web-dev-qa-db-fra.com

Comment chiffrer / home sur Ubuntu 18.04?

Déçu de constater que le programme d'installation de 18.04 n'offre plus la possibilité de chiffrer le répertoire de base. Selon this rapport de bogue référencé dans le programme d'installation, la méthode recommandée pour le cryptage est le disque complet avec LUKS ou fscrypt pour les répertoires. Le chiffrement de plein disque semble un peu excessif pour mes besoins, et tous les bogues et mises en garde mentionnés sur le Wiki n'en font pas une option très attrayante. Tout ce que je veux vraiment, c’est protéger mon répertoire personnel contre tout accès de mes documents, photos, etc. si mon ordinateur portable était volé, ce qui me permettait de choisir fscrypt.

La page fscrypt GitHub a quelques exemples sur la façon de le configurer, mais je ne trouve aucune documentation visant à chiffrer le répertoire de base sur Ubuntu. L'ancien outil ecryptfs est toujours disponible, mais après l'avoir configuré, Ubuntu se figeait parfois à l'écran de connexion.

Ma question est donc la suivante: comment configurer fscrypt pour chiffrer mon répertoire/home et le déchiffrer lorsque je me connecte? J'ai également apprécié la manière dont ecryptfs permettait de déchiffrer le dossier manuellement (par exemple, à partir d'images de disque).

(Une question similaire a été postée ici et a malheureusement été fermée car elle était un rapport de bogue "hors sujet". Pour clarifier, il ne s'agit pas d'un rapport de bogue. Le fait que l'option de cryptage du répertoire de base ait été supprimée l'installateur était intentionnel. Tout ce que je demande ici, c'est comment configurer fscrypt.)

51
elight24

Mise à jour 2018-11

On dirait que ça a finalement été corrigé. Voici un guide de préemption: http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

Je ne cite pas moi-même les instructions ici parce que je n'ai pas testé cela, et la réponse ci-dessous était ma réponse originale.

Avertissement: Un avertissement de l'utilisateur @ dpg : "SOYEZ PRUDENT: j'ai suivi les instructions de ce" guide de préemption "(l'a fait sous tty), et j'ai obtenu une boucle de connexion infinie."

Considérez ce guide à des fins éducatives uniquement.


TL; DR: Utilisez le cryptage domestique classique avec Linux Mint 19 Tara .

fscrypt pour le chiffrement à domicile est toujours rompu.


Comment configurer fscrypt pour chiffrer mon répertoire/home et le déchiffrer lorsque je me connecte?

C'est quelque chose que beaucoup d'entre nous veulent. Il apparaît que l'équipe Ubuntu n'a pas pu obtenir ecryptfs sans fonctionner sur Ubuntu 18.04, et n'a pas pu corriger les bogues dans fscrypt pour une option de chiffrement à domicile à temps pour la version planifiée d'Ubuntu 18.04.

Pour fscrypt, il existe au moins un bogue critique qui le rend inutilisable pour le chiffrement à domicile pour le moment:

De plus, nous aurions besoin d’un moyen transparent d’authentification/déverrouillage avant de constituer une alternative réaliste au "vieux" cryptage de type ecryptfs. Ceci est suivi ici:

Avec ces problèmes ouverts, vous pouvez envisager le chiffrement à domicile cassé à ce stade. Sur ce, mes collègues et moi considérons Ubuntu 18.04 18.04.1 inachevé pour le moment et j'espère que le cryptage à domicile sera rétabli (à l'aide de la nouvelle et bien meilleure méthode fscrypt) sous Ubuntu 18.04.1 18.04.2.

Jusque-là, nous nous en tenons à Ubuntu 16.04.  Nous avons basculé toutes nos machines sur Linux Mint 19 Tara avec le cryptage à domicile classique à l'aide de ecryptfs. Lisez le "Problèmes connus" dans la section Notes de publication pour Linux Mint 19 Tara à propos des limitations de ecryptfs et voyez si cela vous convient:

(...) , veuillez noter que dans Mint 19 et les versions plus récentes, votre répertoire personnel crypté n'est plus démonté lors de la déconnexion.

Si vous avez essayé fscrypt et avez trouvé qu'il était cassé pour votre usage, vous pouvez voter "ce bogue m'affecte aussi" au bogue suivant du tableau de bord:


Notez que fscrypt/ext4-crypt (futur "encrypt home") est l’option la plus rapide et ecryptfs (ancien "encrypt home") est l’option la plus lente. LUKS ("chiffrer le lecteur entier") est au milieu.

Pour cette raison, le chiffrement intégral du disque est recommandé. Parce que si vous avez de très gros projets avec beaucoup de petits fichiers, utilisez beaucoup de gestion de révision, faites de grandes compilations, etc., vous constaterez que le surdimensionnement du cryptage de votre disque entier en vaut la peine comparé à la lenteur du vieux type ecryptfs. chiffrement à domicile.

Au final, le cryptage de l'intégralité du lecteur présente de nombreux inconvénients:

  • Compte d'invité
  • Ordinateur portable familial avec comptes privés
  • Utilisation d'un logiciel antivol de type PREY

Il est étonnant que Canonical ait décidé que "nous n’en avons plus besoin" sur leur version LTS, qui est désormais connue sous le nom de leur distribution plus "sérieuse".

24
Redsandro

De la réponse de Panther ici Le cryptage complet du disque crypte tout ce qui inclut/home tandis que le cryptage d'un répertoire spécifique tel que/home n'est crypté que lorsque vous n'êtes pas connecté.

Pour chiffrer un répertoire personnel d'utilisateurs existants:

Commencez par vous déconnecter de ce compte et connectez-vous à un compte administrateur:

installez les utilitaires de chiffrement pour le travail:

 Sudo apt install ecryptfs-utils cryptsetup

à partir de cela bug du tableau de bord ecryptfs-utils est maintenant dans le dépôt de l'univers.

migrer le dossier de base de cet utilisateur:

Sudo ecryptfs-migrate-home -u <user>

suivi du mot de passe utilisateur de ce compte

Ensuite, déconnectez-vous et connectez-vous au compte utilisateur chiffré, avant un redémarrage! pour compléter le processus de cryptage

À l'intérieur du compte, imprimez et enregistrez le mot de passe composé de récupération:

ecryptfs-unwrap-passphrase

Vous pouvez maintenant redémarrer et vous connecter. Une fois que vous êtes satisfait, vous pouvez supprimer le dossier de base de sauvegarde.

De même, si vous souhaitez créer un nouvel utilisateur avec un répertoire personnel chiffré:

Sudo adduser --encrypt-home <user>

Pour plus d'informations: man ecryptfs-migrate-home ; homme ecryptfs-setup-private

7
ptetteh227

Personnellement, je ne recommanderais presque jamais l'utilisation de File System Encryption (FSE) à qui que ce soit, dans la plupart des cas d'utilisation. Il y a plusieurs raisons, dont la moindre n'est pas le fait qu'il existe des alternatives plus efficaces. Vous parlez tous comme s'il n'y avait que deux options, FSE ou FDE (Full Disk Encryption). Cependant, ce n'est tout simplement pas le cas. En fait, il existe deux autres options qui profiteraient beaucoup mieux au PO, celles de chiffrement de conteneur de fichiers et d’archives chiffrées.

Le cryptage des conteneurs de fichiers est l’un des logiciels pour lesquels Veracrypt et Truecrypt, aujourd'hui disparu, ont été écrits. Le cryptage de conteneur est intégré à la plupart des logiciels d'archivage de compression de fichiers tels que Winzip et 7Zip, en option lors de la création d'une telle archive.

Les deux présentent de nombreux avantages par rapport à FSE, le plus évident étant que vous n’avez pas besoin de les laisser montés lorsque vous ne travaillez pas avec vos fichiers cryptés. Cela empêche toute personne d'accéder aux personnes qui peuvent outrepasser les protections de la clé de profil de l'utilisateur et du verrouillage de l'écran. Vous pouvez également faire quelque chose de stupide, comme vous éloigner de votre ordinateur, mais oublier de verrouiller l’écran ou permettre à quelqu'un d’utiliser l’ordinateur, en espérant qu’ils ne jetteront pas un œil à vos répertoires cachés. En outre, vous pouvez facilement déplacer de grandes quantités de fichiers à la fois, sans avoir à les chiffrer autrement, car les conteneurs sont portables.

L'un des avantages de la grande utilité des conteneurs Veracrypt réside dans le fait qu'ils peuvent être montés en tant que lecteur, ce qui vous permet de les formater avec un système de fichiers séparé, de préférence un système de fichiers sans journalisation, comme EXT2 ou FAT32. Le système de fichiers de journalisation peut potentiellement transmettre des informations à un attaquant. Toutefois, si vous ne cachez que vos photos personnelles, il se peut que cela ne vous concerne pas vraiment. Si, par contre, vous avez des secrets d’État ou des données protégées légalement, il se peut que ce soit le cas. Vous pouvez également les configurer pour monter automatiquement au démarrage, si vous utilisez un fichier de clé. Toutefois, cela n’est pas recommandé, car le fichier de clé doit être stocké dans un endroit moins sécurisé que celui dans lequel FSE stocke la clé de profil de l’utilisateur.

Les deux offrent la possibilité d'utiliser la compression de fichier. Vous pouvez également masquer les noms de fichiers, bien que ce ne soit pas toujours le cas lorsque vous utilisez des archives compressées, en fonction de l'algorithme de compression utilisé.

Personnellement, j'utilise le chiffrement de conteneur pour les fichiers qui ne seront pas déplacés et les archives chiffrées pour les fichiers qui seront déplacés ou stockés dans le cloud, car la taille de fichier est plus petite.

Le cryptage d'un répertoire de base est toujours possible avec le cryptage de conteneur. Peut-être stocker votre clé de cryptage sur une clé YubiKey?

En tout cas, je voulais juste vous proposer à tous des alternatives qui ne soient pas mentionnées par les autres affiches. N'hésitez pas à être d'accord ou en désaccord avec tout ce que j'ai dit.

1
Mr. Cypherpunk