Pro ty, kdo hledají jednoduché a univerzální řešení pro šifrování domovského adresáře v operačním systému Linux, představuje EcryptFS ideální volbu. S vhodným nastavením mohou uživatelé snadno šifrovat a dešifrovat svá osobní data bez jakýchkoli komplikací.
SPOILER: Na konci tohoto textu najdete videonávod.
Instalace EcryptFS
Před zahájením šifrování je nutné nainstalovat nástroj pro šifrování. EcryptFS je velmi populární, funguje téměř ve všech distribucích Linuxu a jeho použití je jednoduché. K instalaci budete potřebovat Ubuntu, Debian, Arch Linux, Fedora, OpenSUSE, případně můžete software zkompilovat ze zdrojového kódu, pokud používáte jinou distribuci.
Ubuntu
sudo apt install ecryptfs-utils
Debian
sudo apt-get install ecryptfs-utils
Arch Linux
sudo pacman -S ecryptfs-utils
Fedora
sudo dnf install ecryptfs-utils
OpenSUSE
sudo zypper install ecryptfs-utils
Ostatní distribuce Linuxu
Nemůžete najít instalační balíček EcryptFS pro váš operační systém? V takovém případě je potřeba stáhnout zdrojový kód a nainstalovat program manuálně. V případě potíží se sestavením softwaru naleznete pomoc na stránce s dokumentací EcryptFS.
Šifrování domovského adresáře
Během šifrovacího procesu vytvoříme dočasného uživatele. Tento uživatelský účet nebude trvalý a na konci tohoto návodu ho kompletně odstraníme. Vytvoření dočasného účtu s administrátorskými právy je nezbytné, protože není možné zašifrovat domovský adresář přihlášeného uživatele.
Vytvoření nového uživatele
Pro vytvoření nového uživatele otevřete terminál a přihlaste se jako root.
su
nebo
sudo -s
Jakmile jste přihlášeni jako root, použijte příkaz useradd k vytvoření dočasného účtu. Důležité je přidat parametr -M, aby systém nevytvořil nový domovský adresář.
useradd -M encrypt-admin
Příkaz useradd vytvoří nového uživatele, ale bez hesla. Pro přiřazení nového unixového hesla uživateli encrypt-admin použijte příkaz passwd.
passwd encrypt-admin
Uživatel encrypt-admin je nyní připraven k použití, ale nemůže přistupovat k root právům a provádět příkazy jako root. Pro umožnění spouštění root příkazů je potřeba uživatele přidat do souboru sudoers. Použijte příkaz visudo pro úpravu konfiguračního souboru sudo.
EDITOR=nano visudo
V textovém editoru Nano přejděte dolů k sekci „# User privilege specification“. Pod ní byste měli vidět řádek „root ALL=(ALL:ALL) ALL“. Stiskněte Enter na klávesnici pod tímto řádkem a vložte následující text do Nano.
encrypt-admin ALL=(ALL:ALL) ALL
Uložte soubor visudo stisknutím Ctrl + O a zavřete editor stisknutím Ctrl + X.
Spuštění šifrování
Pro zahájení procesu šifrování se odhlaste z uživatelského účtu, který chcete zašifrovat. Na přihlašovací obrazovce stiskněte kombinaci kláves Alt + Ctrl + F1. Pokud tato kombinace nefunguje, vyzkoušejte F2 až F6.
Pomocí TTY (textové konzole) zadejte do přihlašovací výzvy uživatelské jméno encrypt-admin a poté heslo, které jste nastavili dříve. Poté spusťte šifrování pomocí nástroje EncryptFS.
Poznámka: Změňte „vaše uživatelské jméno“ na název uživatelského účtu, ze kterého jste se právě odhlásili. Pro zašifrování více uživatelských účtů spusťte tento příkaz vícekrát.
sudo ecryptfs-migrate-home –u yourusername
Výše uvedený příkaz přesune vašeho uživatele do šifrovaného domovského adresáře. Nyní se můžete bezpečně odhlásit z dočasného administrátorského účtu a vrátit se k běžnému uživateli. Odhlaste se z konzole TTY příkazem:
exit
Po zadání příkazu k odhlášení byste se měli automaticky vrátit zpět na přihlašovací obrazovku. Zde se pomocí Alt + F2 – F7 můžete vrátit zpět do grafického režimu.
Odstranění uživatelského účtu
EcryptFS je kompletně nakonfigurován a je tedy čas zbavit se účtu encrypt-admin. Začněte odstraněním z konfiguračního souboru sudoers. Otevřete terminál a upravte soubor visudo.
sudo -s
EDITOR=nano visudo
Přejděte v souboru sudoers dolů a odstraňte řádek, který jste přidali dříve v tomto návodu.
encrypt-admin ALL=(ALL:ALL) ALL
Uložte změny v souboru sudoers stisknutím Ctrl + O a zavřete editor Nano stisknutím Ctrl + X.
Encrypt-admin již nemá žádnou možnost získat přístup k root právům, ani jakkoli upravovat systém. V tuto chvíli je tedy neškodný a můžete ho v systému ponechat. Pokud však nemáte zájem o to, aby na vašem Linuxovém počítači bylo více uživatelů, je vhodné ho kompletně odstranit. V terminálu ho smažte pomocí příkazu userdel.
sudo userdel encrypt-admin
Přidání šifrovacího hesla
EcryptFS je téměř připraven k použití. Zbývá pouze nastavit nové heslo. Otevřete terminál (bez použití sudo nebo root) a zadejte příkaz pro přidání nové přístupové fráze. Pamatujte, že šifrování bez silného hesla nemá smysl. Vytvořte si silné šifrovací heslo na strongpasswordgenerator.com.
Poznámka: Nechcete použít generátor pro vytvoření přístupového kódu? Podívejte se na tento článek a zjistěte, jak si můžete vytvořit vlastní zabezpečenou přístupovou frázi.
ecryptfs-add-passphrase
Po dokončení příkazu „ecryptfs-add-passphrase“ by měl být váš domovský adresář plně zašifrován. Pro začátek používání restartujte váš Linuxový počítač. Po restartu bude EcryptFS vyžadovat vaši novou přístupovou frázi pro správné přihlášení.