Šifrovaný domovský adresář je zajímavá vlastnost představená (alespoň částečně) poprvé v Ubuntu 8.10 Intrepid Ibex. Jedná se o možnost zabezpečení svých osobních dat formou šifrování (části nebo i celého) domovského adresáře. Šifrování probíhá pomocí systému ecryptfs 
.
K šifrování je použito standardu AES s klíčem dlouhým 256 bitů.
Použití
Ubuntu 9.10 Karmic Koala
Ve vydání Ubuntu 9.10 je možnost vytvoření šifrovaného domovského adresáře přímo součástí instalačního procesu. V šestém kroku instalace (nastavení uživatele) stačí zvolit Požadovat mé heslo pro přihlášení a rozšifrování mé domovské složky.
Pro vytvářeného uživatele se nastaví šifrovaný domovský adresář, který se bude automaticky dešifrovat při přihlašovacím procesu.
Pokud chcete vytvořit šifrovaný domovský adresář i pro později přidané uživatele, musíte to provést pomocí příkazu sudo adduser --encrypt-home.
Ze systémových důvodů vytvoření šifrovaného domovského adresáře poněkud pozměňuje umístěný uživatelských dat a nastavení, na což musíte myslet například při zálohování. Uživatelská data jsou umístěna v adresáři /home/.ecryptfs/UŽIVATEL/.Private a nastavení v /home/.ecryptfs/UŽIVATEL/.ecryptfs.
Po prvním přihlášení po instalaci Ubuntu by se vám mělo zobrazit níže uvedené varování.
Standardně se váš domovský adresář rozšifrovává při přihlášení - mohou ale nastat situace, kdy se k datům budete potřebovat dostat bez přihlášení. K tomu budete potřebovat speciální klíč. Klikněte na Vykonat akci nyní a ve zobrazeném okně zadejte své heslo. Zobrazený klíč si zapište (lépe zapamatujte) a uložte na bezpečné místo.
- Tento dialog můžete kdykoli znovu vyvolat pomocí příkazu ecryptfs-unwrap-passphrase.
Tento klíč budete potřebovat přdevším při záchraně dat z poškozeného systému. Návod, jak na to, naleznete například na Linux-Mag.com
Ubuntu 9.04 Jaunty Jackalope
Vytvoření šifrovaného domovského adresáře je sice ve vydání Ubuntu 9.04 Jaunty Jackalope možné, ale instalátor tuto položku nabízí pouze při instalaci pomocí AlternateCD. Při instalaci pomocí "klasického" DesktopCD můžete vytvoření šifrovaného domovského adresáře vyvolat pomocí bootovacího parametru user-setup/encrypt-home=true.
Ze systémových důvodů vytvoření šifrovaného domovského adresáře poněkud pozměňuje umístěný uživatelských dat a nastavení, na což musíte myslet například při zálohování. Uživatelská data jsou umístěna v adresáři /home/UŽIVATEL/.Private, jsou ale přístupná pouze když domovský adresář NENÍ připojen! Nastavení naleznete v /var/lib/ecryptfs/UŽIVATEL.
V Ubuntu 9.04 nedochází k šifrování oddílu swap (odkládací oddíl), což je potenciální bezpečnostní riziko (v Ubuntu 9.10 je toto již vyřešeno). Šifrování swapu povolíte příkazem sudo ecryptfs-setup-swap.
Ubuntu 8.10 Intrepid Ibex
Ve vydání Ubuntu 8.10 Intrepid Ibex je situace poněkud odlišná - nedochází k šifrování celého domovského adresáře, ale pouze k vytvoření "soukromého" adresáře Private, který slouží k uchovovávání citlivých souborů. Instalátor tuto možnost nabízí pouze při instalaci pomocí AlternateCD. Šifrovaný adresář ale můžete nastavit i po instalaci pomocí příkazu sudo ecryptfs-setup-private.
Problémy
Používání šifrovaného domovského adresáře sebou nese i jisté problémy.
Nedostupný domovský adresář
Pokud nejste aktuálně přihlášen, domovský adresář vašeho uživatele není dostupný. To je samozřejmě účelem šifrovaného domovského adresáře, ale může to způsobit některé problémy:
Úlohy naplánované pomocí cronu nebudou mít do domovského adresáře přístup.
Autentizace pomocí veřejného SSH klíče nebude fungovat pokud jsou uloženy v zašifrovaném adresáři, řešením je umístit tyto klíče do nezašifrované části souborového systému a vytvořit pro ně symbolický link z ~/.ssh/authorized_keys.
Uspání na disk
Pokud používáte i možnost šifrování odkládacího oddílu (v Ubuntu 9.10 jako výchozí, v 9.04 volitelně), nebude funkční uspání na disk. Respektive uspání bude fungovat bez problémů, ale systém poté nebude možné "probudit". Tato nepříjemná chyba by měla být vyřešena následujícím vydání Ubuntu 10.04 Lucid Lynx.
Odkazy
Autor návodu: VojtěchTrefný
Aktualizace: Informace v tomto návodě jsou příliš zastaralé a potřebují aktualizaci pro současné poměry. Více... |
Rozšíření: Tento návod je příliš stručný. Pomozte Ubuntu Wiki tím, že jej rozšíříte. Více... |