ubuntu home 加密(Ubuntu软件中心)
如何加密Ubuntu的主文件夹
而现在计算机行业和互联网行业中,黑客人群的迅速扩大和成长,让我们连接到互联网的计算机硬盘时刻都处于不安全的状态下。所以如果能给这个主文件夹或者硬盘进行加密,那么在安全方面,就有了一道安全屏障,从而增加 Ubuntu的安全性。下面我来和大家一起研究研究如何加密这个文件夹。目前为止 Ubuntu的几个版本在安装的时候都有选项让您选择是否加密主文件夹,不过如果由于一些原因,您没有选择或者忘记了选择加密主文件夹,那么我们也可以在安装后在来使用这个功能。下面是将主文件夹从未加密设定为加密的步骤和过程,您可以从这个步骤中了解哪些文件的重要性,从而让它们更加安全。注意事项:在开始下面的操作之前,您需要查看您的硬盘空间大小,硬盘剩余空间需要大约是您主目录现在容量大小的 2.5倍(比如您的主目录现在是 10GB大小,那么您需要 25GB的剩余空间)。如果硬盘空间不足,那么这个加密过程将不能完成,会提示您“Not enough free disk space”这个错误。另外一个需要提示您的是,在您进行下面的操作前,您最好最好最好在其他存储设备(比如移动硬盘)上复制您的主文件夹,从而以防不测。好了,我们开始!第一步:安装需求软件首先,我们要安装使用的软件,从而加密主目录。打开一个终端窗口(快捷键CTRL+ALT+T)或者从程序菜单中点击终端图标。然后在终端窗口中输入如下命令:sudo apt-get install ecryptfs-utils然后,我们需要添加一个测试用户。我们可以在"System Settings"==>"User Accounts"中找到添加用户的功能。您可能需要点击右上角的"Unlock"按钮然后输入管理员密码来获得管理员权限。然后左下角的"+"号按钮就可以使用了。点击它,在"Account Type"中选择"Administrator"(我们需要一个管理员账户),然后输入我们要建立账户的名字,如"test"。输入名字后,点击"Create"按钮来创建这个用户。接下来,用户创建好了以后,现在我们还没有给这个账号建立密码,而且账号默认也是"Lock"的,所以我们也要再次点击右上角的"Unlock"按钮来解锁它。在解锁以后,我们就可以点击"Password"右侧的"Account disabled"来给这个账号建立一个密码。我们给它一个强壮的密码(数字+英文+特殊符号),哈。点击"Change"来确认密码。这时,原本是"Account disabled"的地方已经变成了一些小星星。用户已经创建完毕,我们需要重启一下 Ubuntu。以让我们可以用我们新建立的账户来登录。第二步:迁移文件和加密主目录当我们重启 Ubuntu到登录界面的时候,我们不要登录。这个时候,我们需要按下 Ctrl+ Alt+ F1组合键,切换到文本模式,然后在这里使用我们新建好的用户名和密码登录。登录后,输入如下命令:sudo ecryptfs-migrate-home-u USER首先,它会询问您当前用户的密码,然后会询问您 USER用户的密码。注意,命令中的 USER是您需要加密的用户的用户名,USER用户的密码也是您需要加密的用户的密码。好了,当两次密码输入完成后,它就开始自己用作了,你会看到屏幕上滚动着相关的文本信息,根据您的主目录的容量大小,从而决定了这个过程的时间长短。当命令运行结束的时候,您会看到一些信息。仔细的查看他们,因为你将来会删除主目录的一些文件和文件夹,这里详细记录了您可以删除的文件。注意事项:在这个过程执行中和执行完毕后,您千万不要重启、注销和退出SESSION。直到您执行完下面的过程后您才可以这么做。第三步:设置密码和完成加密过程我们继续,在这个命令执行完毕的界面,我们按下 Ctrl+ Alt+ F7组合键,我么会回到窗口登录界面。用我们原来的用户名和密码登录(不是新建立的那个用户)。登录后,会弹出一个执行加密密码信息的窗口。点击窗口中的"Run this action now"按钮。这时会弹出如下终端窗口:在这个窗口中输入您要使用的加密密码后回车。将这个密码保存在一个您可以得到却又安全的地方。现在您可以重启您的 Ubuntu了,登录后,您已经处在加密的 Ubuntu会话中了。如果一切都正常的话,您现在可以删除那些在主目录中的多余的文件和文件夹了(您可以使用 sudo rm-rf FOLDER命令来删除那些有一些随机字母跟随的那些文件名,比如:您的主目录名.xzsdyes之类的文件)。最后,您需要删除我们在开始的时候创建的那个用户。本文中有不对的地方,请大家多多指出,我们一起共同学习共同进步。
教你如何给Ubuntu系统文件加密
椋┳酉低吃谀�锹际弊霸刂髂柯嫉幕埃�闵踔粱鼓芗用苷�鲋髂柯肌R蛭猯ibpam-mount模块允许PAM在用户登录时自动装载任意设备,所以我们要连同openssl一起来安装该模块。命令如下所示:$ sudo apt-get install libpam-mount openssl接下来,编辑文件/etc/pam.d/common-auth,在其末尾添加下列一行: auth optional pam_mount.so use_first_pass然后在文件/etc/pam.d/common-session末尾添加下列一行内容: session optional pam_mount.so现在,我们来设置PAM,告诉它需要装载哪些卷、以及装载位置。对本例而言,假设用户名是Ian,要用到的设备是/dev/sda1,要添加到/etc/security/pam_mount.conf文件中的内容如下所示: volume Ian crypt-/dev/sda1/home/Ian cipher=aes aes-256-ecb/home/Ian.key如果想使用磁盘映象,你需要在此规定回送设备(比如/dev/loop/0),并确保在Ian登录之前系统已经运行losetup。为此,你可以将 losetup/dev/loop/0/home/secret.img放入/etc/rc.local文件中。因为该卷被加密,所以PAM需要密钥来装载卷。最后的参数用来告诉PAM密钥在/home/Ian.key文件中,为此,通过使用OpenSSL来加密你的口令来建立密钥文件:$ sudo sh-c"echo'YOUR PASSPHRASE'| openssl aes-256-ecb>/home/Ian.key"这时,提示你输入密码。注意,这里的口令必需和想要的用户登录密码一致。原因是当你登录时,PAM需要你提供这个密码,用以加密你的密钥文件,然后根据包含在密钥文件中的口令用dm-crypt装载你的主目录。需要注意的是,这样做会把你的口令以明文的形式暴露在.history文件中,所以要及时利用命令history-c清楚你的历史记录。此外,要想避免把口令存放在加密的密钥文件中的话,可以让创建加密文件系统的口令和登录口令完全一致。
如何在Linux系统上加密文件和目录
加密类型
我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密,在这种加密中,你可以选择性地加密某些文件或者目录(如,/home/alice)。对我而言,这是个十分不错的方法,你不需要为了启用或者测试加密而把所有一切重新安装一遍。然而,文件系统级别的加密也有一些缺点。例如,许多现代应用程序会缓存(部分)文件你硬盘中未加密的部分中,比如交换分区、/tmp和/var文件夹,而这会导致隐私泄漏。
另外一种方式,就是所谓的全盘加密,这意味着整个磁盘都会被加密(可能除了主引导记录外)。全盘加密工作在物理磁盘级别,写入到磁盘的每个比特都会被加密,而从磁盘中读取的任何东西都会在运行中解密。这会阻止任何潜在的对未加密数据的未经授权的访问,并且确保整个文件系统中的所有东西都被加密,包括交换分区或任何临时缓存数据。
可用的加密工具
在Linux中要实施加密,有几个可供选择的工具。在本教程中,我打算介绍其中一个:eCryptFS,一个用户空间文件系统加密工具。下面提供了一个Linux上可用的加密工具摘要供您参考。
文件系统级别加密
EncFS:尝试加密的最简单方式之一。EncFS工作在基于FUSE的伪文件系统上,所以你只需要创建一个加密文件夹并将它挂载到某个文件夹就可以工作了。
eCryptFS:一个POSIX兼容的加密文件系统,eCryptFS工作方式和EncFS相同,所以你必须挂载它。
磁盘级别加密
Loop-AES:最古老的磁盘加密方法。它真的很快,并且适用于旧系统(如,2.0内核分支)。
DMCrypt:最常见的磁盘加密方案,支持现代Linux内核。
CipherShed:已停止的TrueCrypt磁盘加密程序的一个开源分支。
eCryptFS基础
eCrypFS是一个基于FUSE的用户空间加密文件系统,在Linux内核2.6.19及更高版本中可用(作为encryptfs模块)。eCryptFS加密的伪文件系统是挂载到当前文件系统顶部的。它可以很好地工作在EXT文件系统家族和其它文件系统如JFS、XFS、ReiserFS、Btrfs,甚至是NFS/CIFS共享文件系统上。Ubuntu使用eCryptFS作为加密其家目录的默认方法,ChromeOS也是。在eCryptFS底层,默认使用的是AES算法,但是它也支持其它算法,如blowfish、des3、cast5、cast6。如果你是通过手工创建eCryptFS设置,你可以选择其中一种算法。
就像我所的,Ubuntu让我们在安装过程中选择是否加密/home目录。好吧,这是使用eCryptFS的最简单的一种方法。
Ubuntu提供了一个用户友好的工具集,通过eCryptFS可以让我们的生活更轻松,但是在Ubuntu安装过程中启用eCryptFS只创建了一个指定的预配置的设置。所以,如果默认的设置不适合你的需求,你需要进行手工设置。在本教程中,我将介绍如何在主流Linux发行版上手工设置eCryptFS。
eCryptFS的安装
Debian,Ubuntu或其衍生版:
代码如下:
$ sudo apt-get install ecryptfs-utils
注意,如果你在Ubuntu安装过程中选择加密家目录,eCryptFS应该已经安装了。
CentOS, RHEL or Fedora:
代码如下:
# yum install ecryptfs-utils
Arch Linux:
代码如下:
$ sudo pacman-S ecryptfs-utils
在安装完包后,加载eCryptFS内核模块当然会是一个很好的实践:
代码如下:
$ sudo modprobe ecryptfs
配置eCryptFS
现在,让我们开始加密一些目录,运行eCryptFS配置工具:
代码如下:
$ ecryptfs-setup-private
它会要求你输入登录密码和挂载密码。登录密码和你常规登录的密码一样,而挂载密码用于派生一个文件加密主密钥。这里留空可以生成一个(复杂的),这样会更安全。登出然后重新登录。
你会注意到,eCryptFS默认在你的家目录中创建了两个目录:Private和.Private。~/.Private目录包含有加密的数据,而你可以在~/Private目录中访问到相应的解密后的数据。在你登录时,~/.Private目录会自动解密并映射到~/Private目录,因此你可以访问它。当你登出时,~/Private目录会自动卸载,而~/Private目录中的内容会加密回到~/.Private目录。
eCryptFS怎么会知道你拥有~/.Private目录,并自动将其解密到~/Private目录而不需要我们输入密码呢?这就是eCryptFS的PAM模块捣的鬼,它为我们提供了这项便利服务。
如果你不想让~/Private目录在登录时自动挂载,只需要在运行ecryptfs-setup-private工具时添加“--noautomount”选项。同样,如果你不想要~/Private目录在登出后自动卸载,也可以自动“--noautoumount”选项。但是,那样后,你需要自己手工挂载或卸载~/Private目录:
[/code]$ ecryptfs-mount-private~/.Private~/Private
$ ecryptfs-umount-private~/Private
你可以来验证一下.Private文件夹是否被挂载,运行:
代码如下:
$ mount
现在,我们可以开始把任何敏感文件放进~/Private文件夹里头了,它们会在我们登出时自动被加密并锁在~/.Private文件内。
所有这一切看起来是那么得神奇。这主要是ecryptfs-setup-private工具让一切设置变得简单。如果你想要深究一点,对eCryptFS指定的方面进行设置,那么请转到官方文档。
结尾
综上所述,如果你十分关注你的隐私,最好是将基于eCryptFS文件系统级别的加密和全盘加密相结合。切记,只进行文件加密并不能保证你的隐私不受侵犯。
