EncFS poskytuje šifrovaný souborový systém v uživatelském prostoru. Běží bez jakýchkoli speciálních oprávnění a k poskytování rozhraní souborového systému používá knihovnu FUSE a modul jádra Linuxu. Jedná se o průchozí souborový systém, nikoli o šifrované blokové zařízení, což znamená, že je vytvořeno nad existujícím souborovým systémem. Tento tutoriál ukazuje, jak můžete použít EncFS na Ubuntu 15.10 (Wiley Werewolf) k šifrování dat.
1 předběžná poznámka
Používám uživatelské jméno falko na mém systému Ubuntu 15.10 v tomto tutoriálu. Bezpečnostní audit odhalil některé problémy v aktuální implementaci encfs. Podívejte se prosím na bezpečnostní upozornění níže, abyste se rozhodli, zda způsob, jakým chcete encfs používat, je těmito problémy ovlivněn. Alternativou k encfs je ecryptfs (https://launchpad.net/ecryptfs), kterému se budu věnovat v jiném tutoriálu.
Informace o zabezpečení Encfs
"Podle bezpečnostního auditu provedeného Taylor Hornby (Defuse Security) je současná implementace Encfs zranitelná nebo potenciálně zranitelná vůči více typům útoků. Například útočník s přístupem pro čtení/zápis k šifrovaným datům může snížit dešifrování složitost následně zašifrovaných dat, aniž by si toho všiml legitimní uživatel, nebo by k odvození informací mohl použít časovou analýzu. Dokud nebudou tyto problémy vyřešeny, encfsby nemělo být považováno za bezpečný domov pro citlivá data ve scénářích, kdy jsou takové útoky možné.“
2 Instalace EncFS
EncFS lze nainstalovat následovně (potřebujeme práva roota, proto používáme sudo):
sudo apt-get install encfs
Nyní byste se měli podívat na manuálovou stránku EncFS, abyste se seznámili s jejími možnostmi:
man encfs
3 Použití EncFS
Nyní vytvořím zašifrované a dešifrované adresáře v mém domovském adresáři:
mkdir -p ~/encrypted
mkdir -p ~/decrypted
Dešifrovaný adresář funguje jako přípojný bod pro zašifrovaný adresář. Chcete-li připojit ~/encrypted k ~/decrypted, jednoduše spusťte:
encfs ~/encrypted ~/decrypted
Pokud tento příkaz spustíte poprvé, spustí se nastavení EncFS a vy musíte definovat heslo pro šifrovaný svazek:
[email protected]:~$ encfs ~/encrypted ~/decrypted
Vytváření nového šifrovaného svazku.
Vyberte si jednu z následujících možností:
zadejte "x" pro expertní konfiguraci režim,
zadejte „p“ pro předem nakonfigurovaný režim paranoie,
cokoli jiného nebo prázdný řádek vybere standardní režim.
?> <-- p
Vybrána konfigurace paranoia.
Konfigurace byla dokončena. Souborový systém, který má být vytvořen, má
následující vlastnosti:
Šifra systému souborů:"ssl/aes", verze 3:0:2
Kódování názvu souboru:"nameio/block", verze 4:0 :2
Velikost klíče:256 bitů
Velikost bloku:1024 bajtů, včetně 8bajtové MAC hlavičky
Každý soubor obsahuje 8bajtovou hlavičku s jedinečnými IV daty.
Názvy souborů kódované pomocí IV řetězení režimu.
Data souboru IV jsou zřetězena k názvu souboru IV.
Díry v souborech prošly šifrovaným textem.
-------------------------- VAROVÁNÍ --------------------- ------
Možnost externího řetězení inicializačních vektorů byla
povolena. Tato možnost zakáže použití pevných odkazů v
systému souborů. Bez pevných odkazů nemusí některé programy fungovat.
O programech 'mutt' a 'procmail' je známo, že selhávají. Pro
další informace naleznete v seznamu adresátů encfs.
Pokud byste chtěli zvolit jiné nastavení konfigurace,
stiskněte nyní prosím CTRL-C pro přerušení a začněte znovu.
Nyní budete muset zadat heslo pro váš souborový systém.
Toto heslo si budete muset zapamatovat, protože neexistuje absolutně
žádný mechanismus obnovy. Heslo však lze
později změnit pomocí encfsctl.
Nové heslo Encfs:<-- Zde zadejte bezpečné heslo
Ověřte heslo Encfs:<-- Zadejte bezpečné heslo podruhé
Ujistěte se, že si heslo pamatujete, protože neexistuje způsob, jak obnovit zašifrovaná data, pokud heslo zapomenete!
Nyní byste měli najít svazek EncFS ve výstupech
mount
[e-mail chráněný]:~$ mount
sysfs na /sys typu sysfs (rw,nosuid,nodev,noexec,relatime)
proc na /proc typu proc (rw,nosuid,nodev,noexec ,relatime)
udev na /dev type devtmpfs (rw,nosuid,relatime,size=1006420k,nr_inodes=251605,mode=755)
devpts na /dev/pts typu devpts (rw,cnosuid,noexe ,relatime,gid=5,mode=620,ptmxmode=000)
tmpfs na /spustit typ tmpfs (rw,nosuid,noexec,relatime,size=204480k,mode=755)
/dev/mapper /server1--vg-root na / zadejte ext4 (rw,relatime,errors=remount-ro,data=ordered)
securityfs na /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime )
tmpfs na /dev/shm typu tmpfs (rw,nosuid,nodev)
tmpfs na /run/lock typu tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs na /sys/fs/cgroup typu tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup na /sys/fs/cgroup/systemd typ cgroup (rw,nosuid,nodev,noexec,relatime ,xattr,release_agent=/lib/systemd/systemd-cgroups-agent,name=systemd)
pstore na /sys/fs/pstore typu pstore (rw,nosuid,nodev,noexec,relatime)
cgroup na /sys/fs/cgroup/net_cls,typ net_prio cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup na /sys/fs/cgroup/devices zadejte cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup na /sys/fs/cgroup/cpuset typu cgroup (rw,nosuid,nodev,noexec,relatime ,cpuset,clone_children)
cgroup na /sys/fs/cgroup/blkio typu cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup na /sys/fs/cgroup/cpu,cpuacct zadejte cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup na /sys/fs/cgroup/memory typ cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup na /sys/fs/cgroup/hugetlb typu cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb)
cgroup na /sys/fs/cgroup/perf_event typu cgroup (rw,nosuid,nodev,noexec, relatime,perf_event)
cgroup na /sys/fs/cgroup/freezer typu cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
systemd-1 na /proc/sys/fs/binfmt_misc typu autofs (rw,relatime,fd=21,pgrp=1,timeout=0, minproto=5,maxproto=5,direct)
mqueue na /dev/mqueue typ mqueue (rw,relatime)
debugfs na /sys/kernel/debug typu debugfs (rw,relatime)
hugetlbfs na /dev/hugepages typu hugetlbfs (rw,relatime)
fusectl na /sys/fs/fuse/connections typu fusectl (rw,relatime)
/dev/sda1 na /boot typu ext2 (rw, relatime)
tmpfs na /run/user/1000 typu tmpfs (rw,nosuid,nodev,relatime,size=204480k,mode=700,uid=1000,gid=1000)
encfs na /home/ falko/dešifrovaný typ fuse.encfs (rw,nosuid,nodev,relatime,user_id=1001,group_id=1001)
a
df -h
[chráněno e-mailem]:~$ df -h
Velikost souborového systému Použitá dostupnost Využití % Nasazeno na
udev 983M 0 983M 0% /vývoj
tmpfs 200M 4,9M 195M 3% /běh
/dev/dm-0 28G 1,7G 25G 7% /
tmpfs 999M 0 999M 0% /dev/shm
tmpfs 5,0M 0 5,0M 0% /run/lock
tmpfs 999 M 0 999 M 0 % /sys/fs/cgroup
/dev/sda1 236 M 51 M 173 M 23 % /boot
tmpfs 200 M 0 200 M 0 % /run/user/1000 Gencs 28
1,7G 25G 7% /home/falko/decrypted
Chcete-li svá data uložit v zašifrované podobě, vložte data do dešifrovaného adresáře, stejně jako byste to udělali s normálním adresářem:
cd ~/decrypted
echo "hello foo"> foo
echo "hello bar"> bar
ln -s foo foo2
Pokud zkontrolujete obsah adresáře, uvidíte, že jej vidíte v nezašifrované podobě...
ls -l
[e-mail chráněný]top:~/decrypted$ ls -l
celkem 8
-rw-rw-r-- 1 falko falko 10. listopadu 10 14:57 bar
-rw -rw-r-- 1 falko falko 10. listopadu 10 14:57 foo
lrwxrwxrwx 1 falko falko 3. listopadu 10 14:57 foo2 -> foo
... v zašifrovaném adresáři je zašifrován:
cd ~/encrypted
ls -l
[e-mail chráněný]:~/encrypted$ ls -l
celkem 8
lrwxrwxrwx 1 falko falko 24. listopadu 10 14:57 gIKlbEtIpTfiGOCy,wKFpMFd -> nZgFI3/taUSHOrw2v rw-r-- 1 falko falko 26. listopadu 10 14:57 mEqwt,ssEJhGYpN8HfJMoVxk
-rw-rw-r-- 1 falko falko 26. listopadu 10 14:57 nZgFI3sHOu-V5Chcete-li odpojit šifrovaný svazek, spusťte:
cd
fusermount -u ~/decryptedZkontrolujte výstupy...
mount... a...
df -h... a uvidíte, že svazek EncFS již není uveden.
Chcete-li jej znovu připojit, spusťte
encfs ~/encrypted ~/decryptedBudete požádáni o heslo, které jste definovali dříve:
[e-mail chráněn]:~$ encfs ~/encrypted ~/decrypted
Heslo EncFS:<-- vaše tajné hesloPokud zadáte správné heslo, připojí se adresář ~/encrypted do adresáře ~/decrypted, odkud máte přístup ke svým zašifrovaným datům v nezašifrované podobě. Pokud zapomenete heslo, vaše šifrovaná data budou ztracena!
Pokud chcete změnit heslo, můžete to provést pomocí
encfsctl passwd ~/encryptedpříkaz.
[email protected]:~$ encfsctl passwd ~/encrypted
Zadejte aktuální heslo Encfs
Heslo EncFS:<-- vaše tajné heslo
Zadejte nové heslo Encfs
Nové heslo Encfs:<-- newstajné heslo
Ověřte heslo Encfs:<-- newsecretpassword
Klíč svazku byl úspěšně aktualizován.
4 odkazy
- EncFS:http://www.arg0.net/encfs
- Ubuntu:http://www.ubuntu.com/