Hjælp min backup er Ecryptfs krypteret

fsdscsdc

De nye ubuntu tilbyder at kryptere dit homedir med ecryptfs for installationen og dette er ultranemt.

Men hvordan i alverden laver man en krypteret backup og hvordan bruger man en ecryptfs krypteret backup når din primære maskine bliver sjålet eller disken dør ?

For det første ligger ens filer nu i
/home/.ecryptfs/(bruger)/.Private

alle filerne er der men deres indhold er krypteret og det er filnavnene typisk også

typisk sker der det under login, at ubuntu kigger i direktivet
/home/.ecryptfs/(bruger)/.ecryptfs
hvor der er filer der bestemmer hvad der skal ske med dine .Private filer

indhold af en typisk .ecryptfs
auto-mount auto-umount Private.mnt Private.sig wrapped-passphrase

Lad os sige at du vil tage backup af alle dine filer i din hjemme mappe til en anden maskine og måske også bruge filerne fra en helt ny bruger-id

først kopiere du simpelthen alle dine filer

cp -rai /home/.ecryptfs/(bruger)/.Private /mnt/(backup drev)/my-old.Private
hvor
/mnt/(backup drev) er nfs mount eller bare en anden harddisk

nu skal man så gemme sine passphrase og jeg troede at jeg vidste hvad min var efter installation ,, men jeg tog grundigt fejl og denne skal du sku kunne
ellers er din backup ubrugelig.

hvis du skriver
# mount
vil du se hvordan dine filsystemter pt er mountet, se efter dit homedir som mount punkt , eller du kan bruge mount | grep ecryptfs
/home/bruger/.Private on /home/bruger type ecryptfs (ecryptfs_sig=XXXXXXXXXXX,ecryptfs_fnek_sig=YYYYYYYYYYYYY,ecryptfs_cipher=aes,ecryptfs_key_bytes=16
XXXXXXXX er signatur til filindhold og YYYYYYYYY er signatur til filnavne

det er en meget god ide at gemme denne mount linie samme med dine backup filer

for at dekryptere begge, kigger ecryptfs om du har de rigtige nøgler i din keyring
du kan se dine egne nøgler med: keyctl list @u
eller roots med sudo keyctl list $u
og jeg giver jer kun discount løsningen her med at vi bare bruger root rettigheder til at mounte skidtet for at få dine filer tilbage i en nødsituation.

du får din passphrase for dine krypterede filer med:

ecryptfs-unwrap-passphrase /home/c/.ecryptfs/wrapped-passphrase
Passphrase: <--- Her betyder passphrase dit user login og IKKE hvad du nu tror er din passphrase (jeg ser det som en fejl simpelthen)
så spytter den din passphrase ud ,, lad os kalde den QQQQQQQQQQQQQQ , denne gemmer du et sikkert sted hvor du kan finde den igen(men andre ikke kan)

BANG ,,, røgsignaler,, din disk brændte af ,,

du booter din anden maskine med backup filerne på

du laver et dir: mkdir /home/bruger2/backup

du har dine filer i dir: /home/bruger2/my-old.Private ,, fra den backup du lavede før

for en god ordens skyld fixer vi permissions med: sudo chown bruger2:bruger2 -R /home/bruger2/my-old.Private

så ligger vi signaturer/keys ind i system keyringen (det skader sikkert ikke at smide dem ind i superusers og din egen)
for superusers (root)
sudo ecryptfs-add-passphrase --fnek (her spørger den også om dit passwd til at gå i superuser mode )
og dig selv
ecryptfs-add-passphrase --fnek

i begge tilfælde spørger den efter passphrase,, her er det QQQQQQQQQQQQ du skal bruge nu , så vil den sige noget i retningen af :

Inserted auth tok with sig [XXXXXXXXXXXXXXX] into the user session keyring (den her er til indhold kryptering)
Inserted auth tok with sig [YYYYYYYYYYYYYYY] into the user session keyring (lad os sige den her er fnek altså til filnavn kryptering)

uden --fnek vil den kun give nøglen til indholds krypteringen , så på den måde kan du finde ud af hvilken key er til hvad, jeg mener at fnek key er den sidste

du kan se keyrings med keyctl list @u og sudo keyctl list @u

så mounter du med
sudo mount -t ecryptfs -o ecryptfs_fnek_sig=YYYYYYYYYYYYYYY,ecryptfs_sig=XXXXXXXXXXXXXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 \
/home/bruger2/my-old.Private /mnt/home/bruger2/backup

\ betyder bare at kommandoen fortsætter på næste linie.

og så bliver guidet igennem nogle ting

her viser jeg hvordan en successfuld mount ser ud

bruger2@testbox:~$ sudo mount -t ecryptfs -o ecryptfs_fnek_sig=YYYYYYYYYYYYYY,ecryptfs_sig=XXXXXXXXXXXXXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 \
/home/bruger2/my-old.Private /mnt/home/bruger2/backup
[sudo] password for bruger2: <--- dit login password for bruger2
Passphrase: <--- din passphrase QQQQQQQQQQQQQQ som du selvfølgelig har gemt
Enable plaintext passthrough (y/n) [n]: <---- svar n for nej her
Attempting to mount with the following options:
ecryptfs_unlink_sigs
ecryptfs_fnek_sig=7eb24e5ed1568847
ecryptfs_key_bytes=16
ecryptfs_cipher=aes
ecryptfs_sig=8f704db086be4356
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key
before. This could mean that you have typed your
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [8f704db086be4356] to
[/root/.ecryptfs/sig-cache.txt]
in order to avoid this warning in the future (yes/no)? : no
Not adding sig to user sig cache file; continuing with mount.
Mounted eCryptfs

og nu skulle du kunne se den med: mount
og kunne bruge dine filer i /mnt/home/bruger2/backup

alternativt vil den svare Error mounting eCryptfs: [-2] No such file or directory

og dette kan betyde en af mange ting, typisk er det at du ikke har de rigtige keys i din root keyring

du kan se mere om en eventuel fejl med less /var/log/messages

Jeg synes alle det forlader sig på ecryptfs og er glad for deres filer skylder sig selv at lave sådan en lille brandøvelse her , alternativt kan du jo bare gemme dine filer ukrypteret , men hvis den maskine du gemmer på nu ikke er bedre sikret end den du bruger dagligt er det rart med en krypteret backup.

marlar
Antal: 2860
Tilmeldt:
05-12-2009
User is offline
Hvad er kort fortalt

Hvad er kort fortalt forskellen på eCryptfs og encfs? Sidstnævnte bruger jeg med stor tilfredshed til mine backups og andre ting der skal sikres.


frogmaster
frogmaster's picture
Antal: 3585
Tilmeldt:
20-05-2010
User is offline
Men hvorfor ...

Jeg kan naturligvis godt forstå ideen med at kryptere sine data, men ikke at gemme dem i brugerprofilen, af den simple årsag, at vigtige data aldrig bør ligge på systemdrevet.

Ikke engang på en partition oprettet på den primære harddisk. Hele konceptet er ikke logisk. Det er muligt at gøre det således, men er det hensigtsmæssigt?

Af samme grund vil jeg ikke kryptere min profil, altså overhovedet at benytte systemets tilbud, men istedet oprette en krypteret fil med eksempelvis TrueCrypt, der opretter et virtuelt drev som udgør den krypterede fil.

En sådan TrueCrypt fil, kan flyttes og kopieres ligesom enhver anden fil, til et eksternt drev som backup, simpelt og effektivt.

TrueCrypt filen er crossplatform, og programmet kan installeres via Terminal, Synaptic, distro'ens software installationsprogram, eller downloades fra deres hjemmeside.

Truecrypt skal naturligvis installeres i det passende format på andre OS end Linux.

http://www.truecrypt.org/

Mvh


dklinux
Antal: 838
Tilmeldt:
10-03-2009
User is offline
meh

jeg er slet ikke med på det første del,, jeg synes det er meget normalt at kryptere data og have dem på primær disk partition filsystem

hvorfor ecryptFS tja,, fordi det er hvad der følger default med ubuntu og det er ekstemt nemt at slå til.

Hvorfor jeg skrev guiden var at ville være sikker på at jeg kunne lave backup og restore .

Og truecrypt reklamen er meget fin og det er sikkert bedre end ecryptFS ,, ikke destro mindre omhandler guiden ecryptFS af ovenstående grunde.

I øvrigt virker ecryptfs også på fil basis , du kan sagents lade være med at bruge ecryptFS som ubuntu gør.


frogmaster
frogmaster's picture
Antal: 3585
Tilmeldt:
20-05-2010
User is offline
Tilfældigt nok ...

... Så er der en anden tråd der berører emnet.

Ubuntu har smadret min bærbar!

http://linuxin.dk/node/17658


frogmaster
frogmaster's picture
Antal: 3585
Tilmeldt:
20-05-2010
User is offline
Normalt ja, men er det en go' ide?

Beklager at min indvending er noget Off Topic ...

Der er ingen brugere på mine netværk der får lov til at gemme lokalt på maskinerne. Hverken i profilen eller noget andet sted.

De kan godt, men de er samtidigt informeret, at hvis de gør det, så mister de data hvis jeg ghoster maskinerne.

De skal gemme deres ting på det mappede serverdrev, og denne vane bruger jeg da også privat, kun med den forskel, at det er USB diske. Det er naturligvis ikke helt det samme på en privat maskine, men, stadig som jeg ser det, så er princippet ikke forskelligt.

Som jeg ser det, så er det at gemme data på systemdrevet, et brud med, i en IT sammenhæg, old gammelt princip vedr. sikkerhed, backup og geninstallation af systemdrevet, eksempelvis ved en defekt harddisk, uanset om data er krypteret eller ej, hvor man så ikke behøver at bekymre sig om mistede data, hvis de ikke ligger der.

Jeg lægger ikke skjul på, at jeg ser det som en dårlig vane, og profilkryptering fremmer vanen. Derfor, og du må ikke misforstå, for dit oplæg er særdeles interessant, ikke mindst teknisk, finder jeg eksempelvis TrueCrypt så meget mere fleksibelt.

Mvh


marlar
Antal: 2860
Tilmeldt:
05-12-2009
User is offline
Jeg bruger også truecrypt

Jeg bruger også truecrypt til mine primære data, og encfs (som ikke må forveksles med Ecryptfs) til visse andre ting. Truecrypt har jeg valgt fordi mit datadrev så også er tilgængelig når jeg booter op i Windows, hvor det så hedder D.

Faktisk har jeg brugt Truecrypt i mange år under Windows og var derfor glad da jeg opdagede at det også understøttede Linux da jeg gik over til dette for et år siden.

En lille ulempe ved truecrypt er at man er bundet til en bestemt størrelse af den virtuelle disk når først den er oprettet. Man kan naturligvis bare oprette en ny og kopiere indholdet over, men alligevel bruger jeg encfs til små adhoc-krypteringer fordi den krypterede mappe har en dynamisk størrelse, den fylder bare det samme som de filer der lægger over i den.


frogmaster
frogmaster's picture
Antal: 3585
Tilmeldt:
20-05-2010
User is offline
Det er rigtigt ...

Der er denne lille ulempe med størrelsen.

Hvis man er helt areligiøs, og også bruger Mac, så følger data med på alle systemerne, og kan oven i købet åbnes fra anden maskine ind over netværket.


marlar
Antal: 2860
Tilmeldt:
05-12-2009
User is offline
Jep, jeg har selv et

Jep, jeg har selv et truecrypt-krypteret backupdrev liggende på min NAS :-)

Truecrypt er meget effektiv, jeg bemærker faktisk ikke om jeg arbejder fra et kryptere drev. Det er encfs nu også, og sikkert også artiklens ecryptfs.


Slettet