eCryptfs

eCryptfs - это POSIX-совместимая промышленного уровня файловая система многоуровневого (stacked) шифрования для Линукс. Располагаясь поверх уровня файловой системы, eCryptfs защищает файлы безотносительно к нижележащим файловым системам, типам разделов и пр.

В процессе установки существует опция зашифровать раздел /home. Она автоматически настроит все необходимое для шифрования и монтирования раздела.

В качестве примера в этом разделе будет рассмотрена настройка шифрования /srv с использованием eCryptfs.

Сначала установим необходимые пакеты. Введите в терминале:

sudo apt-get install ecryptfs-utils

Теперь монтируем раздел, который должен быть зашифрован:

sudo mount -t ecryptfs /srv /srv

У вас поинтересуются некоторыми деталями как ecryptfs будет шифровать данные.

Для проверки, что файлы, помещенные в /srv действительно шифруются, скопируйте каталог /etc/default в /srv:

sudo cp -r /etc/default /srv

Теперь размонтируйте /srv и попробуйте посмотреть файлы:

sudo umount /srv
cat /srv/default/cron

Повторное монтирование /srv с использованием ecryptfs делает данные снова читаемыми.

Существует пара способов автоматически монтировать файловую систему, зашифрованную ecryptfs, на этапе загрузки. Этот пример использует файл /root/.ecryptfsrc, содержащий опции монтирования, вместе с файлом кодовой фразы, расположенным на USB ключе.

Сначала создадим /root/.ecryptfsrc, содержащий:

key=passphrase:passphrase_passwd_file=/mnt/usb/passwd_file.txt
ecryptfs_sig=5826dd62cf81c615
ecryptfs_cipher=aes
ecryptfs_key_bytes=16
ecryptfs_passthrough=n
ecryptfs_enable_filename_crypto=n

Далее создадим файл кодовой фразы /mnt/usb/passwd_file.txt:

passphrase_passwd=[secrets]

Теперь добавим необходимые строки в /etc/fstab:

/dev/sdb1       /mnt/usb        ext3    ro      0 0
/srv /srv ecryptfs defaults 0 0

Убедитесь, что USB диск монтируется до шифрованного раздела.

Наконец, перегрузитесь и /srv будет смонтирован с использованием eCryptfs.

The ecryptfs-utils package includes several other useful utilities:

  ecryptfs-setup-private: creates a ~/Private directory to contain encrypted information. This utility can be run by unprivileged users to keep data private from other users on the system.

  ecryptfs-mount-private and ecryptfs-umount-private: will mount and unmount respectively, a users ~/Private directory.

  ecryptfs-add-passphrase: adds a new passphrase to the kernel keyring.

  ecryptfs-manager: manages eCryptfs objects such as keys.

  ecryptfs-stat: allows you to view the ecryptfs meta information for a file.

  For more information on eCryptfs see the Launchpad project page.

  There is also a Linux Journal article covering eCryptfs.

  Also, for more ecryptfs options see the ecryptfs man page.

  The eCryptfs Ubuntu Wiki page also has more details.