Szyfrowanie Katalogów

[qmic]

Może ktoś zna ciekawe rozwiązania na ultrawygodne szyfrowanie katalogów. Chce w nim umieścić np. klucze prywatne, programy które w których są zapisane hasła np. filezilla, firefox, thunderbird, a nie chcę szyfrować całej partycji /home ze względu na wydajność. Czy poza zrobieniem małej szyfrowanej partycji a z niej symlinków do właściwych katalogów (tak to sobie obmyśliłem że można) nie ma do tego jakichś gotowych narzędzi (myszpędne może)?

[borzole]

www.truecrypt.org

a tak w ogóle to sam czekam aż bez zbędnego oprogramowania będę mógł założyć hasło na katalog tak jak zwykłe prawa dostępu. A może to kwestia systemu plików?

[qmic]

a tak w ogóle to sam czekam aż bez zbędnego oprogramowania będę mógł założyć hasło na katalog tak jak zwykłe prawa dostępu. A może to kwestia systemu plików?

 

A ja całkowicie przez przypadek trafiłem na artykuł na fsdaily.com o szyfrowaniu przez co trafiłem do narzędzia zwanego: encfs - jest w yumie

oraz GUI do tego które trzeba samodzielnie skompilować:

http://www.tomatarium.pwp.blueyonder.co.uk/cryptkeeper.html

 

 

[MC']

www.truecrypt.org

a tak w ogóle to sam czekam aż bez zbędnego oprogramowania będę mógł założyć hasło na katalog tak jak zwykłe prawa dostępu.

Piękne marzenie. W sumie to na poziomie systemu plików to powinno byc rozwiązane ale zawsze można jakiś wrapper wykombinować... ale to zawsze już tylko wrapper

[uosiu]

encfs nie jest zalecanym rozwiazaniem,

mozna uzyc dm-crypt i podajze cos zwiazanego z cryptsetup-luks.

Nie pamietam dokladnie o co chodzilo, zalecam przejzenie archiwalnych numerow linux magazine (tego papierowego) z czasow jadra 2.6.24

[borzole]

cryptsetup-luks daleko się ma do "ultrawygodnego szyfrowania katalogów", po całych partycjach od razu leci.

[@WalDo]

To nie dla Fedory tylko na Ubuntu, ale może warto poszukać albo samemu coś zbudować → http://linux-tutor.org/?q=en/node/11

Źródła → http://code.google.com/p/crypt-manager/downloads/list

 

Za jakość nie odpowiadam. Nie sprawdzałem, więc cokolwiek robisz robisz na własną odpowiedzialność Polecam na początek jakis system wirtualny

 

[EDIT]

Tak przy okazji

encfs nie jest zalecanym rozwiazaniem,

Dlaczego?

[borzole]

natrafiłem niedawno na artykuł http://nfsec.pl/techblog/142

i zrobiłem z tego dzisiaj skrypt:

 

http://files.getdropbox.com/u/409786/pub/bin/sejf

 

Wystarczy mieć tar, openssl i dd

 

Proszę przetestować i powiedzieć czy to by było dobre/bezpieczne rozwiązanie. W skrypcie jest funkcja "hasło", gdzie można przestawić z szyfrowania hasłem na szyfrowanie plikiem.

 

W konsoli działa OK, ale...

Jest też jeden problem. Otóż docelowe przeznaczenie

~/.gnome2/nautilus-scripts/sejf-crypt

xterm -e sejf -c "$NAUTILUS_SCRIPT_SELECTED_FILE_PATHS"
#gnome-terminal -x sejf -c "$NAUTILUS_SCRIPT_SELECTED_FILE_PATHS"

oraz

~/.gnome2/nautilus-scripts/sejf-encrypt

xterm -e sejf -e "$NAUTILUS_SCRIPT_SELECTED_FILE_PATHS"
   #gnome-terminal -x sejf -e "$NAUTILUS_SCRIPT_SELECTED_FILE_PATHS"

w tym momencie skrypt byłby w pełni użyteczny, ale zawieruszył się na końcu znaczek nie drukowalny i tak nie działa. Prawdopodobnie sam nautilus dodaje coś na końcu parametru. Jak ktoś to umie usunąć, to będzie git. Znaczy się "ultrawygodne szyfrowanie"

[thof]

Też kiedyś miałem ten problem z dodatkowymi znakami, wtedy udało mi się go rozwiązać w ten sposób (nie mam teraz czasu dokładnie przetestować):

~/.gnome2/nautilus-scripts/sejf-crypt

#!/bin/bash
path=`echo -n "$NAUTILUS_SCRIPT_SELECTED_FILE_PATHS" | head -n 1 |  sed 's/[^\/]*$//'`
cd "$path$2"
xterm -e sejf -c `basename "$path$1"`

~/.gnome2/nautilus-scripts/sejf-encrypt

#!/bin/bash
path=`echo -n "$NAUTILUS_SCRIPT_SELECTED_FILE_PATHS" | head -n 1 |  sed 's/[^\/]*$//'`
xterm -e sejf -e "$path$1"

Tak sobie jeszcze myślę, że można taki plik/katalog zaszyfrowany od razu usuwać.

[borzole]

@thof

Dzięki za naprowadzenie. Wymyśliłem ładniejsze obejście. Co do automatycznego usuwania pliku to juz chyba każdy umie sobie to dopisać w skrypcie. Ja zawsze widzę czarny scenariusz, więc nie. ...hymm może jako opcje -d, może może.

 

Co do rozwiązania dla Nautilusa:

##*/ skasuj ścieżkę z początku ("basename" nie obsługuje SPACJI!)

%? skasuje ostatni znak (ewentualnie wydłubać ten kod w ascii)

to było pomocne: http://blog.mgorny.alt.pl/2009/05/06/bash-...ostsze-skrypty/

nie umiem tego złożyć na raz, dlatego potrzebny mi był parametr "tmp"

 

~/.gnome2/nautilus-scripts/sejf-crypt

#!/bin/bash

tmp=${NAUTILUS_SCRIPT_SELECTED_FILE_PATHS##*/}
file=${tmp%?}
xterm -e sejf -c "$file"

~/.gnome2/nautilus-scripts/sejf-encrypt

#!/bin/bash

tmp=${NAUTILUS_SCRIPT_SELECTED_FILE_PATHS##*/}
file=${tmp%?}
xterm -e sejf -e "$file"

Mam też wersję "zenity" ale trochę koślawa, tyle że menu jest i w jednym pliku może jak się kiedyś na umiem zenity to poprawię

http://files.getdropbox.com/u/409786/pub/h...cripts/sejf-zen

 

 

No ale nikt się nie odezwał czy to bezpieczne jest?

[borzole]

Tak sobie jeszcze myślę, że można taki plik/katalog zaszyfrowany od razu usuwać.

trochę z tym kombinowanie jest, bo obsługa parametrów w bash to ciągłe problemy. No ale jakoś tak całkiem zgrabnie wymyśliłem.

 

z obsługą -d, --delete

http://files.getdropbox.com/u/409786/pub/bin/sejf

 

----

Tak sobie myślę, że podstawowym problemem tego rozwiązania są pozostawione ślady po pliku na dysku. Nie wiem też na ile bezpieczne jest wpisywanie hasła przez "read -s" w bash. Do domu OK, ale chyba nic więcej

[fafig]

niestety prawda jest taka , ze najlepsza metoda jest szyfrowanie calego dysku+bootowanie kernela z kluczem z pendrive. wydajnosc? zawsze mozna kupic akcelerator kryptograficzny i zniknie sprawa obciazania procesora. cos za cos w koncu za bezpieczenstwo sie placi m.in szybkoscia dzialania. szyfrowanie i smylinkowanie - przeciez zawsze cos zostanie w /tmp tak wiec jeden katalog/partycja to nie rozwiazanie. jesli to na laptopie to zakladamy ze ktos kto go ukranie wie co zrobic z danymi....

[borzole]

No właśnie, "ultrawygodne szyfrowanie" to bajka, bo jeśli ktoś dostanie taki plik to zawsze można go brutal force potraktować.

 

---

Udało mi się zmienić skrypt dla nautilusa na całkowicie "zenitowy"

Chyba muszę zmienić język dla skryptów, bo wygląda na to, że bash mam w miarę opanowany

[thof]

Z zenity to chyba przekombinowałeś z tym menu Ja się ograniczyłem do dwóch okienek entry. Nie znam się na bezpieczeństwie, ale myślę, że na domowy użytek wystarczy. Chociaż do haseł chyba lepiej używać przygotowanych już programów.

Co jeśli zgubi się taki pendrive-klucz (lub uszkodzi) można wtedy go jakoś odtworzyć? Bez niego w domowych warunkach chyba nie ma możliwości odzyskania danych?

[borzole]

Z zenity to chyba przekombinowałeś z tym menu Ja się ograniczyłem do dwóch okienek entry.

Tru tru, ale w zenity raczkuje. Trochę to uprościłem z zenity.

 

Dodałem parametr --cli co pozwala zrobić wersję czysto CLI dla nautilusa

gdyby to jeszcze kogoś ciekawiło:

http://files.getdropbox.com/u/409786/pub/h...cripts/sejf-cli

tak jest chyba "przyjaźniej" jak dla nautilusa. Jeszcze mini shella muszę wymyślić, bo za dużo kawy wypiłem, a robienie tego skryptu mnie relaksuje