我有一個未加密的 $HOME(我使用了非常基本的安裝,沒有進一步分割區,也沒有加密)。現在我想將我的 $HOME 移至外部磁碟機上的加密分割區(或先將其移至那裡然後再加密,這並不重要)。假設我有一個未分割的驅動器,我必須執行哪些步驟?我認為對我來說主要問題是:如何在登入或啟動時安裝加密的 $HOME?
提前致謝。
編輯:這部落格文章是關於ecryptfs-migrate-home命令的。但現在有一個問題:它適用於安裝在外部磁碟機上的用戶主目錄/home嗎?
答案1
有兩種流行的選項可用於加密主資料夾中的資料:
在實體磁碟和檔案系統之間使用加密的區塊裝置:此方法稱為加密分割區、(全)磁碟加密、LUKS 或 dm-crypt。
檔案系統 /home、/home/user 或 /path/to/sensitive/data 將儲存在加密區塊裝置中。在安裝檔案系統之前,通常是在啟動過程的早期,系統會要求輸入密碼。
此方法通常需要更改分區佈局,並且通常與 LVM 一起使用。如果你想走這條路,我建議你找到一個很好的教學(與你的 Ubuntu 版本保持同步)。
在普通檔案系統之上使用加密檔案系統。此方法稱為 ecryptfs 或「私有」目錄。
對於此設置,現有分區表和檔案系統保持不變。應加密的資料將透過 ecryptfs 檔案系統驅動程式進行路由。
您的系統應該已經具有一個私有目錄,其工作原理如下。
通常,您的登入密碼用於產生加密密碼。在這種情況下,您只需在正常登入提示時輸入密碼一次。加密透明地“正常工作”。
您可以對整個主目錄使用 ecryptfs。如果您在命令列建立一個新用戶,那就很簡單了。
adduser --encrypt-home newusername為新使用者名稱建立一個加密的主目錄。
維基百科提供了更多信息這個方法。
正如 @dAnjou 意識到的那樣,存在一個為現有用戶啟用 ecryptfs 的腳本。
由於 ecryptfs 在檔案系統上運作,因此資料的實體儲存位置並不重要。根據 Ubuntu 版本或設定過程,一些 ecryptfs 元資料駐留在
/var/lib/ecryptfs.可以在外部儲存體上安裝 /home 並且與 ecryptfs 相容。
答案2
如果您進行全新安裝,這將使您更輕鬆。一個好問題是您想要加密您的個人主資料夾還是整個主資料夾?您可以將磁碟機安裝為整個家庭或 /home/user。我個人會將其設定為家庭/用戶。使用此視訊設定驅動器加密。http://www.youtube.com/watch?v=M4JYkZxnhJw我在影片中註意到的一件事是在創建分割區時創建加密。因此該分割區上的所有資料都會遺失。
您也可以按照此處的資訊加密分割區。https://help.ubuntu.com/community/EncryptedHome