Зашифровать мою домашнюю папку linux mint
Да я не стал париться там когда пользователя создаешь он просто справшиват адин или вот и все
Лан другое дело такая ошибка:
sudo ecryptfs-migrate-home -u seregka
INFO: Checking disk space, this may take a few moments. Please be patient.
INFO: 2.5x the size your current home directory is required to perform a migration.
INFO: Once the migration succeeds, you may recover most of this space by deleting the cleartext directory.
ERROR: Not enough free disk space.
vir0id Сообщения: 2753 Зарегистрирован: 19 дек 2017, 18:48 Решено: 15 Откуда: Рига Благодарил (а): 163 раза Поблагодарили: 305 раз Контактная информация:
Как после установки зашифровать домашнюю директорию
Прежде чем мы начнем с руководства, убедитесь, что у вас достаточно свободного места на целевом устройстве, которое должно быть в 2,5 раза больше вашего текущего домашнего каталога (например, если у вас 10 ГБ в домашней папке, вам понадобится 25 ГБ для конверсия). Если это требование не выполняется, процесс завершится ошибкой «Недостаточно свободного места на диске».
seregka Сообщения: 90 Зарегистрирован: 22 сен 2019, 21:05 Решено: 1 Благодарил (а): 2 раза Поблагодарили: 1 раз Контактная информация:
Как после установки зашифровать домашнюю директорию
ecrypt@Aspire:~$ sudo ecryptfs-migrate-home -u seregka INFO: Checking disk space, this may take a few moments. Please be patient. INFO: Checking for open files in /home/seregka lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs Output information may be incomplete. lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1002/gvfs Output information may be incomplete. lsof: WARNING: can't stat() fuse file system /run/user/1000/doc Output information may be incomplete. INFO: The following files are in use: lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs Output information may be incomplete. lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1002/gvfs Output information may be incomplete. lsof: WARNING: can't stat() fuse file system /run/user/1000/doc Output information may be incomplete. COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME dbus-daem 1231 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfsd 1305 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfsd-fus 1310 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfs-udis 1415 seregka cwd DIR 259,6 4096 8388609 /home/seregka dconf-ser 1437 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfs-goa- 1442 seregka cwd DIR 259,6 4096 8388609 /home/seregka goa-daemo 1450 seregka cwd DIR 259,6 4096 8388609 /home/seregka goa-ident 1471 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfs-mtp- 1476 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfs-afc- 1483 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfs-gpho 1489 seregka cwd DIR 259,6 4096 8388609 /home/seregka agent 1507 seregka cwd DIR 259,6 4096 8388609 /home/seregka agent 1507 seregka 2w REG 259,6 14409 8388632 /home/seregka/.xsession-errors.old evolution 1551 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfsd-met 1562 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfsd-met 1562 seregka mem REG 259,6 32768 8391308 /home/seregka/.local/share/gvfs-metadata/uuid-8DF8-23BD-42847e3c.log gvfsd-met 1562 seregka mem REG 259,6 112 8389026 /home/seregka/.local/share/gvfs-metadata/uuid-8DF8-23BD gvfsd-met 1562 seregka mem REG 259,6 32768 8391103 /home/seregka/.local/share/gvfs-metadata/root-a579dbb2.log gvfsd-met 1562 seregka mem REG 259,6 32768 8391365 /home/seregka/.local/share/gvfs-metadata/home-da12e639.log gvfsd-met 1562 seregka mem REG 259,6 15368 8391364 /home/seregka/.local/share/gvfs-metadata/home gvfsd-met 1562 seregka mem REG 259,6 1252 8391051 /home/seregka/.local/share/gvfs-metadata/root gvfsd-met 1562 seregka 7r REG 259,6 15368 8391364 /home/seregka/.local/share/gvfs-metadata/home gvfsd-met 1562 seregka 8u REG 259,6 32768 8391365 /home/seregka/.local/share/gvfs-metadata/home-da12e639.log gvfsd-met 1562 seregka 10r REG 259,6 1252 8391051 /home/seregka/.local/share/gvfs-metadata/root gvfsd-met 1562 seregka 11u REG 259,6 32768 8391103 /home/seregka/.local/share/gvfs-metadata/root-a579dbb2.log gvfsd-met 1562 seregka 12r REG 259,6 112 8389026 /home/seregka/.local/share/gvfs-metadata/uuid-8DF8-23BD gvfsd-met 1562 seregka 13u REG 259,6 32768 8391308 /home/seregka/.local/share/gvfs-metadata/uuid-8DF8-23BD-42847e3c.log evolution 1568 seregka cwd DIR 259,6 4096 8388609 /home/seregka sh 1571 seregka cwd DIR 259,6 4096 8388609 /home/seregka pxgsettin 1572 seregka cwd DIR 259,6 4096 8388609 /home/seregka sh 1584 seregka cwd DIR 259,6 4096 8388609 /home/seregka pxgsettin 1585 seregka cwd DIR 259,6 4096 8388609 /home/seregka evolution 1600 seregka cwd DIR 259,6 4096 8388609 /home/seregka evolution 1600 seregka 12u REG 259,6 86016 8388738 /home/seregka/.local/share/evolution/addressbook/system/contacts.db gvfsd-tra 1654 seregka cwd DIR 259,6 4096 8388609 /home/seregka sh 1735 seregka cwd DIR 259,6 4096 8388609 /home/seregka pxgsettin 1736 seregka cwd DIR 259,6 4096 8388609 /home/seregka applet.py 1934 seregka cwd DIR 259,6 4096 8388609 /home/seregka applet.py 1934 seregka 2w REG 259,6 14409 8388632 /home/seregka/.xsession-errors.old aria2c 3058 seregka cwd DIR 259,6 4096 8913302 /home/seregka/.config/persepolis_download_manager agent 7521 seregka cwd DIR 259,6 4096 8388609 /home/seregka agent 7521 seregka 2w REG 259,6 66867 8388616 /home/seregka/.xsession-errors applet.py 8240 seregka cwd DIR 259,6 4096 8388609 /home/seregka applet.py 8240 seregka 2w REG 259,6 66867 8388616 /home/seregka/.xsession-errors xdg-deskt 8980 seregka cwd DIR 259,6 4096 8388609 /home/seregka xdg-deskt 8980 seregka mem REG 259,6 624 8655867 /home/seregka/.local/share/mime/mime.cache xdg-docum 8984 seregka cwd DIR 259,6 4096 8388609 /home/seregka xdg-permi 8987 seregka cwd DIR 259,6 4096 8388609 /home/seregka sh 9006 seregka cwd DIR 259,6 4096 8388609 /home/seregka pxgsettin 9007 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfsd-net 18892 seregka cwd DIR 259,6 4096 8388609 /home/seregka gvfsd-dns 18913 seregka cwd DIR 259,6 4096 8388609 /home/seregka ERROR: Cannot proceed.
Шифрование домашней папки на Linux с помощью fscrypt
Не так давно, по случаю, мне достался ноутбук. Скончался от болезни человек, с которым я был в хороших отношениях. Спустя какое то время родственники приятеля начали распродавать и раздавать имущество умершего. Мне отдали ноутбук. Ноут Acer, не особо новый и не дорогой, особой ценности не представляет, отдали бесплатно. Но попросили по возможности достать оттуда данные — старые фото и видео на память. На ноутбуке установлена десятка и учетка с паролем, которого никто не знал. Делаю загрузочную флешку, цепляю съемный диск. Готово. В процессе копирования посмотрел, что еще есть на диске. Текстовые файлы с паролями, профиль браузера, какая то рабочая документация, личные заметки и т.д. Ненужно и не интересно. Фото и видео отдал родственникам. Диск отформатировал. Ноут в кладовку.
Но в процессе ковыряния ноутбука, у меня появилась мысль. А хотелось бы мне, что бы в подобной ситуации кто то, так же лазил в моем ноутбуке. Нет, мне бы очень этого не хотелось. Несмотря на то, что там нет чего-то компрометирующего и критически важного для меня и моих близких. Все равно нет. Не приятно. А с учетом того, что мой ноутбук всегда и везде со мной. То я могу его где то забыть, потерять да и банальную кражу тоже никто не отменял. И если за свой телефон и планшет по этому поводу я не переживал, все таки там биометрия и шифрование, то ноутбук давал мне повод для беспокойства. Шифрования у меня там не было.
А так как последние лет десять я сидел под ubuntu то меня заинтересовало, а как там дела с шифрованием обстоят в linux.
Сразу оговорюсь. В первую очередь меня интересовала защита от случайных людей — сотрудников сервисных центров и мастерских, мамкиных хакеров и различных домашних аникейщиков. У меня нет задачи противостоять сотрудникам спецслужб, международным криминальным организациям и специалистам по криптографии. До этого, два раза, у меня был лайтовый опыт общения со следователями по уголовным делам и по этому, на свой счет, я иллюзий не испытываю.
У меня установлена ubuntu 22.04 и все манипуляции я проводил на ней. Но я думаю, что эта инструкция подойдет и к любым другим дистрибутивам. Каких то специфических, дистрибутив зависимых вещей там нет.
Итак, начал разбираться. Основной способ шифрования который сейчас предлагает при установке ubuntu и другие, это шифрование всего диска с помощью LUKS + LVM. Мне он не подошел. Во первых я не хотел переустанавливать ОС и во вторых я не хотел целиком шифровать весь диск. Для меня это слишком избыточный метод, я хотел шифровать только свою домашнюю папку. Хотя я знаю, что сейчас это наиболее правильный метод для защиты данных.
Далее по популярности шло использование eCryptFS. Этот способ до 2018 года тоже предлагался в ubuntu при установке. Затем Canonical по различным причинам отказался от него. На данный момент проект то ли поддерживается, то ли не поддерживается. До конца я так и не понял.
Поэтому я решил использовать fscrypt. Нативный метод шифрования для ext4. Разрабатывается и поддерживается google, используется в chromeOS и Android для шифрования. Ну, что еще надо.
Поверхностное гугление выдало пару инструкций. Но судя по комментариям после одной из них компьютер уходил в цикличную перезагрузку, ну а вторая просто не работала. Пришлось идти на гитхаб проекта и читать документацию.
Итак, если вы хотите зашифровать свою домашнюю папку с помощью fscrypt на уже установленной операционке с файловой системой ext4:
tune2fs -O encrypt /dev/ваш диск
apt install fscrypt libpam-fscrypt
- Создаем нового пользователя (например user1) и включаем его в группу sudo. Так как мы далее будем проводить манипуляции с нашей домашней папкой, то делать это лучше всего из под другого пользователя. Завершаем сеанс нашего основного пользователя (например user0) и заходим нашим новым пользователем (user1). Дальше все действия выполняем под ним.
- Настраиваем fscrypt
user1@laptop:# sudo fscrypt setup
будет создан конфигурационный файл
Created global config file at "/etc/fscrypt.conf".
Metadata directories created at "/.fscrypt"
на запрос создания файла метаданных в корне ./ нажимаем Y
5. Создаем новую домашнюю папку user0-new
user1@laptop:# sudo mkdir /home/user0-new
user1@laptop:# sudo fscrypt encrypt /home/user0-new --user=user0(ваш основной пользователь)
- В появившемся диалоге выбираем 1. Т.е для дешифровки папки будет использоваться ваш пароль для логина в системе. И вводим пароль вашего основного пользователя(user0)
The following protector sources are available: 1 - Your login passphrase (pam_passphrase) 2 - A custom passphrase (custom_passphrase) 3 - A raw 256-bit key (raw_key) Enter the source number for the new protector [2 - custom_passphrase]: 1 IMPORTANT: Before continuing, ensure you have properly set up your system for login protectors. See https://github.com/google/fscrypt#setting-up-for-login-protectors Enter login passphrase for user0: "user0-new" is now encrypted, unlocked, and ready for use.
user1@laptop:#sudo cp -a -T /home/user0 /home/user0-new
user1@laptop:# sudo mv user0 user0.backup
user1@laptop:# sudo mv user0-new user0
Все готово. Перезагружаемся и заходим вашим основным пользователем (user0). Если все нормально, то удаляем нового пользователя и папку с бекапом (user0.backup).