Eu tenho um $HOME não criptografado (usei a instalação básica, sem particionamento adicional e sem criptografia). Agora quero mover meu $HOME para uma partição criptografada em uma unidade externa (ou movê-lo para lá primeiro e criptografá-lo depois, não importa). Quais são as etapas que devo seguir, assumindo que tenho uma unidade não particionada? O que eu acho que é o principal problema para mim: como montar o $HOME criptografado no login ou na inicialização?
Desde já, obrigado.
EDITAR:Essepostagem no blogé sobre o ecryptfs-migrate-homecomando. Mas agora existe o problema: funcionará para o diretório inicial de um usuário em uma unidade externa montada em /home?
Responder1
Existem duas opções populares para criptografar os dados em sua pasta pessoal:
usando um dispositivo de bloco criptografado entre o disco físico e seu sistema de arquivos: Este método é conhecido como partição criptografada, criptografia de disco (completa), LUKS ou dm-crypt.
O sistema de arquivos /home, /home/user ou /path/to/sensitive/data será armazenado no dispositivo de bloco criptografado. Antes de montar o sistema de arquivos, normalmente no início do processo de inicialização, o sistema solicitará a senha.
Este método normalmente requer a alteração do layout da partição e é frequentemente usado com LVM. Se você quiser seguir esse caminho, recomendo encontrar um bom tutorial (atualizado com sua versão do Ubuntu).
usando um sistema de arquivos criptografado em cima do seu sistema de arquivos normal. Este método é conhecido como ecryptfs ou diretório “Privado”.
Para esta configuração, a tabela de partições e os sistemas de arquivos existentes permanecem intactos. Os dados, que devem ser criptografados, serão roteados através do driver do sistema de arquivos ecryptfs.
Seu sistema já deve contar com um diretório Privado, que funciona assim.
Normalmente, sua senha de login é usada para gerar a senha de criptografia. Nesse caso, você só precisa digitar a senha uma vez no prompt normal de login. A criptografia “simplesmente funciona” de forma transparente.
Você pode usar ecryptfs para todo o seu diretório inicial. É simples se você criar um novo usuário na linha de comando.
adduser --encrypt-home newusernamecria um diretório inicial criptografado para newusername.
O wiki fornece mais informações sobreeste método.
Como @dAnjou percebeu, existe um script para habilitar o ecryptfs para um usuário existente.
Como o ecryptfs funciona em um sistema de arquivos, não importa onde os dados estão fisicamente armazenados. Dependendo da versão do Ubuntu ou do procedimento de configuração, alguns metadados do ecryptfs residem em arquivos
/var/lib/ecryptfs. A montagem /home em armazenamento externo é possível e compatível com ecryptfs.
Responder2
Se você tiver uma nova instalação, isso tornará isso mais fácil para você. Uma boa pergunta é: você deseja criptografar sua pasta pessoal ou toda a pasta pessoal? Você pode montar a unidade como home inteira ou /home/user. Eu pessoalmente configuraria isso como um usuário doméstico. Use este vídeo para configurar a criptografia da unidade.http://www.youtube.com/watch?v=M4JYkZxnhJwUma coisa que notei no vídeo é que a criptografia é criada quando a partição é criada. Portanto, todos os dados são perdidos nessa partição.
Você também pode criptografar a partição seguindo as informações aqui.https://help.ubuntu.com/community/EncryptedHome