Šifrovaný domovský adresář

Šifrovaný domovský adresář je zajímavá vlastnost představená (alespoň částečně) poprvé v Ubuntu 8.10 Intrepid Ibex. Jedná se o možnost zabezpečení svých osobních dat formou šifrování (části nebo i celého) domovského adresáře. Šifrování probíhá pomocí systému ecryptfs .

K šifrování je použito standardu AES s klíčem dlouhým 256 bitů.

Použití

Možnost vytvoření šifrovaného domovského adresáře je přímo součástí instalačního procesu. V sedmém kroku instalace (nastavení uživatele) stačí zaškrtnout Šifrovat mou domovskou složku.

Pro vytvářeného uživatele se nastaví šifrovaný domovský adresář, který se bude automaticky dešifrovat při přihlašovacím procesu.

Pokud chcete vytvořit šifrovaný domovský adresář i pro později přidané uživatele, musíte to provést pomocí příkazu sudo adduser –encrypt-home.

Ze systémových důvodů vytvoření šifrovaného domovského adresáře poněkud pozměňuje umístěný uživatelských dat a nastavení, na což musíte myslet například při zálohování. Uživatelská data jsou umístěna v adresáři /home/.ecryptfs/UŽIVATEL/.Private. Některá důležitá nastavení pro ecryptfs naleznete v /home/.ecryptfs/UŽIVATEL/.ecryptfs.

Po prvním přihlášení po instalaci Ubuntu by se vám mělo zobrazit níže uvedené varování.

Klikněte na Vykonat akci nyní, zobrazí se okno terminálu s unikátní „passphrase“, kterou si ovšem nemusíte pamatovat (ač systém tvrdí něco jiného), disk je možné připojit i bez ní, pouze s pomocí hesla uživatele.

Připojení šifrovaného adresáře z LiveCD

Zašifrovaná data samozřejmě není možné „jen tak“ zobrazit, ale pokud nemáte možnost se do nainstalovaného systému přihlásit, stále je zde možnost k nim celkem jednoduše získat přístup. V běžícím LiveCD Ubuntu spusťte příkaz

sudo ecryptfs-recover-private

systém se pokusí najít všechny zašifrované složky. Pokud nějaké nalezne, zeptá se vás, zda je chcete připojit. K připojení vám stačí heslo uživatele, jehož domovský adresář chcete připojit.

Svá data naleznete v adresáři /tmp/ecryptfs.XYZ - přesný název vám systém sdělí. Data jsou dostupná pouze pro čtení pro uživatele root.

Problémy

Používání šifrovaného domovského adresáře sebou nese i jisté problémy.

Pokud nejste aktuálně přihlášen, domovský adresář vašeho uživatele není dostupný. To je samozřejmě účelem šifrovaného domovského adresáře, ale může to způsobit některé problémy:

  • Úlohy naplánované pomocí cronu nebudou mít do domovského adresáře přístup.
  • Autentizace pomocí veřejného SSH klíče nebude fungovat pokud jsou uloženy v zašifrovaném adresáři, řešením je umístit tyto klíče do nezašifrované části souborového systému a vytvořit pro ně symbolický link z ~/.ssh/authorized_keys.

Pokud používáte i možnost šifrování odkládacího oddílu (v Ubuntu 9.10 jako výchozí, v 9.04 volitelně), nebude funkční uspání na disk. Respektive uspání bude fungovat bez problémů, ale systém poté nebude možné „probudit“. Tato nepříjemná chyba by měla být vyřešena následujícím vydání Ubuntu 10.04 Lucid Lynx.

Odkazy