Jeżeli pragniesz zabezpieczyć istotne pliki w systemie Linux, ale niekoniecznie szyfrować cały dysk twardy, warto rozważyć użycie gocryptfs. Umożliwia on stworzenie katalogu, który w praktyce szyfruje i odszyfrowuje wszelkie dane, które w nim przechowujesz.
Ochrona danych dzięki gocryptfs
Ochrona prywatności jest niezwykle ważna. Rzadko kiedy mija tydzień bez informacji o naruszeniu bezpieczeństwa w różnych organizacjach. Firmy informują o świeżych incydentach lub przypominają o tych, które miały miejsce w przeszłości. W obu przypadkach jest to zła wiadomość dla osób, których dane zostały ujawnione.
W dobie, gdy miliony użytkowników korzystają z takich usług jak Dropbox, Google Drive czy Microsoft OneDrive, ogromne ilości danych są przesyłane do chmury każdego dnia. Co zatem zrobić, aby chronić poufne informacje i dokumenty w razie naruszenia bezpieczeństwa?
Naruszenia danych mogą przybierać różne formy i rozmiary, a ich wystąpienie nie jest ograniczone jedynie do chmury. Zgubiony pendrive czy skradziony laptop to również przypadki naruszenia danych, choć w mniejszej skali. Nie ma znaczenia, jak duża jest skala; jeśli dane są wrażliwe, ich posiadanie przez niepowołane osoby może mieć poważne konsekwencje.
Jednym z rozwiązań jest szyfrowanie dokumentów. Tradycyjnie polega to na szyfrowaniu całego dysku twardego. Choć jest to bezpieczne, może również spowolnić działanie komputera. Dodatkowo, w przypadku awarii systemu, proces przywracania może być bardziej skomplikowany.
Gocryptfs umożliwia szyfrowanie tylko tych katalogów, które wymagają ochrony, co pozwala uniknąć obciążenia całego systemu związanym z szyfrowaniem i deszyfrowaniem. Jest to rozwiązanie szybkie, lekkie i intuicyjne. Ponadto, zaszyfrowane katalogi można łatwo przenosić na inne urządzenia. O ile masz hasło do danych, nie pozostawiasz śladów swoich plików na innym komputerze.
Gocryptfs działa jako lekki, zaszyfrowany system plików, który można montować za pomocą kont użytkowników, a nie tylko administratora, dzięki zastosowaniu rozszerzenia Filesystem in Userspace (FUSE). Działa jako łącznik między gocryptfs a procedurami systemu plików jądra, które są niezbędne do działania.
Jak zainstalować gocryptfs
Aby zainstalować gocryptfs na systemie Ubuntu, wystarczy wpisać poniższe polecenie:
sudo apt-get install gocryptfs
Dla systemu Fedora polecenie to:
sudo dnf install gocryptfs
Dla Manjaro polecenie brzmi:
sudo pacman -Syu gocryptfs
Tworzenie zaszyfrowanego katalogu
Jednym z największych atutów gocryptfs jest jego prostota. Oto kroki, które należy podjąć:
- Utwórz katalog, w którym będą przechowywane pliki i podkatalogi, które chcesz zabezpieczyć.
- Użyj gocryptfs, aby zainicjować ten katalog.
- Stwórz pusty katalog jako punkt montowania, a następnie zamontuj w nim zaszyfrowany katalog.
- W punkcie montowania możesz przeglądać i używać odszyfrowanych plików oraz tworzyć nowe.
- Po zakończeniu pracy odmontuj zaszyfrowany folder.
Utworzymy katalog o nazwie „vault” do przechowywania zaszyfrowanych danych. W tym celu wpisujemy:
mkdir vault
Następnie musimy zainicjować nasz nowy katalog. Ten krok tworzy system plików gocryptfs w katalogu:
gocryptfs -init vault
Kiedy pojawi się monit, wpisz hasło; musisz podać je dwukrotnie, aby upewnić się, że jest poprawne. Dobrze jest wybrać mocne hasło, na przykład składające się z trzech niepowiązanych słów, które zawierają znaki interpunkcyjne, cyfry lub symbole.
Twój klucz główny zostanie wygenerowany i wyświetlony. Skopiuj go i przechowuj w bezpiecznym miejscu. W naszym przykładzie tworzymy katalog gocryptfs na maszynie testowej, którą resetujemy po zakończeniu każdego artykułu.
Jeśli przejdziesz do nowego katalogu, zauważysz, że utworzone zostały dwa pliki. Wpisz następujące polecenia:
cd vault
ls -ahl
Plik „gocryptfs.diriv” to krótki plik binarny, podczas gdy „gocryptfs.conf” zawiera ustawienia i informacje, które również powinny być chronione.
Jeżeli zamierzasz przesyłać zaszyfrowane dane do chmury lub tworzyć ich kopie zapasowe na przenośnym nośniku, nie dodawaj tego pliku. Jeśli jednak tworzysz kopię zapasową na lokalnym nośniku, który pozostaje pod Twoją kontrolą, możesz ten plik dołączyć.
Przy odpowiednim czasie i wysiłku można potencjalnie wyodrębnić hasło z plików „zaszyfrowany klucz” i „sól”, jak pokazano poniżej:
cat gocryptfs.conf
Montowanie zaszyfrowanego katalogu
Zaszyfrowany katalog jest montowany w punkcie montowania, który jest po prostu pustym katalogiem. Utwórzmy taki o nazwie „geek”:
mkdir geek
Teraz możemy zamontować zaszyfrowany katalog w punkcie montowania. W rzeczywistości montujemy system plików gocryptfs wewnątrz zaszyfrowanego katalogu. Zostaniemy poproszeni o hasło:
gocryptfs vault geek
Gdy zaszyfrowany katalog jest zamontowany, możemy korzystać z katalogu punktu montowania tak samo, jak z każdego innego. Wszystko, co edytujemy i tworzymy w tym katalogu, zostanie zapisane w zamontowanym, zaszyfrowanym katalogu.
Możemy stworzyć prosty plik tekstowy, na przykład:
touch secret-notes.txt
Możemy go edytować, dodać do niego treść, a następnie zapisać:
gedit secret-notes.txt
Utworzono nasz nowy plik:
ls
Gdy wejdziemy do naszego zaszyfrowanego katalogu, jak pokazano poniżej, zobaczymy, że został utworzony nowy plik z zaszyfrowaną nazwą. Nie możemy nawet określić, jaki to typ pliku na podstawie jego nazwy:
cd vault
ls -hl
Próbując wyświetlić zawartość zaszyfrowanego pliku, stwierdzimy, że jest on rzeczywiście zaszyfrowany:
less aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU
Nasz prosty plik tekstowy, zaprezentowany powyżej, nie jest teraz łatwy do odszyfrowania.
Odmontowywanie zaszyfrowanego katalogu
Po zakończeniu pracy z zaszyfrowanym katalogiem możesz go odmontować, korzystając z polecenia fusermount. Część pakietu FUSE, poniższe polecenie odmontowuje system plików gocryptfs z punktu montowania:
fusermount -u geek
Po wpisaniu poniższego polecenia, aby sprawdzić katalog punktu montowania, zobaczysz, że nadal jest pusty:
ls
Wszystko, co zrobiłeś, jest teraz bezpiecznie przechowywane w zaszyfrowanym katalogu.
Prostota i bezpieczeństwo
Proste systemy są częściej wykorzystywane, podczas gdy bardziej skomplikowane procesy rzadko działają. Używanie gocryptfs jest nie tylko łatwe, ale również bezpieczne. Prostota bez odpowiedniego poziomu bezpieczeństwa nie byłaby korzystna.
Możesz tworzyć dowolną liczbę zaszyfrowanych katalogów lub zdecydować się na jeden, w którym przechowasz wszystkie wrażliwe dane. Istnieje także możliwość stworzenia kilku aliasów, co ułatwi montowanie i odmontowywanie zaszyfrowanych systemów plików.