У меня есть незашифрованный $HOME (я использовал самую простую установку без дальнейшего разбиения на разделы и вообще без шифрования). Теперь я хочу переместить свой $HOME на зашифрованный раздел на внешнем диске (или сначала переместить его туда и зашифровать позже, неважно). Какие шаги мне нужно сделать, если у меня неразбитый на разделы диск? Что, по-моему, является для меня главной проблемой: как мне смонтировать зашифрованный $HOME при входе в систему или запуске?
Заранее спасибо.
РЕДАКТИРОВАТЬ:ЭтотСообщение блогао ecryptfs-migrate-homeкоманде. Но теперь есть проблема: будет ли она работать для домашнего каталога пользователя на внешнем диске, смонтированном в /home?
решение1
Существует два популярных варианта шифрования данных в домашней папке:
использование зашифрованного блочного устройства между физическим диском и файловой системой: этот метод известен как зашифрованный раздел, (полное) шифрование диска, LUKS или dm-crypt.
Файловая система /home, /home/user или /path/to/sensitive/data будет сохранена в зашифрованном блочном устройстве. Перед монтированием файловой системы, обычно в начале процесса загрузки, система запросит пароль.
Этот метод обычно требует изменения разметки разделов и часто используется с LVM. Если вы хотите пойти этим путем, я рекомендую найти хорошее руководство (обновленное для вашей версии Ubuntu).
использование зашифрованной файловой системы поверх вашей обычной файловой системы. Этот метод известен как ecryptfs или "Private" directory.
Для этой настройки существующая таблица разделов и файловые системы остаются нетронутыми. Данные, которые должны быть зашифрованы, будут направлены через драйвер файловой системы ecryptfs.
В вашей системе уже должен быть личный каталог, который работает следующим образом.
Обычно ваш пароль для входа используется для генерации пароля шифрования. В этом случае вам нужно ввести пароль только один раз при обычном запросе на вход. Шифрование «просто работает» прозрачно.
Вы можете использовать ecryptfs для всего домашнего каталога. Это просто, если вы создадите нового пользователя в командной строке.
adduser --encrypt-home newusernameсоздает зашифрованный домашний каталог для newusername.
Вики предоставляет более подробную информацию оЭтот метод.
Как заметил @dAnjou, существует скрипт для включения ecryptfs для существующего пользователя.
Поскольку ecryptfs работает на файловой системе, неважно, где физически хранятся данные. В зависимости от версии Ubuntu или процедуры настройки некоторые метаданные ecryptfs находятся в
/var/lib/ecryptfs. Монтирование /home на внешнем хранилище возможно и совместимо с ecryptfs.
решение2
Если у вас новая установка, это облегчит вам задачу. Хороший вопрос: хотите ли вы зашифровать свою личную домашнюю папку или всю домашнюю папку? Вы можете смонтировать диск как весь дом или /home/user. Лично я бы настроил его как дом/пользователь. Используйте это видео для настройки шифрования диска.http://www.youtube.com/watch?v=M4JYkZxnhJwОдна вещь, которую я заметил в видео, это то, что шифрование создается при создании раздела. Поэтому все данные на этом разделе теряются.
Вы также можете зашифровать раздел, следуя информации здесь.https://help.ubuntu.com/community/EncryptedHome