加密目录的最简单方法是什么？（在Ubuntu上）

13

在基于Ubuntu的系统上加密目录的最简单方法是什么？

假设我有一台运行Ubuntu 10.04的笔记本电脑，在那上面我有一些文档应该保持安全（如果我丢失了笔记本电脑）。

假设所有文档都在一个名为〜/ work /的目录中，并且该目录之外没有任何秘密。因此，无需加密整个主目录。

应该有一种从命令行锁定/解锁该目录的方法。

似乎有一些不同的方法可以做到这一点：

ecryptfs-utils
加密设置
truecrypt（但未获得OSI批准的开放源代码）

但是，最简单，最可靠的方法是什么？

谢谢约翰

更新：相关问题，但不完全相同在ubuntu 10.04中加密我所有文件的最简单方法是什么？

ubuntu encryption disk-encryption

— 约翰
source

2

谁在乎Truecrypt是否获得OSI批准？OSI批准并不能等于更好的软件。Truecrypt是最好的解决方案，在某些情况下甚至挫败了FBI。

— TheLQ

3

使用OSI批准的许可证的软件更安全。

— 约翰

1

@TheLQ，@Johan：superuser.com/questions/164162/is-truecrypt-truly-safe

— Hello71

10

有三种方法：设置在分区上（加密的体积dm-crypt，与被配置cryptsetup），建立一个文件，该文件是一个加密的卷（TrueCrypt的），设置其中每个文件被分别加密（目录ecryptfs或encfs）。

设置加密的卷可以提供更多的保密性，因为文件的元数据（大小，修改时间）是不可见的。不利的一面是，它的灵活性较差（您必须预先确定加密卷的大小）。该ecryptfs常见问题列出了两种方法之间的一些差异。

如果您选择按文件加密文件，那么我知道两个选择：ecryptfs和encfs。前者使用内核驱动程序，而后者使用FUSE。这可能会带来ecryptfs速度优势；它encfs具有灵活性的优势，因为无需以root身份进行任何操作。一个可能的好处ecryptfs是，一旦完成了初始设置，由于有了该pam_ecryptfs模块，您可以将登录密码用作文件系统密码。

对于在类似情况下的自用，我选择了encfs，因为我看不到其他解决方案有任何实际的安全优势，因此易用性是决定因素。性能不是问题。工作流程非常简单（第一次运行encfs创建文件系统）：

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

我建议您还加密交换空间以及可能写入临时机密文件的任何位置，例如/tmp和/var/spool/cups（如果您打印机密文件）。使用cryptsetup加密交换分区。最简单的处理方法/tmp是通过将其安装为将其保留在内存中tmpfs（在任何情况下，这都可能会带来一点性能上的好处）。

— 吉勒斯“别再邪恶了”
source

我没有考虑过/ tmp，但是tmpfs以一种很好的方式解决了这个问题。只需执行真正的关机：s。

— 约翰

1

感谢您的指导encfs！这是太棒了！

— user39559 2010年

1

我专门将TrueCrypt用于此类事情。是否经过OSI批准，我发现它从未让我失望，而且我需要多次加密。

— 自我主义
source

1

快速简单的方法就是tar和compress再bcrypt。

tar cfj safe-archive.tar.bz2目录/ 
bcrypt safe-archive.tar.bz2 
＃会要求您两次输入8个字符的密码以将其锁定。
＃但是，请记住在此之后删除目录，
rm -rf目录/ 
＃并且，希望您不要忘记密码，否则您的数据不见了！

制作safe-archive.tar.bz2.bfe-如果您对此感到偏执，可以重命名。

要打开加密包，

bcrypt safe-archive.tar.bz2.bf3＃或者，无论您叫什么
tar xfj safe-archive.tar.bz2 
＃而且，您的目录又回来了！

如果您准备变得更混乱，我建议您truecrypt制作加密卷。
但是，我认为这对于常规数据不是必需的（例如，与国家安全无关）。

^{ps：请注意，我并不是说bcrypt在任何方面都是弱项或无力维护国家安全。}

回复我对以上回答的评论。
我试图给出一个简单的答案-并且，我确实同意我不建议将Truecrypt作为第一选择的选择可能不适合此处的某些人。

这个问题要求一种简单的方法来加密目录。
我在这里的安全性衡量基于两件事：

您想保护什么？
您想从谁那里保护它

我将此视为您的“偏执”程度。

现在，不用说Truecrypt（或其他类似方法）的成本更高，
我想说的是，在tmpfs中运行的bcrypt序列足以满足您今天的日常使用需求
（大概十年后，猜猜，但这确实是现在）。
而且，我还假设，此处存储的数据的价值对于mona-lisa类“恢复”尝试而言无法与之媲美。

那么一个简单的问题-您是否希望有人尝试抓住关机的笔记本电脑并尝试从其冷RAM空间中恢复数据？
如果这样做，您可能首先应该重新考虑您的硬件和软件，检查您连接到哪个ISP，谁可以听到您的按键操作，等等。

^{ps：我喜欢Truecrypt并使用它。是否符合OSI并不重要。而且，我不是在分阶段bcrypt进行竞争，而是在这里提出该计划。}

— 尼克
source

2

虽然我给出的答案是+1，但对于我们中间的真正偏执者……根据您的数据值，这可能不是一个好主意。用户必须意识到，此方法显然会将已删除目录的文件留在磁盘上，“坏蛋”可能会在其中恢复它们。只需在SU周围查找“在Linux中恢复已删除的文件”，即可了解它的安全性

— hotei 2010年

@hotei，是的，Truecrypt将解决此类复杂问题。另一个技巧是使用tmpfsRAM上的挂载来处理加密的目录-将ROM复制bfe到ramdisk，在其中使用它，再次加密，然后将加密的存档保存回文件系统。

— 尼克，2010年

2

我会比@hotei更进一步，并说这实际上没有加密的质量，因为它很容易恢复文件（整个市场致力于文件恢复）。加密必须是加密。这仅仅是加密的错觉

— TheLQ

2

@nik：不仅答案中所解释的方法不安全，而且很容易出错（如果忘记删除已解密的文件该怎么办？）。甚至您的使用建议tmpfs也非常冒险：如果您忘记重新加密文件而丢失修改，该怎么办？如果计算机崩溃（您将丢失所有修改）怎么办？它也不必要地复杂。使用适当的工具有很多实际的方法可以解决此问题，只需使用其中一种即可。

— 吉尔（Gilles）“所以，别再邪恶了”，2010年

1

@nik在附近的一所大学里有一个展览，显示即使在RAM关闭一个小时之后，您仍然可以制作出已加载到内存中的Mona Lisa的照片。除非您随后立即重新启动计算机，否则从RAM中恢复数据非常容易。IIRC Truecrypt对其RAM进行加密。

— digitxp 2010年

1

如果您只担心丢失笔记本电脑，Ubuntu ecryptfs已经为您准备好了。

创建用户帐户并给它一个体面的密码时，只需选择“加密的主目录”即可。这将保护您的主文件夹中的所有内容。

是的，它的加密能力超过~/work，但是是无缝的。

供/tmp使用tmpfs。

优点：

您不需要做任何其他事情，Ubuntu会为您做所有事情。
您的朋友可能会在旅途中使用您的计算机，只有在他们想要访问您的文件时才需要密码。

缺点：

还有其他地方可以泄漏数据-吉尔斯的答案是最完整的（对他来说是+1）。

因此，如果您不认为某些法医专家会尝试从已打印的内容中获取数据，那就足够了。

ecryptfs也可以加密交换，但是我建议您仅禁用交换，除非您遇到RAM不足的情况。没有交换，生活会更好。（或只是运行ecryptfs-setup-swap并按照说明更改fstab）

警告：在任何情况下，除非您刚买了这台笔记本电脑，否则硬盘上已经写入了很多东西。我在我的身上发现了一堆东西，没有任何东西可以清除它。您需要备份到另一个驱动器或分区，用零覆盖当前文件系统，然后还原文件（当然，只有在设置了加密之后才还原敏感文件）。

— 用户名
source

1

进行此设置的最简单，最快的方法是安装ecryptfs-utils和cryptkeeper：

sudo apt-get install ecryptfs-utils cryptkeeper

然后，一旦完成，请查看系统托盘。您会看到两个键的图标。单击它，然后选择“新建加密文件夹”。输入名称，然后单击“前进”按钮（位于左下角，而不是右侧）。然后，键入所需的密码，再次进行确认，然后再次单击“转发”，然后单击“确定”。

这将挂载加密的文件夹，您可以将文件复制到其中。完成后，如果注销或取消选中该已挂载的文件夹（单击系统托盘中的“钥匙”图标以这样做），则在重新挂载它之前，将需要再次输入密码。

— 沃洛米克
source