eCryptfs

eCryptfs è un file system crittografico POSIX-conforme per Linux.  Disponendosi al di sopra del livello del file system normale, eCryptfs è in grado di proteggere i file indipendentemente dal file system sottostante, dal tipo di partizione, ecc...

Durante la fase di installazione è disponibile un'opzione per cifrare l'intera partizione /home in grado di configurare tutto il necessario per cifrare e montare la partizione.

Questa sezione spiega come usare eCryptfs per cifrare /srv.

Usare eCryptfs

Per prima cosa, installare i pacchetti necessari. In un terminale digitare:

sudo apt-get install ecryptfs-utils

Montare la partizione da cifrare:

sudo mount -t ecryptfs /srv /srv

Vengono chiesti alcuni dettagli su come ecryptfs dovrebbe cifrare i dati.

Per verificare che i file in /srv siano veramente cifrati, copiare la directory /etc/default in /srv:

sudo cp -r /etc/default /srv

Smontare /srv e cercare di visualizzare un file:

sudo umount /srv
cat /srv/default/cron

Montare /srv utilizzando ecryptfs per poter visualizzare nuovamente i dati.

Montare automaticamente le partizioni cifrate

È possibile montare un file system ecryptfs in diversi modi all'avvio. Questo esempio fa uso di un file /root/.ecryptfsrc contenente le opzioni di mount e un file, salvato su una chiave USB, contenente la passphrase.

Creare il file /root/.ecryptfsrc contenente:

key=passphrase:passphrase_passwd_file=/mnt/usb/passwd_file.txt
ecryptfs_sig=5826dd62cf81c615
ecryptfs_cipher=aes
ecryptfs_key_bytes=16
ecryptfs_passthrough=n
ecryptfs_enable_filename_crypto=n
[Nota]

Modificare il campo ecryptfs_sig con la firma presente in /root/.ecryptfs/sig-cache.txt.

Creare il file /mnt/usb/passwd_file.txt per la passphrase:

passphrase_passwd=[secrets]

Aggiungere quanto necessario in /etc/fstab:

/dev/sdb1       /mnt/usb        ext3    ro      0 0
/srv /srv ecryptfs defaults 0 0

Assicurarsi che il dispositivo USB venga montato prima della partizione cifrata.

Infine, riavviare il computer e la partizione /srv dovrebbe essere montata tramite ecryptfs.

Altre utilità

Il pacchetto ecryptfs-utils contiene diverse utilità:

  • ecryptfs-setup-private: crea una directory ~/Private per contenere informazioni cifrate. Questa utilità può essere eseguita da utenti senza alcun tipo di privilegio all'interno del sistema per creare una piccola zona privata dove salvare dati.

  • ecryptfs-mount-private e ecryptfs-umount-private: monta e smonta la directory ~/Private degli utenti.

  • ecryptfs-add-passphrase: aggiunge una nuova passphrase al portachiavi.

  • ecryptfs-manager: gestisce gli oggetti eCryptfs come le chiavi.

  • ecryptfs-stat consente di visualizzare le meta informazioni di ecryptfs relative a un file.

Riferimenti