web-dev-qa-db-ja.com

Linuxで自動拡張暗号化フォルダーを作成しますか?

Ext4-dataパーティションに暗号化されたフォルダーを作成したいと思います。ここに秘密のデータを移動できます。

そのようなフォルダを作成するにはどうすればよいですか?

ドライブはすでに半分以上いっぱいになっているので、作成時にフォルダのサイズを定義する必要がないようにする方法はありますか?

最適にいっぱいになると大きくなります

更新:

ありがとう、あなたの答えのために、私はecryptfsを使用します。

ここに、bashコマンドがこれを構成するためにどのように見えるかを示してください。したがって、最終的にはフォルダー/data/ファイルを移動できる場所(別のハードドライブにあるフォトライブラリフォルダーを暗号化したい)

また、再起動するたびにこのフォルダを使用できるようにするには、起動プロセスでいつどこでパスワードを入力する必要がありますか。

encryptiondisk-encryption
6
rubo77

2つのオプションは EcryptfsEncFS です。どちらも Fuse インターフェースを備えているため、データはext4ファイルシステム上のファイルに保存され、マウントポイントを介してアクセスされます。

どちらも同じセキュリティ目標を持っています。ファイルの内容とファイル名を暗号化しますが、ディレクトリ構造とメタデータ(サイズ、変更時間など)は表示されたままにします。

これらのいずれかを使用して、最初にファイルシステムを作成します。ファイルシステムは空から始まります。次に、データをそこに移動します。これにより、データが暗号化されます。暗号化されたデータが作成されるとクリアテキストデータが消去されるため、移動中のディスク使用量はほぼ同じです。

データを移動したら、クリアテキストファイルシステムにファイルcat /dev/zero >zero; rm zeroを完全に入力します。これにより、消去されたファイルの以前のコンテンツが消去されます。消去されたファイルの名前とメタデータの痕跡は、あちこちのディレクトリエントリに残っています。それらを取り除く唯一の現実的な方法は、パーティション全体を消去することです。

Ecryptfsは、 bunt ;でホームディレクトリの暗号化を選択したときに得られるものです。インストール後にGUIを使用して設定できます。 Arch Wiki には詳細なコマンドラインの説明があります。 Ecryptfsには、暗号化されたデータを~/.Privateに入れて~/Privateにマウントすることを自動化するツールが付属しています。実行するだけです ecryptfs-setup-private 。デフォルトのUbuntuセットアップでは、ログインパスワードがEcryptfsキーファイルのパスフレーズになります。短いログイン/画面ロック解除パスワードと長い復号化パスフレーズが必要な場合、これは望ましくない場合があります。

EcryptfsとEncFSの間では、デザインが非常にすっきりしていて、カーネルにフックするためパフォーマンスが向上するため、Ecryptfsをお勧めします。私がEncFSを選択する唯一の理由は、カーネルがEcryptfsをサポートしていないマシンを使用している場合です。ルートアクセスなしではインストールできませんが、EncFSはFuseを使用するためのアクセス許可のみを必要とします。

4
Gilles 'SO- stop being evil'

Encfsを使用することをお勧めします。暗号化されたファイルシステム内の各ファイルは、バッキングファイルシステム内のファイルに対応しますが、内容と名前は暗号化されています。 encfsは実際にはファイルシステムではなく、実際のファイルシステムのフォルダーの上にある暗号化レイヤーであるため、暗号化されたファイルは、暗号化されていない場合よりも大幅に多くのスペースを必要としません。

このアプローチには、次の欠点があります。

  • 攻撃者は、ファイルの大きさやフォルダへのグループ化を確認できます(ただし、ファイルやフォルダの実際の名前は確認できません)。たとえば、gitリポジトリには特定の構造的特性があるため、彼はencfsにgitリポジトリがあることを高い信頼性で識別できる可能性があります。
  • Fuseを使用します。したがって、すべてのデータは、カーネルとユーザースペースの間で通常は必要とされない1回のラウンドトリップを実行する必要があるため、少し遅くなります。
1
thejh

EncFS あなたが探していることをします。ここにいくつかの buntuの方向性 があります。これはおそらく他の多くのLinuxディストリビューションに適用できます。

暗号化されたファイルシステムの通常の方法は、適用されるファイルシステムのタイプに関係なく、パーティションを暗号化することです(これにより、ファイル自体だけでなく、どのバイトを定義するすべてのメタデータも暗号化されますどのファイルまたはディレクトリの一部です)。 「いっぱいになると成長する」という要件があるため、これを簡単に行うことはできません。 EncFSは、他の方法、つまり、ディスク表面のバイトを追跡するという退屈な仕事のために、実際の暗号化されていないファイルシステムに便乗する特別な暗号化対応ファイルシステムを使用します。これはもう少し多くのデータをリークする傾向があるため、ディスクを繰り返しスパイできる攻撃者は、暗号化されたファイルシステムに書き込んでいるファイルのサイズと性質を推測する可能性があります。

電源の入っていないラップトップコンピューターを盗む攻撃者を倒すために暗号化されたファイルシステムが必要な場合は、EncFSで問題ありません。

0
Thomas Pornin

探しているコマンドは次のとおりです。

ecryptfs-setup-private
0
derrend