💾 Archived View for espotiesfa.ddns.net › linux › gocryptfs › encripta-directori-usuari.gmi captured on 2024-02-05 at 11:10:47. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-12-28)
-=-=-=-=-=-=-
_ __
__ _ ___ ___ _ __ _ _ _ __ | |_ / _|___
/ _` |/ _ \ / __| '__| | | | '_ \| __| |_/ __|
| (_| | (_) | (__| | | |_| | |_) | |_| _\__ \
\__, |\___/ \___|_| \__, | .__/ \__|_| |___/
|___/ |___/|_|
Si el directori que voleu encriptar ja conté dades i es troba en un sistema
de fitxers ext4, caldria esborrar-ne el contingut (després d'haver-lo
copiat al directori encriptat) de manera segura perquè, pel fet que ext4
és un sistema de fitxers amb registre, en general, és possible recuperar
les dades eliminades.
Convé assegurar-se que la contrasenya d'usuari és prou forta (llarga,
que no es trobe en cap diccionari...).
En sistemes basats en Debian
sudo apt install gocryptfs
En Void Linux
sudo xbps-install gocryptfs
En Void Linux potser caldrà instal·lar el paquet pam_mount (si no el
teniu ja).
Suposem que tenim un usuari «meritxell» del qual volem encriptar el
directori.
El primer pas és crear el directori que contindrà les dades xifrades.
sudo mkdir /home/meritxell.cipher
Després cal canviar-ne els permisos, l'usuari i el grup
sudo chown meritxell /home/meritxell.cipher sudo chgrp meritxell /home/meritxell.cipher sudo 700 /home/meritxell
i encriptar el sistema de fitxers amb gocryptfs.
gocryptfs -init /home/meritxell.cipher
Haureu de fer servir la mateixa contrasenya d'accés al sistema
si voleu configurar l'auto-muntatge. En acabar el procés, hauríeu
de veure un missatge com aquest
Choose a password for protecting your files.
Password:
Repeat:
Your master key is:
00000000-11111111-22222222-33333333-
44444444-55555555-66666666-77777777
If the gocryptfs.conf file becomes corrupted or you ever forget your password,
there is only one hope for recovery: The master key. Print it to a piece of
paper and store it in a drawer. This message is only printed once.
The gocryptfs filesystem has been created successfully.
You can now mount it using: gocryptfs /home/$user.cipher MOUNTPOINT
sudo mv /home/meritxell /home/meritxell.old sudo mkdir -m 700 /home/meritxell sudo chown meritxell /home/meritxell sudo chgrp meritxell /home/meritxell
sudo gocryptfs /home/meritxell.cipher /home/meritxell
sudo rsync -av /home/meritxell.old/ /home/meritxell
sudo fusermount -u /home/meritxell
Ara configurarem PAM i pam_mount per tal que el directori d'usuari
siga muntat immediatament després de l'autenticació. Les credencials
se passen a pam_mount perquè puguen ser emprades per a la
desencriptació. Açò implica que la contrasenya d'encriptació ha de
ser la mateixa que es fa servir per a entrar al sistema.
Descomenteu la línia
user_allow_other
del fitxer /etc/fuse.conf
Si existeix el fitxer /etc/security/pam_mount.conf.xml modifiqueu-lo
afegint
<volume user="$user" fstype="fuse" options="nodev,nosuid,quiet,nonempy,allow_other" path="/usr/bin/gocryptfs#/home/%(USER).cipher" mountpoint="/home/%(USER)" />
just abans de
</pam_mount>
Si no existeix, creeu-lo i copieu-hi açò:
<?xml version="1.0" encoding="UTF-8"?> <pam_mount> <volume user="$user" fstype="fuse" options="nodev,nosuid,quiet,nonempty,allow_other" path="/usr/bin/gocryptfs#/home/%(USER).cipher" mountpoint="/home/%(USER)" /> </pam_mount>
Per a comprovar que tot funciona, mireu d'accedir al sistema amb l'usuari
en qüestió. Després, tanqueu-ne la sessió i, amb un compte d'administrador
proveu de llistar els fitxers del dit usuari.