bezpečnost:šifrovaný_domovský_adresář

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Následující verze
Předchozí verze
bezpečnost:šifrovaný_domovský_adresář [2012/08/01 19:09] – vytvořeno ubuntubezpečnost:šifrovaný_domovský_adresář [2019/02/25 18:21] (aktuální) – upraveno mimo DokuWiki 127.0.0.1
Řádek 1: Řádek 1:
 +====== Šifrovaný domovský adresář ======
  
 +{{:password.png}} **Šifrovaný domovský adresář** je zajímavá vlastnost představená (alespoň částečně) poprvé v Ubuntu 8.10 Intrepid Ibex. Jedná se o možnost zabezpečení svých osobních dat formou šifrování (části nebo i celého) domovského adresáře. Šifrování probíhá pomocí systému [[https://edge.launchpad.net/ecryptfs|ecryptfs]] {{:en.png}}.
 +
 +{{:favourites.png}} K šifrování je použito standardu [[http://cs.wikipedia.org/wiki/Advanced_Encryption_Standard|AES]] s klíčem dlouhým 256 bitů.
 +
 +====== Použití ======
 +
 +Možnost vytvoření šifrovaného domovského adresáře je přímo součástí instalačního procesu. V sedmém kroku instalace (nastavení uživatele) stačí zaškrtnout **Šifrovat mou domovskou složku**.
 +
 +
 +{{ .:sifrovany-adresar.png }}
 +
 +
 +Pro vytvářeného uživatele se nastaví šifrovaný domovský adresář, který se bude automaticky dešifrovat při přihlašovacím procesu.
 +
 +
 +{{:tip.png}} Pokud chcete vytvořit šifrovaný domovský adresář i pro [[:Přidání nového uživatele|později přidané uživatele]], musíte to provést pomocí [[:Terminál|příkazu]] ''sudo adduser --encrypt-home''.
 +
 +
 +{{:warning.png}} Ze systémových důvodů vytvoření šifrovaného domovského adresáře poněkud pozměňuje umístěný uživatelských dat a nastavení, na což musíte myslet například při zálohování. Uživatelská data jsou umístěna v adresáři ''/home/.ecryptfs/UŽIVATEL/.Private''. Některá důležitá nastavení pro ecryptfs naleznete v ''/home/.ecryptfs/UŽIVATEL/.ecryptfs''.
 +
 +Po prvním přihlášení po instalaci Ubuntu by se vám mělo zobrazit níže uvedené varování.
 +
 +
 +{{ .:upozorneni-passphrase.png }}
 +
 +
 +Klikněte na **Vykonat akci nyní**, zobrazí se okno [[Terminál|terminálu]] s unikátní "passphrase", kterou si ovšem nemusíte pamatovat (ač systém tvrdí něco jiného), disk je možné připojit i bez ní, pouze s pomocí hesla uživatele.
 +
 +====== Připojení šifrovaného adresáře z LiveCD ======
 +
 +Zašifrovaná data samozřejmě není možné "jen tak" zobrazit, ale pokud nemáte možnost se do nainstalovaného systému přihlásit, stále je zde možnost k nim celkem jednoduše získat přístup. V běžícím LiveCD Ubuntu spusťte [[:Terminál|příkaz]]
 +
 +<code>
 +sudo ecryptfs-recover-private
 +</code>
 +systém se pokusí najít všechny zašifrované složky. Pokud nějaké nalezne, zeptá se vás, zda je chcete připojit. K připojení vám stačí heslo uživatele, jehož domovský adresář chcete připojit.
 +
 +
 +{{ .:obnova-dat.png }}
 +
 +
 +Svá data naleznete v adresáři ''/tmp/ecryptfs.XYZ'' - přesný název vám systém sdělí. Data jsou dostupná pouze pro čtení pro uživatele [[:Root sudo|root]].
 +
 +====== Problémy ======
 +
 +{{:bug.png}} Používání šifrovaného domovského adresáře sebou nese i jisté problémy.
 +
 +===== Nedostupný domovský adresář =====
 +
 +Pokud nejste aktuálně přihlášen, domovský adresář vašeho uživatele není dostupný. To je samozřejmě účelem šifrovaného domovského adresáře, ale může to způsobit některé problémy:
 +
 +  * Úlohy naplánované pomocí [[http://cs.wikipedia.org/wiki/Cron|cronu]] nebudou mít do domovského adresáře přístup.
 +  * Autentizace pomocí veřejného SSH klíče nebude fungovat pokud jsou uloženy v zašifrovaném adresáři, řešením je umístit tyto klíče do nezašifrované části souborového systému a vytvořit pro ně symbolický link z ''~/.ssh/authorized_keys''.
 +
 +===== Uspání na disk =====
 +
 +Pokud používáte i možnost šifrování odkládacího oddílu (v Ubuntu 9.10 jako výchozí, v 9.04 volitelně), nebude funkční uspání na disk. Respektive uspání bude fungovat bez problémů, ale systém poté nebude možné "probudit". Tato nepříjemná chyba by měla být vyřešena následujícím [[:vydání]] Ubuntu 10.04 Lucid Lynx.
 +
 +====== Odkazy ======
 +  * [[https://help.ubuntu.com/community/EncryptedHome|Encrypted Home]] {{:en.png}}
 +  * [[http://blog.dustinkirkland.com/2009/06/migrating-to-encrypted-home-directory.html|Migrace na šifrovaný domovský adresář]] {{:en.png}}
 +  * [[http://blog.dustinkirkland.com/2011/04/introducing-ecryptfs-recover-private.html|eCryptfs recovery]] {{:en.png}}