Chcete zašifrovat důležité soubory, ale ne celý pevný disk vašeho systému Linux? Pokud ano, doporučujeme gocryptfs. Získáte adresář, který v podstatě zašifruje a dešifruje vše, co ukládáte.
Table of Contents
gocryptfs nabízí ochranu před narušením dat
Soukromí je velká zpráva. Stěží uplyne týden bez oznámení o porušení v té či oné organizaci. Společnosti buď hlásí nedávné incidenty, nebo zveřejňují porušení, ke kterým došlo před nějakou dobou. V obou případech je to špatná zpráva pro ty, jejichž data byla odhalena.
Protože miliony lidí využívají služby jako Dropbox, Disk Google, a Microsoft OneDrive, zdánlivě nikdy nekončící proud dat je každý den tlačen do cloudu. Pokud ukládáte některá (nebo všechna) svá data do cloudu, co můžete udělat pro ochranu utajovaných informací a soukromých dokumentů, pokud by došlo k narušení?
Úniky dat se samozřejmě vyskytují ve všech podobách a velikostech a nejsou omezeny na cloud. Ztracená paměťová karta nebo ukradený notebook je jen únik dat v menším měřítku. Ale měřítko není kritickým faktorem. Pokud jsou data citlivá nebo důvěrná, může mít někdo jiný, kdo je má, katastrofální následky.
Jedním z řešení je šifrování dokumentů. Tradičně se to provádí šifrováním celého pevného disku. To je bezpečné, ale také to mírně zpomaluje váš počítač. Navíc, pokud utrpíte katastrofální selhání, může to zkomplikovat proces obnovy systému ze záloh.
Systém gocryptfs vám umožňuje šifrovat pouze adresáře, které potřebují ochranu, a vyhnout se tak celosystémové režii na šifrování a dešifrování. Je rychlý, lehký a snadno se používá. Je také snadné přesunout zašifrované adresáře do jiných počítačů. Dokud máte heslo pro přístup k těmto datům, nezanechá žádnou stopu vašich souborů na druhém počítači.
Systém gocryptfs je konstruován jako lehký, šifrovaný souborový systém. Je také připojitelný běžnými účty bez oprávnění root, protože používá Souborový systém v uživatelském prostoru (FUSE) balíček. Funguje to jako most mezi gocryptfs a rutinami souborového systému jádra, ke kterým potřebuje přístup.
Instalace gocryptfs
Chcete-li nainstalovat gocryptfs na ubuntu, zadejte tento příkaz:
sudo apt-get install gocryptfs
Chcete-li jej nainstalovat na Fedoru, zadejte:
sudo dnf install gocryptfs
Na Manjaro je příkaz:
sudo pacman -Syu gocryptfs
Vytvoření šifrovaného adresáře
Součástí slávy gocryptfs je, jak jednoduché je použití. Principy jsou:
Vytvořte adresář, který bude obsahovat soubory a podadresáře, které chráníte.
K inicializaci tohoto adresáře použijte gocryptrfs.
Vytvořte prázdný adresář jako bod připojení a poté k němu připojte zašifrovaný adresář.
V bodě připojení můžete vidět a používat dešifrované soubory a vytvářet nové.
Až budete hotovi, odpojte šifrovanou složku.
Vytvoříme adresář nazvaný „vault“ pro uložení zašifrovaných dat. Za tímto účelem zadáme následující:
mkdir vault
Musíme inicializovat náš nový adresář. Tento krok vytvoří souborový systém gocryptfs v adresáři:
gocryptfs -init vault
Po zobrazení výzvy zadejte heslo; napíšete to dvakrát, abyste se ujistili, že je to správné. Vyberte silné slovo: dobrou šablonou jsou tři nesouvisející slova, která obsahují interpunkci, číslice nebo symboly.
Váš hlavní klíč je vygenerován a zobrazen. Zkopírujte a uložte si to někde v bezpečí a soukromí. V našem příkladu vytváříme adresář gocryptfs na výzkumném počítači, který je po napsání každého článku vymazán.
Jak je to nutné pro příklad, můžete vidět hlavní klíč pro tento adresář. Určitě budete chtít být s tím svým mnohem tajnější. Pokud někdo získá váš hlavní klíč, může získat přístup ke všem vašim zašifrovaným datům.
Pokud přejdete do nového adresáře, uvidíte, že byly vytvořeny dva soubory. Zadejte následující:
cd vault
ls -ahl
„gocryptfs.diriv“ je krátký binární soubor, zatímco „gocryptfs.conf“ obsahuje nastavení a informace, které byste měli uchovávat v bezpečí.
Pokud svá zašifrovaná data nahrajete do cloudu nebo je zálohujete na malá přenosná média, tento soubor nezahrnujte. Pokud však zálohujete na místní médium, které zůstává pod vaší kontrolou, můžete tento soubor zahrnout.
S dostatečným časem a úsilím by mohlo být možné získat vaše heslo z položek „šifrovaný klíč“ a „sůl“, jak je uvedeno níže:
cat gocryptfs.conf
Připojení šifrovaného adresáře
Šifrovaný adresář je připojen k bodu připojení, což je jednoduše prázdný adresář. Vytvoříme jeden s názvem „geek“:
mkdir geek
Nyní můžeme připojit zašifrovaný adresář k bodu připojení. Přesně řečeno, to, co je ve skutečnosti připojeno, je souborový systém gocryptfs uvnitř zašifrovaného adresáře. Jsme vyzváni k zadání hesla:
gocryptfs vault geek
Když je zašifrovaný adresář připojen, můžeme použít adresář bodu připojení stejně jako kterýkoli jiný. Vše, co upravíme a vytvoříme v tomto adresáři, je ve skutečnosti zapsáno do připojeného zašifrovaného adresáře.
Můžeme vytvořit jednoduchý textový soubor, jako je tento:
touch secret-notes.txt
Můžeme jej upravit, přidat do něj nějaký obsah a poté soubor uložit:
gedit secret-notes.txt
Náš nový soubor byl vytvořen:
ls
Pokud se přepneme do našeho zašifrovaného adresáře, jak je znázorněno níže, vidíme, že byl vytvořen nový soubor se zašifrovaným názvem. Z názvu nelze ani poznat, o jaký typ souboru se jedná:
cd vault
ls -hl
Pokud se pokusíme zobrazit obsah zašifrovaného souboru, uvidíme, že je skutečně zakódovaný:
less aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU
Náš jednoduchý textový soubor, který je zobrazen níže, je nyní k rozluštění všechno, jen ne jednoduché.
Odpojení šifrovaného adresáře
Až budete hotovi se zašifrovaným adresářem, můžete jej odpojit pomocí příkaz fusermount. Následující příkaz, který je součástí balíčku FUSE, odpojí systém souborů gocryptfs v zašifrovaném adresáři z bodu připojení:
fusermount -u geek
Pokud zadáte následující, abyste zkontrolovali svůj adresář bodu připojení, uvidíte, že je stále prázdný:
ls
Vše, co jste udělali, je bezpečně uloženo v zašifrovaném adresáři.
Jednoduché a bezpečné
Jednoduché systémy mají tu výhodu, že se používají častěji, zatímco komplikovanější procesy mají tendenci ustupovat. Použití gocryptfs je nejen jednoduché, ale také bezpečné. Jednoduchost bez zabezpečení by se nevyplatila.
Můžete vytvořit tolik zašifrovaných adresářů, kolik potřebujete, nebo jen jeden, který bude obsahovat všechna vaše citlivá data. Možná budete chtít vytvořit několik aliasů pro připojení a odpojení vašeho šifrovaného systému souborů a ještě více zjednodušit proces.