Szyfrowanie katalogu domowego - Opcja dostepna podczas instalacji

[Mofades]

Chciałbym dokładniej zapytać , co oznacza wybranie tej opcji i czy jest ona w ogóle potrzebna , lub też przydatna.
Przeszukałem trochę forum lecz nie znalazłem takowej informacji co to dokładniej oznacza.
Z góry dziękuję za odpowiedzi.

[Echinos]

Zaznaczenie tej opcji spowoduje zaszyfrowanie plików znajdujących się w twoim katalogu domowym. Nie będzie możliwe ich odczytanie przez osoby trzecie bez podania hasła. Opcja jest przydatna jeżeli zależy ci na bezpieczeństwie i poufności danych.

[john_clock]

Chodzi o to, że normalnie ktoś może sobie u Ciebie uruchomić dystrybucję livecd i mając tam prawa administratora panować nad tym, co masz w katalogu domowym. Przy takim zaszyfrowaniu tworzy się takie wirtualne coś, które jest montowane tylko, gdy jesteś zalogowany. Także nawet jak ktoś się zaloguje jako root, to teoretycznie nie ma dostępu do Twojego katalogu.

To tak własnymi słowami. Poszukiwanie fachowych informacji możesz zacząć od tego pliku: /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt

[grzemach]

ja dodam od siebie jako twórca stron. Również nie masz dostępu do public_html z poziomu apache, więc wnioskuję że żadna aplikacja które nie została uruchomiona przez Ciebie nie ma dostępu do Twojego katalogu domowego (samba i wszelakie inne współdziele plików).

Wg. mnie opcja fajna, jednak trochę są przesadzone te ograniczenia, dla mnie było by lepiej gdyby można było w ten sposób zaszyfrować wybrany katalog a nie całość partycji. Fakt, że jest truecrypt i z niego właśnie korzystam - jestem paranoikiem i się tego nie wstydzę

[Rafek]

A czy opcja ta dostępna jest też po instalacji systemu - pytam o zaszyfrowanie partycji Home ?

[Mofades]

Dziękuję WSZYSTKIM bez wyjątku za pomoc , no teraz to wszystko już wiem , czyli rozumiem że warto zaznaczyć tą opcję? Jeśli w niczym to nie przeszkadza

[grzemach]

A czy opcja ta dostępna jest też po instalacji systemu - pytam o zaszyfrowanie partycji Home ?

Nie znalazłem. Możliwe, że jest gdzieś ukryta, ale nie znalazłem takiej opcji.

[Grandalf_]

Dziękuję WSZYSTKIM bez wyjątku za pomoc , no teraz to wszystko już wiem , czyli rozumiem że warto zaznaczyć tą opcję? Jeśli w niczym to nie przeszkadza

A czy po uruchomieniu, trzeba każdorazowo wpisywać hasło? Czy zalogowanie się jako dany użytkownik automatycznie otwiera dostęp?

[Echinos]

Zalogowanie się automatycznie odszyfrowuje pliki. Nie działa automatyczne logowanie.

[pawelwwa]

ja ponowie pytanie, czy opcje szyfrowania katalogu domowego można wybrać tylko przy instalacji??
a gdy ktoś zmienił zdanie i chce/nie chce mieć zaszyfrowany home to musi aż cały system reinstalować <mysli> /^?

[kklimonda]

Możesz zaszyfrować/odszyfrować katalog domowy po instalacji korzystając z konsoli - służą do tego narzędzia z paczki ecryptfs-utils

[pawelwwa]

dzięki za info..
udało mi się znaleźć blog z instrukcją "krok po kroku" jak zmigrować z nieszyfrowanego katalogu domowego na zaszyfrowany:
http://dustinkirkland.wordpress.com/200 ... directory/

a jak poznać, czy home jest rzeczywiście montowany z szyfrowanego voluminu/kontenera czy może jednak pliki nadal pozostają w "zwykłej" niezaszyfrowanej postaci ?

[grzemach]

wydaje mi się, że najprościej będzie uruchomić z live CD i zobaczyć czy widać pliki

[pawelwwa]

gdy uruchomie ubu z live pena to na dysku w home mam pliki .ecryptfs i .private a ponadto jest jakby normalnie mój katalog domowy z tym, że nie mozna do niego wejść z powodu zgłaszanego błędu braku uprawnień dostępu do pliku.

i tu sie nasuwa pytanie, czy nie mozna wejść w pliki usera w katalogu domowym dlatego że są one zaszyfrowane i montowane z .private i .ecryptfs czy może poprostu nie można tam wejść bo po uruchomieniu z live user ten nie ma uprawnień dostępu do pliku który tak naprawde nie jest zaszyfrowany (że są tam wszystkie pliki katalogu domowego) a jedynie nie można wejść bo sie nie jest ownerem tego.

więc tak jakby nadal nie mam pewnośći czy moj home jest rzeczywiście zaszyfrowany,

próbowałem poleceniem ecryptfs-umount-private aby sprawdzic czy znikną pliki ale otrzymałem komunikat że nie można bo trwa sesja, a gdy robie ecryptfs-mount-private to jakby nic sie nie działo.. to samo na tty1.

[sj65]

Moim zdaniem warto mieć jednego użytkownika z katalogiem domowym bez szyfrowania. O ile coś padnie, a zdarza się, mamy dostęp do trybu graficznego i możemy wykonać większość prac pilnych, a zabawę z naprawą przełożyć na inny termin.
Warto więc po instalacji, bez szyfrowanego konta zainstalować wspomniany w tym wątku pakiet ecryptfs-utils i poleceniem:

Kod: Zaznacz cały

sudo adduser --encrypt-home nazwa_nowego_użytkownika

stworzyć sobie zaszyfrowane konto.
Teraz po porównaniu wydajności możemy zdecydować którego konta będziemy używać na stałe i do jakich celów.
U mnie na laptopie z core duo 1.7 przy pracy z zaszyfrowanym kontem jest odczuwalna wolniejsza reakcja komputera.

Co do plików: Wszystkie pliki użytkownika z kontem szyfrowanym na dysku są zaszyfrowane. Po wylogowaniu ich nie widać.
Jawne, te które są otwarte, znajdują się w pamięci komputera. To, że widać je i ich nazwy w katalogu domowym nie oznacza, że są zapisane na dysku w postaci jawnej.
Nawet próbując odzyskać skasowane dane za pomocą testdisk'a lub innego narzędzia możemy odzyskać jedynie zaszyfrowaną postać pliku. Jedyną niedogodnością jest możliwość rozpoznania typu pliku po jego rozmiarze.
Warto więc do chowania niektórych danych stosować Truecrypt z długim hasłem i potrójnym algorytmem szyfrowania.

Skoro mówimy o zabezpieczeniu danych warto wspomnieć niewielki program secure-erase, jest w repozytorium.
Zawiera on kilka programów:
sfill -służy do czyszczenia wolnej powierzchni dysku nadpisując wolne miejsca.
srm nadpisuje pliki tak, że żaden wyspecjalizowany programie nie był w stanie go odzyskać i smem, sswap których zastosowanie można odgadnąć.
Jedynie przemieszczonych sektorów nie można usunąć lub oczyścić tym progamem.

Warto też stosować Seahorse wraz z wtyczkami i szyfrować, korzystając z menu podręcznego.

Zwróćmy uwagę, że Gedit tworzy kopie zapasowe plików i po usunięciu ich kopie pozostają na dysku, można te opcję wyłączyć.

No i używajmy szyfrowanej poczty. Aż dziw bierze, że ludzie porządnie zabezpieczają mieszkania, samochody a ważne informacje przekazują emailem bez szyfrowania.

Warto też co jakiś czas kasować logi w /var/log dużo tam można przeczytać o pracy komputera, a także .bash_history folder.cofig z katalogu domowego, a także /root.
Myślę, że warto dopisać w tym miejscu właśnie w Przedszkolu swoje informacje na temat bezpieczeństwa, bo sam szyfrowany katalog to nie wszystko. Może jakieś HowTo? -na właściwym miejscu.

Pozdrawiam
sj65