1.10, Al (??), 20:13, 25/08/2009 [ответить]  
  • +/
    а как поступить если была произведена переустановка системы? те остался зашифрованный домашний каталог, а корень был затерт?
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру