Dla osób poszukujących prostego i uniwersalnego rozwiązania do szyfrowania swojego katalogu domowego w systemie Linux, EcryptFS stanowi doskonały wybór. Po właściwej konfiguracji użytkownicy będą mogli z łatwością szyfrować oraz odszyfrowywać swoje prywatne dokumenty.
OSTRZEŻENIE SPOILERA: Przewiń w dół, aby obejrzeć samouczek wideo na końcu artykułu.
Instalacja EcryptFS
Zanim rozpoczniesz proces szyfrowania, konieczne jest zainstalowanie odpowiedniego narzędzia. EcryptFS jest popularnym rozwiązaniem, które działa na większości dystrybucji Linuksa i jest intuicyjne w obsłudze. Aby go zainstalować, upewnij się, że korzystasz z Ubuntu, Debiana, Arch Linux, Fedory, OpenSUSE lub innej dystrybucji, w przypadku której możesz skompilować go ze źródeł.
Ubuntu
sudo apt install ecryptfs-utils
Debian
sudo apt-get install ecryptfs-utils
Arch Linux
sudo pacman -S ecryptfs-utils
Fedora
sudo dnf install ecryptfs-utils
OpenSUSE
sudo zypper install ecryptfs-utils
Inne dystrybucje Linuksa
Nie możesz znaleźć pakietu EcryptFS w swojej dystrybucji? W takim przypadku musisz pobrać kod źródłowy i zainstalować go ręcznie. W razie problemów z kompilacją, możesz skorzystać z dokumentacji EcryptFS.
Szyfrowanie katalogu domowego
Podczas szyfrowania utworzymy tymczasowego użytkownika, który nie będzie stałym kontem. Po zakończeniu poniższego przewodnika całkowicie go usuniemy. Utworzenie tymczasowego konta administratora jest niezbędne, ponieważ nie można szyfrować katalogu użytkownika, będąc na nim zalogowanym.
Tworzenie nowego użytkownika
Aby stworzyć nowego użytkownika, otwórz terminal i zaloguj się jako root.
su
lub
sudo -s
Gdy jesteś zalogowany jako root, użyj polecenia useradd, aby stworzyć tymczasowe konto. Upewnij się, że dodasz flagę -M, aby uniknąć tworzenia nowego katalogu domowego.
useradd -M encrypt-admin
Polecenie useradd utworzy nowego użytkownika, ale nie przypisze mu hasła. Skorzystaj z polecenia passwd, aby ustawić nowe hasło dla encrypt-admin.
passwd encrypt-admin
Użytkownik encrypt-admin jest gotowy do użycia, ale nie ma uprawnień do wykonywania poleceń roota. Aby przyznać mu te uprawnienia, musimy dodać go do pliku sudoers. Użyj polecenia visudo, aby edytować ten plik konfiguracyjny.
EDITOR=nano visudo
W edytorze Nano przewiń do sekcji „# Specyfikacja uprawnień użytkownika”. Powinieneś zobaczyć linię „root ALL=(ALL:ALL) ALL”. Naciśnij Enter pod tym wierszem i wpisz:
encrypt-admin ALL=(ALL:ALL) ALL
Aby zapisać zmiany w pliku visudo, naciśnij Ctrl + O, a następnie zamknij edytor za pomocą Ctrl + X.
Rozpoczęcie szyfrowania
Żeby rozpocząć proces szyfrowania, wyloguj się z konta, którego katalog domowy chcesz zaszyfrować. Na ekranie logowania naciśnij kombinację klawiszy Alt + Ctrl + F1. Jeśli ta kombinacja nie zadziała, spróbuj od F2 do F6.
W konsoli TTY wpisz nazwę użytkownika encrypt-admin oraz wcześniej ustawione hasło. Następnie użyj EcryptFS, aby rozpocząć szyfrowanie.
Uwaga: zamień „twoja nazwa użytkownika” na nazwę konta, z którego się wylogowałeś. Aby zaszyfrować katalogi różnych użytkowników, powtórz to polecenie dla każdego z nich.
sudo ecryptfs-migrate-home -u yourusername
To polecenie przeniesie dane użytkownika do zaszyfrowanego katalogu domowego. Możesz teraz bezpiecznie wylogować się z tymczasowego konta administratora i wrócić do swojego standardowego konta. Aby wylogować się z konsoli TTY, użyj:
exit
Polecenie exit powinno przenieść cię z powrotem do ekranu logowania. Następnie naciśnij Alt + F2 do F7, aby wrócić do trybu graficznego.
Usunięcie konta użytkownika
EcryptFS jest teraz w pełni skonfigurowany, więc nadszedł czas, aby usunąć konto administratora do szyfrowania. Rozpocznij od usunięcia go z pliku sudoers. Otwórz terminal i zmodyfikuj plik visudo.
sudo -s
EDITOR=nano visudo
Przewiń w dół, aby znaleźć i usunąć wcześniej dodany wpis:
encrypt-admin ALL=(ALL:ALL) ALL
Po zapisaniu zmian w pliku sudoers naciśnij Ctrl + O, a następnie wyjdź z Nano używając Ctrl + X.
Teraz użytkownik encrypt-admin nie ma już możliwości uzyskania uprawnień roota ani modyfikowania systemu. Możesz go pozostawić, ponieważ nie stanowi zagrożenia, ale jeśli nie chcesz mieć dodatkowych użytkowników, lepiej go usunąć. Użyj polecenia userdel, aby usunąć to konto.
sudo userdel encrypt-admin
Ustawienie hasła szyfrowania
EcryptFS jest niemal gotowe do działania. Teraz musisz ustawić nowe hasło. Otwórz terminal (bez uprawnień sudo lub roota) i wprowadź nowe hasło. Pamiętaj, że szyfrowanie bez solidnego hasła nie ma sensu. Możesz odwiedzić strongpasswordgenerator.com, aby stworzyć silne hasło.
Uwaga: jeśli nie chcesz korzystać z generatora haseł, zapoznaj się z tym artykułem, aby dowiedzieć się, jak stworzyć własne, bezpieczne hasło.
ecryptfs-add-passphrase
Po wykonaniu polecenia „ecryptfs-add-passphrase” folder domowy powinien być w pełni zaszyfrowany. Aby rozpocząć korzystanie z niego, uruchom ponownie komputer z systemem Linux. Po restarcie EcryptFS poprosi o nowe hasło przy logowaniu.
newsblog.pl