67 votes

elight24 avatar

Comment crypter /home sur Ubuntu 18.04 ?

Demandé el 28 de Avril, 2018
Quand la question a-t-elle été
58421 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Déçu de voir que le programme d'installation de la version 18.04 ne propose plus l'option de chiffrer le répertoire personnel. D'après este rapport de bogue référencé dans l'installateur, la méthode recommandée pour le cryptage de nos jours est le disque complet avec LUKS, ou fscrypt pour les répertoires. Le chiffrement complet du disque semble un peu exagéré pour mes besoins, et tous les bogues et avertissements mentionnés dans le rapport de bogue de l'installateur. Wiki n'en font pas une option très attrayante. Tout ce que je veux vraiment, c'est protéger mon répertoire personnel afin que personne ne puisse accéder à mes documents, photos, etc. si mon ordinateur portable était volé, ce qui fait de fscrypt l'option qui me convient.

En Page GitHub de fscrypt propose quelques exemples de configuration, mais je ne trouve aucune documentation sur le cryptage du répertoire personnel sous Ubuntu. L'ancien outil ecryptfs est toujours disponible, mais après l'avoir configuré, Ubuntu se figeait parfois à l'écran de connexion.

Ma question est donc la suivante : comment puis-je configurer fscrypt pour crypter mon répertoire /home et le décrypter lorsque je me connecte ? J'ai également aimé la façon dont ecryptfs permettait de décrypter le dossier manuellement (par exemple, à partir d'images disque).

(Une question similaire a été postée aquí et a malheureusement été fermé pour être un rapport de bogue "hors sujet". Pour clarifier, il ne s'agit pas d'un rapport de bogue. Le fait que l'option de cryptage du répertoire personnel ait été supprimée de l'installateur était intentionnel. Tout ce que je demande ici est comment configurer fscrypt).

Demandé el 28 de Avril, 2018 par elight24

Réponses

Trop de publicités?

34voto

Redsandro avatar
Redsandro Points 3484

Mise à jour 2020-02

Je fais tourner plusieurs maisons cryptées avec fscrypt . Installez votre système sans cryptage et utilisez ce guide pour mettre en œuvre fscrypt sur votre maison.

L'API pour fscrypt pourrait changer à l'avenir. Veillez donc à sauvegarder vos fichiers importants si vous tentez de mettre votre système à niveau.

(Cette fonction n'est pas très utilisée sur les ordinateurs de bureau. Utilisez-la à vos risques et périls).

Mise à jour 2018-11

TL:DR ; Vous pouvez essayer fscrypt dans Ubuntu 18.10+ ou Linux Mint 19.1+.

On dirait que ça a finalement été corrigé. Voici un guide préventif : http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Je ne cite pas d'instructions ici car cela nécessite quelques manipulations et vous pouvez finir par perdre vos données personnelles.

Attention : Un avertissement de l'utilisateur @dpg : "ATTENTION : J'ai suivi les instructions de ce "guide préemptif" (je l'ai fait sous tty), et j'ai eu une boucle de connexion infinie."

Considérez ce guide à des fins éducatives uniquement.

Voici ma réponse originale :

Réponse originale 2018-05

TL;DR : Utilisez le cryptage classique de la maison avec Linux Mint 19 Tara .

fscrypt pour le cryptage domestique est toujours cassé.

Comment puis-je configurer fscrypt pour crypter mon répertoire /home et le décrypter lorsque je me connecte ?

C'est quelque chose que beaucoup d'entre nous souhaitent. Il semble que l'équipe d'Ubuntu n'a pas pu obtenir ecryptfs pour fonctionner sans bogue sur Ubuntu 18.04, et n'a pas pu corriger les bogues en fscrypt pour une option de cryptage à domicile à temps pour la version 18.04 d'Ubuntu.

Para fscrypt Il y a au moins un bug critique qui le rend inutilisable pour le cryptage domestique pour le moment :

De plus, nous aurions besoin d'un moyen transparent d'authentification/déverrouillage avant que cela ne devienne une alternative réaliste au "vieux" cryptage domestique de type ecryptfs. Ceci est suivi ici :

Avec ces questions en suspens, vous pouvez considérer que le cryptage domestique est rompu à ce stade. Avec cela, mes collègues et moi considérons Ubuntu 18.04 18.04.1 inachevée pour le moment, et j'espère que le chiffrement à domicile sera rétabli (en utilisant la nouvelle et bien meilleure version de l fscrypt ) dans Ubuntu 18.04.1 18.04.2.

En attendant, nous restons sous Ubuntu 16.04. Nous avons passé toutes nos machines en mode Linux Mint 19 Tara avec le cryptage classique de la maison en utilisant ecryptfs . Lire l'article "problèmes connus" dans la section Notes de publication pour Linux Mint 19 Tara sur le ecryptfs et voyez si cela est acceptable pour vous :

(...) Veuillez noter que dans Mint 19 et les versions plus récentes, votre répertoire personnel crypté n'est plus démonté lors de la déconnexion.

Si vous avez essayé fscrypt et que vous avez trouvé qu'il n'est pas adapté à votre utilisation, vous pouvez voter "ce bug m'affecte aussi" au bug suivant du launchpad :

Notez que fscrypt / ext4-crypt (futur "encryptage de la maison") est l'option la plus rapide et ecryptfs (anciennement "crypter la maison") est l'option la plus lente. LUKS ("crypter le disque entier") est au milieu.

C'est pourquoi le chiffrement de l'ensemble du disque est recommandé de manière pratique. En effet, si vous avez de très gros projets avec de nombreux petits fichiers, si vous utilisez beaucoup la gestion des révisions, si vous faites de grosses compilations, etc., vous constaterez que la surenchère du chiffrement de l'ensemble du disque en vaut la peine par rapport à la lenteur de l'ancien chiffrement domestique de type ecryptfs.

Au final, le chiffrement de l'ensemble du disque présente de multiples inconvénients :

  • Compte d'invité
  • Ordinateur portable familial avec comptes privés
  • Utilisation d'un logiciel antivol de type PREY

C'est curieux que Canonical ait décidé que "nous n'avons plus besoin de ça" sur leur version LTS, qui est désormais connue comme leur distribution la plus "sérieuse".

Répondu el 3 de Mai, 2018 par Redsandro (3484 Points )

10voto

ptetteh227 avatar
ptetteh227 Points 1644

En La réponse de Panther ici Le cryptage complet du disque crypte tout, y compris /home, tandis que le cryptage d'un répertoire spécifique, par exemple /home, n'est crypté que lorsque vous n'êtes pas connecté.

Pour crypter le répertoire personnel d'un utilisateur existant :

  • Déconnectez-vous d'abord de ce compte et connectez-vous à un compte administrateur.

  • Installez les utilitaires de cryptage pour le travail :

    sudo apt install ecryptfs-utils cryptsetup

    de cela bug du launchpad ecryptfs-utils est maintenant dans le repo de l'univers.

  • Migrer le dossier personnel de cet utilisateur :

    sudo ecryptfs-migrate-home -u <user>

    suivi du mot de passe de l'utilisateur de ce compte

  • Déconnexion et connexion au compte utilisateur crypté avant un redémarrage pour terminer le processus de cryptage.

  • À l'intérieur du compte, imprimez et enregistrez la phrase de passe de récupération :

    ecryptfs-unwrap-passphrase

Vous pouvez maintenant redémarrer et vous connecter. Une fois que vous êtes satisfait, vous pouvez supprimer le dossier personnel de sauvegarde.

Aussi, si vous voulez créer un nouvel utilisateur avec un répertoire personnel crypté :

sudo adduser --encrypt-home <user>

Pour plus d'informations : man ecryptfs-migrate-home , man ecryptfs-setup-private .

Répondu el 28 de Avril, 2018 par ptetteh227 (1644 Points )

3voto

Mr. Cypherpunk avatar
Mr. Cypherpunk Points 39

Personnellement, je ne recommanderais presque jamais l'utilisation de File System Encryption (FSE) à quiconque, dans la plupart des cas d'utilisation. Il y a plusieurs raisons à cela, dont la moindre n'est pas le fait qu'il existe des alternatives plus efficaces. Vous parlez tous comme s'il n'y avait que deux options, soit FSE, soit FDE (Full Disk Encryption). Or, ce n'est tout simplement pas le cas. En fait, il existe deux autres options qui seraient bien plus avantageuses pour le PO, à savoir le chiffrement des conteneurs de fichiers et les archives chiffrées.

Le chiffrement des conteneurs de fichiers est la raison d'être de logiciels tels que Veracrypt et Truecrypt, aujourd'hui disparus. Le cryptage des conteneurs est intégré dans la plupart des logiciels d'archivage de compression de fichiers comme Winzip et 7zip, en tant qu'option lors de la création d'une telle archive.

Les deux ont de nombreux avantages par rapport à FSE, le plus évident étant que vous n'avez pas besoin de les laisser montés lorsque vous ne travaillez pas avec vos fichiers cryptés. Cela empêche toute personne d'accéder à qui que ce soit capable d'outrepasser les protections de la clé de profil utilisateur, et du verrouillage de l'écran. De plus, vous pouvez faire quelque chose de stupide, comme vous éloigner de votre ordinateur, mais oublier de verrouiller l'écran, ou autoriser quelqu'un à utiliser l'ordinateur, en espérant qu'il ne jettera pas un coup d'œil à vos répertoires cachés. En outre, vous pouvez facilement déplacer de grandes quantités de fichiers à la fois, sans avoir besoin de les crypter d'une autre manière, puisque les conteneurs sont portables.

L'un des avantages des conteneurs Veracrypt est qu'ils peuvent être montés comme un lecteur, ce qui vous permet de les formater avec un système de fichiers distinct, de préférence un système de fichiers sans journalisation, comme EXT2 ou FAT32. Un système de fichiers journalistique pourrait potentiellement faire fuir des informations à un attaquant. Cependant, si tout ce que vous faites est de cacher vos photos personnelles, ce n'est peut-être pas si important pour vous. En revanche, si vous détenez des secrets d'État ou des données protégées par la loi, c'est possible. Vous pouvez également les configurer pour qu'ils soient montés automatiquement au démarrage, si vous utilisez un fichier clé. Toutefois, cela n'est pas recommandé, car le fichier clé doit être stocké dans un endroit moins sécurisé que celui où FSE stocke la clé du profil utilisateur.

Les deux offrent la possibilité d'utiliser la compression des fichiers. Vous pouvez également masquer les noms de fichiers, bien que ce ne soit pas toujours le cas lorsque vous utilisez des archives compressées, selon l'algorithme de compression utilisé.

Personnellement, j'utilise le cryptage des conteneurs pour les fichiers qui ne seront pas déplacés, et les archives cryptées pour les fichiers qui seront déplacés ou stockés dans le nuage, car la taille des fichiers est plus petite.

Le cryptage d'un répertoire personnel est toujours possible avec le cryptage des conteneurs. Peut-être stocker votre clé de cryptage sur une YubiKey ?

Quoi qu'il en soit, je voulais juste vous proposer quelques alternatives qui n'ont pas été mentionnées par les autres posters. N'hésitez pas à être d'accord ou non avec ce que j'ai dit.

Répondu el 9 de Mai, 2018 par Mr. Cypherpunk (39 Points )

0voto

Akronix avatar
Akronix Points 1213

Si, comme moi, vous effectuez une nouvelle installation d'Ubuntu 18.04 à partir d'Ubuntu 16.04 et que vous avez déjà crypté vos données /home vous verrez que vous ne pouvez pas vous connecter après l'installation. Tout ce que vous avez à faire est d'installer les paquets relatifs à ecryptfs : sudo apt install ecryptfs-utils cryptsetup redémarrez et connectez-vous.

Pour installer ces paquets, vous pouvez soit vous connecter sur un tty supplémentaire une fois que budgie est chargé ( Cntrl + Alt + F1 ) ou entrez dans le mode de récupération linux et installez-le à partir de là.

Répondu el 10 de Octobre, 2019 par Akronix (1213 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X