Ubuntu 18.04에서 / home을 암호화하는 방법?

57

18.04 설치 프로그램이 더 이상 홈 디렉토리를 암호화하는 옵션을 제공하지 않는다는 사실에 실망했습니다. 에 따르면 설치에서 참조 버그 리포트, 요즘 암호화를 위해 권장되는 방법은 디렉토리에 대한 LUKS 전체 디스크 또는 fscrypt이다. 전체 디스크 암호화는 필자의 요구에 따라 다소 과잉으로 보이며 Wiki에 언급 된 모든 버그와 경고 가 그다지 매력적인 옵션은 아닙니다. 내가 정말로 원하는 것은 랩톱을 도난 당했을 때 문서, 사진 등에 액세스하는 사람으로부터 홈 디렉토리를 보호하는 것입니다.

fscrypt GitHub의 페이지 를 설정하는 방법에 대한 몇 가지 예제를 가지고,하지만 난 우분투의 홈 디렉토리를 암호화하기위한 모든 문서를 찾을 수 없습니다. 이전 ecryptfs 도구는 계속 사용할 수 있지만 설정 후 Ubuntu는 때때로 로그인 화면에서 정지됩니다.

그래서 내 질문은 : / home 디렉토리를 암호화하고 로그인 할 때 해독하도록 fscrypt를 어떻게 설정합니까? 또한 ecryptfs가 폴더를 수동으로 해독하는 방법 (예 : 디스크 이미지)을 좋아했습니다.

(유사한 질문이 여기 에 게시 되었으며 "주제를 벗어난"버그 보고서로 인해 종료되었습니다. 명확히하기 위해, 이것은 버그 보고서가 아닙니다. 홈 디렉토리 암호화 옵션이 설치 프로그램에서 제거되었다는 사실은 의도적 인 것입니다. fscrypt를 설정하는 방법은 다음과 같습니다.)

encryption  home-directory  18.04 
elight24
소스
2
@Panther LUKS는 백업 드라이브에 저장된 파일의 암호 해독을 허용합니까? 내가 묻는 이유는 Macrium Reflect를 사용하여 Windows에서 전체 시스템 백업을 만들기 때문입니다. 백업에서 몇 개의 파일을 꺼내야하는 경우 백업 된 파일을 해독 할 수있는 방법이 필요합니다. ecryptfs를 사용하면 드라이브를 연결하고 암호화 된 폴더에 저장된 스크립트를 실행하기 만하면됩니다.
elight24
7
그렇다면 홈 폴더가 16.04에서 암호화되었지만 "홈 폴더 암호화"옵션이 설치 프로그램에서 사라져서 새로 마운트 할 수없는 사람들은 어떻습니까? 로그인조차 할 수 없습니다. 말도 안됩니다.
SunnyDaze
2
@SunnyDaze 데이터를 수동으로 마운트 한 이후로 시간이 지났지 만 그 명령은 "ecryptfs-mount-private"라고 생각합니다.
elight24
3
전체 디스크에서 LUKS를 사용하는 것이 혼란 스러울 수 있습니다. 이것은 Ubuntu 파티션에서 LUKS를 사용하는 것과 비교하여 이중 부팅 창에서는 작동하지 않으며 Windows에서는 잘 부팅됩니다. 나는 위키 페이지를 읽지 않았습니다
Panther
2
전체 디스크 암호화는 훌륭하고 작업을 수행합니다. 그러나 개인용 컴퓨터이고 유일한 사용자 인 경우에만 충분합니다. 누군가 궁금해하는 why encrypt the home?사용자가 많으면 유용합니다. 로그인하면
집만

답변:

25

2019-07 업데이트

로 여러 개의 암호화 된 홈을 실행하고 fscrypt있습니다. 암호화없이 시스템을 설치 하고이 안내서 를 사용 fscrypt하여 가정 에서 구현 하십시오.

반드시 chmod 700당신의 가정 및 / 또는 사용 umask 077fscrypt 자동으로 같은 권한을 설정하지 않기 때문에 ecryptfs수행하는 데 사용합니다.

fscrypt향후에 변경 될 수 있는 API 이므로 시스템을 업그레이드하려는 경우 중요한 파일을 백업하십시오.

(이 기능은 데스크탑에서 널리 사용되지 않습니다. 사용자 책임하에 사용하십시오.)

2018-11 업데이트

TL : DR; fscryptUbuntu 18.10 이상 또는 Linux Mint 19.1 이상에서 시도해 볼 수 있습니다

이것이 마침내 수정 된 것 같습니다. 선점 가이드는 다음과 같습니다. http://tlbdk.github.io/ubuntu/2018/10/22/fscrypt.html

나는 여기에 지침을 인용하지 않았다. 왜냐하면 약간의 해킹이 필요하고 결국 집 데이터를 잃을 수 있기 때문이다.

경고 : @dpg 사용자로부터의 경고 : "BE CAREFUL : "선점 지침 "(tty하에 있음)의 지시를 따르고 무한한 로그인 루프를 받았습니다."

교육 목적으로 만이 안내서를 고려하십시오.

다음은 내 원래 답변입니다.

원래 답변 2018-05

TL; DR : Linux Mint 19 Tara 와 함께 클래식 홈 암호화를 사용하십시오 .

fscrypt 가정용 암호화가 여전히 손상되었습니다.

/ home 디렉토리를 암호화하고 로그인 할 때 암호 해독하도록 fscrypt를 어떻게 설정합니까?

이것은 많은 사람들이 원하는 것입니다. Ubuntu 팀은 ecryptfsUbuntu 18.04에서 버그없이 작업 할 수 없었 fscrypt으며 예정된 Ubuntu 18.04 릴리스의 경우 홈 암호화 옵션 버그를 수정할 수 없었습니다 .

의 경우 fscrypt현재 홈 암호화에 사용할 수없는 중요한 버그가 하나 이상 있습니다.

또한 "오래된"ecryptfs 유형 홈 암호화에 대한 현실적인 대안이되기 전에 투명한 인증 / 잠금 해제 방법이 필요합니다. 이것은 여기에서 추적됩니다 :

이러한 문제가 열리면이 시점에서 홈 암호화가 손상된 것으로 간주 할 수 있습니다. 그와 함께, 내 동료와 나는 우분투 고려 18.04 순간 18.04.1 미완성, 가정 - 암호화 (새롭고 더 나은 사용하여 다시 가져올 수 있기를 바랍니다 fscrypt우분투 방법) 18.04.1 18.04.2.

그때까지 우분투 16.04를 고수하고 있습니다. 우리 는를 사용하여 고전적인 홈 암호화 로 모든 머신을 Linux Mint 19 Tara 로 전환했습니다 ecryptfs. 읽기 "알려진 문제" 섹션 리눅스 민트 19 타라에 대한 릴리스 노트 정보] ecryptfs한계를,이 당신을 받아 들일 수 있는지 :

(...) Mint 19 및 최신 릴리스에서는 로그 아웃시 암호화 된 홈 디렉토리가 더 이상 마운트 해제되지 않습니다.

당신이 fscrypt그것을 사용하고 그것을 깨뜨린 것을 발견했다면 , 다음 런치 패드 버그에서 "이 버그는 나에게 영향을 미칩니다"라고 투표 할 수 있습니다 :

참고 fscrypt/ ext4-crypt(미래 "암호화 집")이 가장 빠른 옵션이고 ecryptfs(이전 "암호화 홈"를) 가장 느린 옵션입니다. LUKS( "전체 드라이브 암호화")가 중간에 있습니다.

이러한 이유로 전체 디스크 암호화를 '편리하게'권장합니다. 작은 파일이 많은 매우 큰 프로젝트가 있고, 개정 관리를 많이 사용하고, 큰 컴파일 등을 수행하는 경우 전체 ecryptfs 유형의 속도 저하가 이전 ecryptfs 유형의 속도 저하와 비교할 때 실제로 가치가 있음을 알 수 있습니다 홈 암호화.

결국 전체 드라이브를 암호화하면 여러 가지 단점이 있습니다.

  • 손님 계정
  • 개인 계정이있는 가족 용 노트북
  • PREY와 같은 도난 방지 소프트웨어 사용

Canonical LTS 버전에서 "더 이상 이것을 필요로하지 않는다"고 결정한 것은 당혹스러운 일인데, 이는 "심각한"배포판으로 알려져 있습니다.

레드 산드로
소스
2
우분투 18.04.1은 오늘 발표되었으며 두 버그가 여전히 남아 있습니다. 나는 18.04.2에서 fscrypt를 볼 수 있기를 희망하지만 지금은 조금 낙관적입니다. 업데이트하십시오!
노니 무스
2
@NonnyMoose가 업데이트되었습니다- 내 게시물의 절반 아래에 굵은 체 섹션 이 표시 됩니다.
레드 산드로
3
와! 사람들이 16.04에서 18.04로 업그레이드하면 ~ !?
MaxB
2
주의 : 나는 "선점 가이드"(tty하에 있음)의 지시를 따르고 무한한 로그인 루프를 받았습니다. 동일한 결과로 새로운 18.10 설치에서 두 번 시도했습니다.
PetroCliff
2
암호화 후 누군가가 무한 로그인 루프에 들어 갔지만 tty에 로그인 할 수 있습니다. 제 경우에는 잘못된 /home/myuser디렉토리 소유자로 인해 발생했습니다 . 어떤 이유로 루트 였으므로 소유자를 내 사용자로 변경하면 문제가 해결되었습니다.
PetroCliff
8

에서 팬더의 대답은 여기에 전체 디스크 암호화는 로그인하지 않을 경우 / home과는 encypted대로 만 특정 디렉토리를 암호화하는 동안 모든 / 가정을 포함하여 암호화합니다.

기존 사용자의 홈 디렉토리를 암호화하려면 다음을 수행하십시오.

먼저 해당 계정에서 로그 아웃하고 관리자 계정으로 로그인하십시오.

작업의 암호화 유틸리티를 설치하십시오.

 sudo apt install ecryptfs-utils cryptsetup

그에서 런치 패드 버그 eCryptfs가-utils를 우주의 repo에서 지금이다.

해당 사용자의 홈 폴더를 마이그레이션하십시오.

sudo ecryptfs-migrate-home -u <user>

그 계정의 사용자 비밀번호가 뒤 따릅니다.

그런 다음 재부팅하기 전에 암호화 된 사용자 계정에서 로그 아웃하고 로그인하십시오! 암호화 프로세스를 완료하려면

계정 내부에 복구 암호 문구를 인쇄하고 기록하십시오.

ecryptfs-unwrap-passphrase

이제 재부팅하고 로그인 할 수 있습니다. 만족하면 백업 홈 폴더를 삭제할 수 있습니다.

또한 암호화 된 홈 디렉토리로 새 사용자를 작성하려는 경우 :

sudo adduser --encrypt-home <user>

자세한 정보 : man ecryptfs-migrate-home ; 남자 ecryptfs- 설정-개인

ptetteh227
소스
2
답을 주셔서 감사합니다, ptetteh. 다른 날에이 방법을 시도했지만 로그인 할 때 문제가 발생하는 것 같았습니다. 때때로 로그인 화면에서 정지되어 재부팅해야합니다. 18.04를 다시 설치하여 문제의 원인이 아닌지 확인했으며 지금까지 모든 것이 정상인 것 같습니다. ecryptfs가 기본적으로 포함하기에 적합하지 않은 것으로 생각되면 LUKS 또는 fscrypt를 사용하는 것이 가장 좋습니다.
elight24
1
깨끗한 설치 (18.04.1)에서 나를 위해 일했습니다. "복구 모드"에서해야했습니다. 로그인 할 때 랩핑 해제가 필요하지 않았으며, 이에 대해 알리고 생성 된 암호 문구를 기록하도록 요청합니다. 감사!
lepe
2
홈 디렉토리에 더 긴 경로 이름 (> ~ 140 자)이 있으면 ecryptfs가 작동하지 않습니다. unix.stackexchange.com/questions/32795/…
Sebastian Stark
1

개인적으로 필자는 대부분의 사용 사례에서 FSE (File System Encryption)를 다른 사람에게 사용하는 것을 권장하지 않습니다. 몇 가지 이유가 있는데, 그중 가장 적은 것은 기존의 효과적인 대안이 아닙니다. FSE 또는 FDE (Full Disk Encryption)의 두 가지 옵션 만있는 것 같습니다. 그러나 그것은 사실이 아닙니다. 실제로 파일 컨테이너 암호화 및 암호화 된 아카이브 인 OP에 훨씬 큰 혜택을 줄 수있는 다른 두 가지 옵션이 있습니다.

파일 컨테이너 암호화는 Veracrypt와 같은 소프트웨어이며 현재 소멸 된 Truecrypt입니다. 컨테이너 암호화는 이러한 아카이브를 만들 때 옵션으로 Winzip 및 7zip과 같은 대부분의 파일 압축 아카이브 소프트웨어에 내장되어 있습니다.

두 가지 모두 FSE에 비해 많은 이점이 있으며, 가장 확실한 것은 암호화 된 파일을 사용하지 않고 마운트 된 상태로 둘 필요가 없다는 것입니다. 그러면 사용자 프로필 키 및 화면 잠금의 보호 기능을 무시할 수있는 사람이 누구든지 액세스 할 수 없습니다. 또한 컴퓨터에서 멀리 떨어져있는 것처럼 어리석은 짓을 할 수도 있지만 화면을 잠 그거나 다른 사람이 컴퓨터를 사용할 수 있도록하고 숨겨진 디렉토리를 들여다 보지 않기를 바랍니다. 또한 컨테이너는 이식 가능하므로 다른 방법으로 암호화 할 필요없이 한 번에 많은 양의 파일을 쉽게 이동할 수 있습니다.

Veracrypt 컨테이너가 매우 유용하다는 한 가지 장점은 드라이브로 마운트 할 수 있고 별도의 파일 시스템, 바람직하게는 EXT2 또는 FAT32와 같은 비 저널링 파일 시스템으로 컨테이너를 포맷 할 수 있다는 사실입니다. 저널링 파일 시스템은 침입자에게 정보를 유출 할 수 있습니다. 그러나 당신이하는 모든 일이 당신의 개인 사진을 숨기고 있다면, 이것은 당신과 관련된 모든 것이 아닐 수도 있습니다. 반면에 국가 기밀 정보 나 법적으로 보호 된 데이터가있는 경우 해당 정보가있을 수 있습니다. 키 파일을 사용하는 경우 부팅시 자동으로 마운트되도록 설정할 수도 있습니다. 그러나 키 파일은 FSE가 사용자 프로필 키를 저장하는 위치보다 덜 안전한 곳에 저장해야하므로 권장하지 않습니다.

둘 다 파일 압축 기능을 제공합니다. 사용 된 특정 압축 알고리즘에 따라 압축 된 아카이브를 사용할 때 항상 그런 것은 아니지만 파일 이름을 숨길 수도 있습니다.

개인적으로 파일 크기가 작기 때문에 이동하지 않을 파일에는 컨테이너 암호화를 사용하고 클라우드로 이동하거나 저장하는 파일에는 암호화 된 아카이브를 사용합니다.

컨테이너 암호화를 사용하면 홈 디렉토리를 암호화 할 수 있습니다. 암호화 키를 YubiKey에 저장할 수 있습니까?

어쨌든, 나는 당신에게 다른 포스터에서 언급하지 않은 모든 대안을 제공하고 싶었습니다. 내가 말한 것에 동의하거나 동의하지 마십시오.

사이퍼 펑크 씨
소스
8
안녕하세요. "보모"예에 대한 의견이 있습니다.-첫째, 많은 곳에서 사람들은 기본적으로 평균 보모가 기본적으로 십대 일 것으로 예상 할 수 있습니다. 둘째, 유죄 비밀을 숨기는 것보다 암호화에 대한 더 나은 사용 사례가 있음을 확인하고 싶습니다.
mwfearnley
컨테이너는 크기가 고정되어 있으며 파일 시스템 암호화 (fscrypt, eCryptfs, EncFS 등)는 파일만큼 많은 공간을 차지하므로 그에 따라 확장 및 축소 할 수 있습니다. QED. 추신 : 당신은 eCryptfs가 집에서 하나의 디렉토리 만 암호화하고 변덕에서만 해독 할 수 있다는 것을 알지 못하는 것 같습니다.
Xen2050
3
솔직히이 답변은 유용하지만 내용이 불쾌합니다. 미디어에 암호화가 충분하지 않은 것처럼 암호화를 범죄 행위와 연관시키기 때문입니다. 암호화는 범죄 행위 로부터 보호하기위한 것입니다. 이로 인해 투표 할 수 없습니다. 편집이 완료되면이 주석을 삭제합니다.
Todd
1
루트 (uid : 0)를 신뢰할 수없는 경우 암호화 (FSE, 컨테이너 또는 아카이브)에 시스템을 사용할 수 없습니다. 암호화를 열고 안전하게 잠그지 않고 시스템에서 멀리 떨어지면 모든 암호화 시스템이 취약합니다. 또한 전체 파일 시스템을 암호화하지 않으면 비밀 파일을 만지는 모든 응용 프로그램이 잠재적으로 보안 파티션 외부에서 암호화되지 않은 복사본을 만들 수 있다는 것을 이해해야합니다.
Mikko Rantalainen
0

나처럼 Ubuntu 16.04를 통해 Ubuntu 18.04를 새로 설치하고 이전에을 암호화 /home한 경우 설치 후 로그인 할 수 없음을 알 수 있습니다. ecryptfs 관련 패키지 ( sudo apt install ecryptfs-utils cryptsetup, 재부팅 및 로그인 )를 설치하기 만하면 됩니다.

해당 패키지를 설치하려면 budgie가로드 된 후 예비 tty에 로그인 하거나 ( Cntrl+ Alt+ F1) Linux 복구 모드로 들어가서 설치할 수 있습니다.

아크로 닉스
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.