Tworzenie Szyfrowanego Katalogu- Tutorial

[marek353]

Jak zaszyfrować sobie wrażliwe katalogi w swoim Home?

 

Jeżeli nie skorzystaliśmy z opcji szyfrowania dysku podczas instalacji systemu możemy łatwo nadrobić ten mankament i to w zakresie, który nam odpowiada. Myślę o zaszyfrowaniu katalogu, do którego można wrzucić co się chce. Opieram się na szyfrowaniu programem konsolowym encfs. 

 

 

1)

instalujemy program

dnf install encfs

 

 

2)

tworzymy katalog do zaszyfrowania (nazwa dowolna) np.:

mkdir Tajny

ważne aby on powstał na prawach usera, nie root!

 

 

3)

teraz można przystąpić do zaszyfrowania:

encfs /home/user/.tajny /home/user/Tajny

właściwie można pominąć punkt 2, gdyż program sam zapyta czy utworzyć odpowiednie foldery, o ile nie zostały wcześniej stworzone. Dalej postępujemy zgodnie ze wskazówkami procesu.

 

 

4)

mamy już katalog szyfrowany i co dalej? Dowolnie, w ramach potrzeb umieszczamy w katalogu to co ma być zaszyfrowane czyli po odmomntowaniu niewidoczne. Jak działa encfs nie będę opisywał, bo łatwo znaleźć w sieci.

 

Można wykorzystać encfs do zaszyfrowania swojej przeglądarki, poczty, komunikatora, Skype itp. Aby to zrobić trzeba utworzyć dowiązanie tzw. symboliczne, do którego odwoła się np. nasza przeglądarka podczas jej uruchamiania. 

Przykład dla Google-chrome:

#przenieśmy katalog chrome do folderu szyfrowanego#

mv /home/user/.config/google-chrome /home/user/Tajne


#dowiązanie#

ln -s  /home/user/Tajne/google-chrome /home/user/.config/google-chrome

Należy pamiętać, że przeglądarka nie otworzy się o ile wcześniej nie odszyfrujemy katalogu Tajne. Ten katalog też wcale nie musi być umiejscowiony w Home, jak na tym przykładzie, ale np. na zewnętrznym dysku, karcie pamięci lub dysku usb.

 

 

5)

teraz co zrobić aby ułatwić sobie obsługę tego modelu szyfrowania danych?

Każdemu odejdzie ochota klepania w terminalu polecenia odszyfrowującego nasz katalog i jeszcze pamiętania skomplikowanego hasła. Jeżeli nasza paranoia ukrycia swoich danych jest dostatecznie wysoka, proponuję przenieść skrypt, który posłuży do odblokowania, na pendrive. Taki zewnętrzny klucz zapewni wysoki poziom bezpieczeństwa lecz w razie jego utraty...  . O ile nie spamiętamy hasła.

 

 

6)

aby odblokować jednym kliknięciem tworzymy aktywator na Pulpicie lub Panelu. Powinien on się odwoływać do naszego skryptu. Podajemy ścieżkę do skryptu np.:

 sh /path/skrypt.sh

chmod +x /path/skrypt.sh

 

Uruchomienie aktywatora wywoła "pusty" pozornie Terminal a po chwili menedżer plików Thunar. Dopisałem thunar do polecenia ponieważ bez niego rodził się błąd, o którym pisałem tutaj. 

A to sam skrypt, który wykona za nas całą robotę z montowaniem i uwierzytelnianiem:

#!/bin/sh

echo "hasło" | encfs -S /home/user/.tajny /home/user/Tajny && Thunar

W miejscu "hasło" wpisujemy te, które podaliśmy przy pierwszym uruchomieniu encfs i zdefiniowaniu procesu szyfrowania.

 

 

7)

odmontowywanie

nastąpi samoczynnie po wyłączeniu systemu. Ręcznie można to zrobić poleceniem terminala:

fusermount -u /home/user/Tajne

 lub utworzyć do tego celu aktywator. Pamiętać należy jednak, że aktywna aplikacja, której dowiązanie wcześniej stworzyliśmy, blokuje odmontowanie i musi być zamknięta.

Tworzymy zatem skrypt obsługujący odmontowanie czyli ponowne zaszyfrowanie.

touch /path/skrypt.sh 

o treści

#!/bin/sh 

fusermount -u ~/Tajne" /path/skrypt.sh

skrypt powinien być wykonywalny

chmod +x /path/skrypt.sh

 

Uwagi:

ten tutorial nie zamyka drogi do własnych modyfikacji i ulepszeń. Można się pokusić o pewną modyfikację skryptu pierwszego tak, aby zamykał na koniec otwarty terminal i thunar. To mała dokuczliwość gdyż manualne zamknięcie jednego zamyka równocześnie oba. Oparłem się o świetną dystrybucję Fedora 23 XFCE, ale można to z powodzeniem transplantować, oczywiście po modyfikacji koniecznej dla określonego środowiska graficznego,  do każdego linuksa. Użyte określenie "path" to oczywiście ścieżka do pliku/katalogu.

Może się komuś przyda. 

 

<--EDYTOWANE celem drobnych poprawek 14-02-2016 godzina 9:50-->

[DEMON]

Dzięki - na pewno się przyda.  Jak nie dziś to w przyszłości.

[SeeM]

Fajne. Ja jestem zwolennikiem szyfrowania całej partycji /home. Pojedynczy zaszyfrowany katalog to wielki napis TUTAJ JEST COŚ WAŻNEGO.

[marek353]

Fajne. Ja jestem zwolennikiem szyfrowania całej partycji /home. Pojedynczy zaszyfrowany katalog to wielki napis TUTAJ JEST COŚ WAŻNEGO.

Moja propozycja odnosi się do osób, które nie wybrały opcji szyfrowania dysku podczas instalacji systemu, a jednak chciałyby w dowolnym momencie skorzystać z komfortu ukrycia wrażliwych danych. Ma to znaczenie szczególnie dzisiaj w dobie totalnej inwigilacji. Zapewniam, że nikt na pewno nie ma ochoty dzielić się swoimi e-mailami, hasłami, pogawędkami z komunikatorów itd. Pokazuję jak łatwo i bezboleśnie schować, choćby w tym jednym katalogu, to co się po prostu kwalifikuje do ukrycia.

I co z tego, że ewentualny intruz zobaczy folder pod nazwą "TUTAJ JEST COŚ WAŻNEGO"? Twój zaszyfrowany dysk ma taką samą flagę już na wejściu. Katalog zaszyfrowany metodą encfs jest wizualnie pusty więc osoba nieświadoma taką pozostanie, bo skąd ma wiedzieć czym go potraktowałeś. 

Zaszyfrowanie całego Home wymaga jednak każdorazowego wklepywania hasła przy uruchamianiu systemu. Tego chciałem uniknąć i stąd mój pomysł autoryzacji minimalnym utrudnieniem a podobnie silnym efektem. Opis jest wyżej więc nie będę powtarzał. Dodam jednak uwagę, w innych środowiskach, np. Mate menedżer plików nie sypie błędami tak jak Thunar w xfce4 dlatego końcowy element skryptu && "menedżer_plików" można spokojnie pominąć. Efektem kliknięcia aktywatora odszyfrującego folder jest całkowicie niewidoczna akcja w tle. Można ustanowić drugi aktywator dla zamykania folderu co przyczyni się do jeszcze większej wygody i swobody.

[@WalDo]

Zapewniam, że nikt na pewno nie ma ochoty dzielić się swoimi e-mailami, hasłami, pogawędkami z komunikatorów itd.

Co do idei szyfrowanego katalogu mogę się trochę zgodzić, ale to co tu piszesz... :D

Po pierwsze i najważniejsze: hasło do tych Twoich tajnych zasobów zapisałeś w jak najbardziej jawnym skrypcie I nie ma tu znaczenia gdzie go schowasz.

Po drugie: hasła na dysku? Jak nie możesz ich spamiętać, to ogranicz ich liczbę

Po trzecie: przecież e-mail, gadanie przez komunikator itp idzie przez Internet, więc próba chowania tego to po prostu żarty. Jakbyś chciał zjeść ciastko i mieć ciastko. Albo jak kto woli, mieć profil na FB i zachować anonimowość.

 

Ale ogólnie zabawa na pewno przyniosła Ci trochę satysfakcji, fajnie że podzieliłeś się wiedzą.

Ja osobiście korzystam z niewielkiej zaszyfrowanej partycji na pendrive (ok.2GB), na której trzymam np. PIT-y z pracy, żeby mi się gdzieś po dyskach nie walały.

[marek353]

Po pierwsze i najważniejsze: hasło do tych Twoich tajnych zasobów zapisałeś w jak najbardziej jawnym skrypcie I nie ma tu znaczenia gdzie go schowasz.

Po drugie: hasła na dysku? Jak nie możesz ich spamiętać, to ogranicz ich liczbę

 

add.1

Dziękuję Ci za podjęcie tego wątku, bo mam okazję uzupełnić swoją ideę fix w sposób bardziej zrozumiały dla wszystkich. Masz oczywiście rację i zgadzam się o ile sam skrypt lokuję gdzieś w Home. Nie napisałem wyraźnie, ten ważny skrypt dostępu można ulokować na nośniku zewnętrznym np. mały pendrive, który pełni rolę klucza. Wyjmujesz go po sesji i kto Ci go w kieszeni przeczyta?   To tylko taki wariant a zainspirowałem się ideą zewnętrznego klucza Yubikey. Ciekawy gadżet można poczytać nie tylko tutaj

 

add.2

Ja osobiście używam KeePassX, ale większość ludzi zapisuje pewnie hasła do portali tam, gdzie im zaoferuje dana przeglądarka, czyli w swym config`u. 

 

Wiadomo 100% bezpieczeństwo gwarantuje całkowita rezygnacja z komputera.   Chciałem się tylko podzielić a może i zainspirować kogoś pomysłem. Pole do popisu duże, życzę powodzenia! 

[@WalDo]

Nie napisałem wyraźnie, ten ważny skrypt dostępu można ulokować na nośniku zewnętrznym np. mały pendrive, który pełni rolę klucza.

To zrozumiałem od razu, ale napisałem też " I nie ma tu znaczenia gdzie go schowasz.". Tak naprawdę, to wszystko zależy od determinacji osoby pragnącej poznać Twoje sekrety. Jeśli ktoś się uprze, to ukradnie Ci klucz, skopiuje i podrzuci z powrotem, żebyś się nie zorientował.

Hasła jednak najlepiej trzymać w głowie (i nie pić za dużo ).

[SeeM]

A czy ktoś z was interesował się rzeczami typu https://www.yubico.com/products/yubikey-hardware/yubikey-neo/ do odszyfrowania swoich rzeczy?

[marek353]

add.1

To tylko taki wariant a zainspirowałem się ideą zewnętrznego klucza Yubikey. Ciekawy gadżet można poczytać nie tylko tutaj

 

 

 

 

[SeeM]

 

To już czytałem, chcemy więcej.

[@WalDo]

Hej, Panowie mówicie o tym samym sprzęcie Jeśli już kontynuujemy wątek, to może wiecie czy można to kupić w Polsce? Szukałem na Ceneo, Skąpcu i Allegro i jakoś nie trafiłem. Wyszukuje jakieś bzdury typu dziecięce rowerki Ybike

 

[EDIT]

Sprawdziłem na stronie Yubico i autoryzowani resellerzy są wyłącznie poza Polską (https://www.yubico.com/store/resellers/). Najłatwiej kupić przez Amazon Niezbyt go lubię

[EDIT2]

Nie Źle mówię. Jest firma w Polsce, w Warszawie. Kto chce ten znajdzie Linku nie podam, bo mają wg mnie upierdliwą i nieergonomiczną stronę. Poza tym i tak brak oferty cenowej.

[marek353]

Hej, Panowie mówicie o tym samym sprzęcie Jeśli już kontynuujemy wątek, to może wiecie czy można to kupić w Polsce? Szukałem na Ceneo, Skąpcu i Allegro i jakoś nie trafiłem.

 

 

Zgadza się, ja też szukałem i owszem oferty z Allegro były w 2013 roku, obecnie nie ma. Znalazłem natomiast to wiadomość z połowy ubiegłego roku więc może aktualna. Też nie podają cen ale jest kontakt i można popytać. 

 

Edit1.

link do firmy

 

Edit2.

Inny ciekawy model rozwiązania z kluczem USB tutaj

[dt3]

Czym powinienem zastąpić komendę echo w skrypcie

echo "hasło" | encfs -S /home/user/.tajny /home/user/Tajny && Thunar

by za każdym razem, gdy chcę go użyć, trzeba było ręcznie wprowadzić hasło? 

[Mentat]

Czym powinienem zastąpić komendę echo w skrypcie

echo "hasło" | encfs -S /home/user/.tajny /home/user/Tajny && Thunar

by za każdym razem, gdy chcę go użyć, trzeba było ręcznie wprowadzić hasło? 

 

Powinno zadziałać:

zenity --password | encfs -S ... itd.

https://help.gnome.org/users/zenity/stable/password.html.en

 

Jak nie działa to

sudo dnf install zenity