EncFS poskytuje šifrovaný souborový systém v uživatelském prostoru. Běží bez jakýchkoli speciálních oprávnění a používá knihovnu FUSE a modul linuxového jádra k poskytování rozhraní souborového systému. Je to průchozí souborový systém, nikoli šifrované blokové zařízení, což znamená, že je vytvořeno nad existujícím souborovým systémem. Tento tutoriál ukazuje, jak můžete použít EncFS na Debian Jessie k šifrování vašich dat.
1 předběžná poznámka
V tomto tutoriálu používám uživatelské jméno till na mém systému Debian Jessie.
2 Instalace EncFS
Přihlaste se jako uživatel root na vašem serveru nebo ploše, pokud používáte vzdálený server, můžete např. přihlášení přes SSH. EncFS lze nainstalovat s apt následovně (potřebujeme práva root):
apt-get -y install encfs
Zobrazí se následující varování:
Informace o zabezpečení Encfs
Podle bezpečnostního auditu provedeného Taylor Hornby (Defuse Security) je současná implementace Encfs zranitelná nebo potenciálně zranitelná vůči více typům útoků. Útočník s přístupem pro čtení/zápis k zašifrovaným datům může například snížit složitost dešifrování následně zašifrovaných dat, aniž by si toho všiml legitimní uživatel, nebo může použít časovou analýzu k odvození informací.
Dokud Pokud jsou problémy vyřešeny, encfs by neměly být považovány za bezpečný domov pro citlivá data ve scénářích, kde jsou takové útoky možné.
Přestože encfs nemusí být řešením pro šifrování dat pro větší organizace nebo vlády nebo pro použití na serverech, kde mají třetí strany přístup pro zápis k vašim datům způsobem popsaným výše, mělo by být stále dostatečně bezpečné pro osobní použití na vašem plocha počítače. Vezměte to prosím v úvahu, když se rozhodnete použít encfs.
Možná se nyní budete chtít podívat na manuálovou stránku EncFS, abyste se seznámili s jejími možnostmi:
man encfs
3 Použití EncFS
Nyní vytvořím zašifrované a dešifrované adresáře v mém domovském adresáři:
mkdir -p ~/encrypted
mkdir -p ~/decrypted
Dešifrovaný adresář funguje jako přípojný bod pro zašifrovaný adresář. Chcete-li připojit ~/encrypted k ~/decrypted, jednoduše spusťte:
encfs ~/encrypted ~/decrypted
Pokud tento příkaz spustíte poprvé, spustí se nastavení EncFS a vy musíte definovat heslo pro šifrovaný svazek:
[email protected]:~$ encfs ~/encrypted ~/decrypted
Vytváření nového šifrovaného svazku.
Vyberte si jednu z následujících možností:
zadejte "x" pro expertní konfiguraci režim,
zadejte „p“ pro předem nakonfigurovaný režim paranoie,
cokoli jiného nebo prázdný řádek vybere standardní režim.
?> <-- p
Vybrána konfigurace paranoia.
Konfigurace byla dokončena. Souborový systém, který má být vytvořen, má
následující vlastnosti:
Šifra systému souborů:"ssl/aes", verze 3:0:2
Kódování názvu souboru:"nameio/block", verze 3:0 :1
Velikost klíče:256 bitů
Velikost bloku:1024 bajtů, včetně 8bajtové MAC hlavičky
Každý soubor obsahuje 8bajtovou hlavičku s jedinečnými IV daty.
Názvy souborů kódované pomocí IV řetězení režimu.
Data souboru IV jsou zřetězena k názvu souboru IV.
Díry v souborech prošly šifrovaným textem.
-------------------------- VAROVÁNÍ --------------------- ------
Možnost externího řetězení inicializačních vektorů byla
povolena. Tato možnost zakáže použití pevných odkazů v
systému souborů. Bez pevných odkazů nemusí některé programy fungovat.
O programech 'mutt' a 'procmail' je známo, že selhávají. Pro
další informace naleznete v seznamu adresátů encfs.
Pokud byste chtěli zvolit jiné nastavení konfigurace,
stiskněte nyní prosím CTRL-C pro přerušení a začněte znovu.
Nyní budete muset zadat heslo pro váš souborový systém.
Toto heslo si budete muset zapamatovat, protože neexistuje absolutně
žádný mechanismus obnovy. Heslo však lze
později změnit pomocí encfsctl.
Nové heslo Encfs:<-- zadejte bezpečné heslo
Ověřte heslo Encfs:<-- zadejte bezpečné heslo
[e-mail chráněný]:~$
Ujistěte se, že si heslo pamatujete, protože neexistuje způsob, jak obnovit zašifrovaná data, pokud heslo zapomenete!
Nyní byste měli najít svazek EncFS ve výstupech
mount
[e-mail chráněný]:~$ mount
sysfs na /sys typu sysfs (rw,nosuid,nodev,noexec,relatime)
proc na /proc typu proc (rw,nosuid,nodev,noexec ,relatime)
udev na /dev type devtmpfs (rw,relatime,size=10240k,nr_inodes=125548,mode=755)
devpts na /dev/pts typ devpts (rw,nosuid,noexec,relatime ,gid=5,mode=620,ptmxmode=000)
tmpfs na /spustit typ tmpfs (rw,nosuid,relatime,size=204216k,mode=755)
/dev/sda1 on / typ ext4 (rw,relatime,errors=remount-ro,data=ordered,jqfmt=vfsv0,usrjquota=aquota.user,grpjquota=aquota.group)
securityfs na /sys/kernel/security type securityfs (rw,nosuid, nodev,noexec,relatime)
tmpfs na /dev/shm typu tmpfs (rw,nosuid,nodev)
tmpfs na /run/lock typu tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs na /sys/fs/cgroup typu tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup na /sys/fs/cgroup/systemd typ cgroup (rw,nosuid, nodev,noexec,relatime,xattr,release_agent=/lib/systemd/systemd-cgroups-agent,name=systemd)
pstore na /sys/fs/pstore typ pstore (rw,nosuid,nodev,noexec,relatime)
cgroup na /sys/fs/cgroup/cpuset typ cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup na /sys/fs/cgroup/cpu,cpuacct typu cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup na /sys/fs/cgroup/devices typ cgroup (rw ,nosuid,nodev,noexec,relatime,devices)
cgroup na /sys/fs/cgroup/freezer typu cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup na /sys/fs /cgroup/net_cls,net_prio typ cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup na /sys/fs/cgroup/blkio typ cgroup (rw,nosuid,nodev,noexec,relatime, blkio)
cgroup na /sys/fs/cgroup/perf_event typ cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
systemd-1 na /proc/sys/fs/binfmt_misc typ autofs ( rw,relatime,fd=23,pgrp=1,timeout=300,minproto=5,maxproto=5,direct)
mqueue na /dev/mqueue typ mqueue (rw,relatime)
debugfs na / sys/kernel/debug typ debugfs (rw,relatime)
fusectl na /sys/fs/fuse/ typ připojení fusectl (rw,relatime)
hugetlbfs na /dev/hugepages typ hugetlbfs (rw,relatime)
rpc_pipefs na /run/rpc_pipefs typ rpc_pipefs (rw,relatime)
encfs na /home /till/decrypted type fuse.encfs (rw,nosuid,nodev,relatime,user_id=5004,group_id=5005,default_permissions)
a
df -h
[chráněno e-mailem]:~$ df -h
Velikost souborového systému Využitá Využití % Nasazeno na
/dev/sda1 57G 2,2G 52G 5 % /
udev 10M 0 10M 0% /dev
tmpfs 200M 4,7M 195M 3% /run
tmpfs 499M 0 499M 0% /dev/shm
tmpfs 5,0M 0 5,0M 0% /run/lock
tmpfs 499 mil. 0 499 mil. 0 % /sys/fs/cgroup
encfs 57G 2.2G 52G 5 % /home/till/decrypted
Chcete-li svá data uložit v zašifrované podobě, vložte data do dešifrovaného adresáře, stejně jako byste to udělali s normálním adresářem:
cd ~/decrypted
echo "hello foo"> foo
echo "hello bar"> bar
ln -s foo foo2
Pokud zkontrolujete obsah adresáře, uvidíte, že jej vidíte v nezašifrované podobě...
ls -l
[e-mail chráněný]:~/decrypted$ ls -l
celkem 8
-rw-r--r-- 1 do 10. ledna 14 10:38 bar
-rw -r--r-- 1 do 10. ledna 10:38 foo
lrwxrwxrwx 1 do 3. ledna 14 10:38 foo2 -> foo
[e-mail chráněný]:~/dešifrováno$... v zašifrovaném adresáři je zašifrován:
cd ~/encrypted
ls -l[e-mail chráněný]:~/encrypted$ ls -l
celkem 8
lrwxrwxrwx 1 do 24. ledna 10:38 ewoacflDuTvKLjSZxXsipVZh -> nwek-r-- 1 do 26. ledna 10:38 nwekRkg2xWwmUW-P3YgCFNzI
-rw-r--r-- 1 do 26. ledna 14:38 r7sj2xc9OJEHk,nETdYAtMZu ~/encrypted$
4 Připojení a odpojení svazků encfs
Chcete-li odpojit šifrovaný svazek, spusťte:
cd
fusermount -u ~/decryptedZkontrolujte výstupy...
mount... a...
df -h... a uvidíte, že svazek EncFS již není uveden.
Chcete-li jej znovu připojit, spusťte
encfs ~/encrypted ~/decryptedBudete požádáni o heslo, které jste definovali dříve:
[chráněno e-mailem]:~$ encfs ~/šifrováno ~/dešifrováno
Heslo EncFS:<-- vaše tajné heslo
[chráněno e-mailem]:~$Pokud zadáte správné heslo, připojí se adresář ~/encrypted do adresáře ~/decrypted, odkud máte přístup ke svým zašifrovaným datům v nezašifrované podobě. Pokud zapomenete heslo, vaše šifrovaná data budou ztracena!
5 Změna hesla encfs
Pokud chcete změnit heslo, můžete to provést pomocí
encfsctl passwd ~/encryptedpříkaz.
[email protected]:~$ encfsctl passwd ~/encrypted
Zadejte aktuální heslo Encfs
Heslo EncFS:<-- vaše tajné heslo
Zadejte nové heslo Encfs
Nové heslo Encfs:<-- newstajné heslo
Ověřte heslo Encfs:<-- newsecretpassword
Klíč svazku byl úspěšně aktualizován.
6 odkazů
- EncFS:http://www.arg0.net/encfs
- Debian:http://www.debian.org/