Jak zašifrovat domovskou složku v systému Linux

Pro ty, kdo hledají jednoduché a univerzální řešení pro šifrování domovského adresáře v operačním systému Linux, představuje EcryptFS ideální volbu. S vhodným nastavením mohou uživatelé snadno šifrovat a dešifrovat svá osobní data bez jakýchkoli komplikací.

SPOILER: Na konci tohoto textu najdete videonávod.

Instalace EcryptFS

Před zahájením šifrování je nutné nainstalovat nástroj pro šifrování. EcryptFS je velmi populární, funguje téměř ve všech distribucích Linuxu a jeho použití je jednoduché. K instalaci budete potřebovat Ubuntu, Debian, Arch Linux, Fedora, OpenSUSE, případně můžete software zkompilovat ze zdrojového kódu, pokud používáte jinou distribuci.

Ubuntu

sudo apt install ecryptfs-utils

Debian

sudo apt-get install ecryptfs-utils

Arch Linux

sudo pacman -S ecryptfs-utils

Fedora

sudo dnf install ecryptfs-utils

OpenSUSE

sudo zypper install ecryptfs-utils

Ostatní distribuce Linuxu

Nemůžete najít instalační balíček EcryptFS pro váš operační systém? V takovém případě je potřeba stáhnout zdrojový kód a nainstalovat program manuálně. V případě potíží se sestavením softwaru naleznete pomoc na stránce s dokumentací EcryptFS.

Šifrování domovského adresáře

Během šifrovacího procesu vytvoříme dočasného uživatele. Tento uživatelský účet nebude trvalý a na konci tohoto návodu ho kompletně odstraníme. Vytvoření dočasného účtu s administrátorskými právy je nezbytné, protože není možné zašifrovat domovský adresář přihlášeného uživatele.

Vytvoření nového uživatele

Pro vytvoření nového uživatele otevřete terminál a přihlaste se jako root.

su

nebo

sudo -s

Jakmile jste přihlášeni jako root, použijte příkaz useradd k vytvoření dočasného účtu. Důležité je přidat parametr -M, aby systém nevytvořil nový domovský adresář.

useradd -M encrypt-admin

Příkaz useradd vytvoří nového uživatele, ale bez hesla. Pro přiřazení nového unixového hesla uživateli encrypt-admin použijte příkaz passwd.

passwd encrypt-admin

Uživatel encrypt-admin je nyní připraven k použití, ale nemůže přistupovat k root právům a provádět příkazy jako root. Pro umožnění spouštění root příkazů je potřeba uživatele přidat do souboru sudoers. Použijte příkaz visudo pro úpravu konfiguračního souboru sudo.

EDITOR=nano visudo

V textovém editoru Nano přejděte dolů k sekci „# User privilege specification“. Pod ní byste měli vidět řádek „root ALL=(ALL:ALL) ALL“. Stiskněte Enter na klávesnici pod tímto řádkem a vložte následující text do Nano.

encrypt-admin ALL=(ALL:ALL) ALL

Uložte soubor visudo stisknutím Ctrl + O a zavřete editor stisknutím Ctrl + X.

Spuštění šifrování

Pro zahájení procesu šifrování se odhlaste z uživatelského účtu, který chcete zašifrovat. Na přihlašovací obrazovce stiskněte kombinaci kláves Alt + Ctrl + F1. Pokud tato kombinace nefunguje, vyzkoušejte F2 až F6.

Pomocí TTY (textové konzole) zadejte do přihlašovací výzvy uživatelské jméno encrypt-admin a poté heslo, které jste nastavili dříve. Poté spusťte šifrování pomocí nástroje EncryptFS.

Poznámka: Změňte „vaše uživatelské jméno“ na název uživatelského účtu, ze kterého jste se právě odhlásili. Pro zašifrování více uživatelských účtů spusťte tento příkaz vícekrát.

sudo ecryptfs-migrate-home –u yourusername

Výše uvedený příkaz přesune vašeho uživatele do šifrovaného domovského adresáře. Nyní se můžete bezpečně odhlásit z dočasného administrátorského účtu a vrátit se k běžnému uživateli. Odhlaste se z konzole TTY příkazem:

exit

Po zadání příkazu k odhlášení byste se měli automaticky vrátit zpět na přihlašovací obrazovku. Zde se pomocí Alt + F2 – F7 můžete vrátit zpět do grafického režimu.

Odstranění uživatelského účtu

EcryptFS je kompletně nakonfigurován a je tedy čas zbavit se účtu encrypt-admin. Začněte odstraněním z konfiguračního souboru sudoers. Otevřete terminál a upravte soubor visudo.

sudo -s
    
  EDITOR=nano visudo

Přejděte v souboru sudoers dolů a odstraňte řádek, který jste přidali dříve v tomto návodu.

encrypt-admin ALL=(ALL:ALL) ALL

Uložte změny v souboru sudoers stisknutím Ctrl + O a zavřete editor Nano stisknutím Ctrl + X.

Encrypt-admin již nemá žádnou možnost získat přístup k root právům, ani jakkoli upravovat systém. V tuto chvíli je tedy neškodný a můžete ho v systému ponechat. Pokud však nemáte zájem o to, aby na vašem Linuxovém počítači bylo více uživatelů, je vhodné ho kompletně odstranit. V terminálu ho smažte pomocí příkazu userdel.

sudo userdel encrypt-admin

Přidání šifrovacího hesla

EcryptFS je téměř připraven k použití. Zbývá pouze nastavit nové heslo. Otevřete terminál (bez použití sudo nebo root) a zadejte příkaz pro přidání nové přístupové fráze. Pamatujte, že šifrování bez silného hesla nemá smysl. Vytvořte si silné šifrovací heslo na strongpasswordgenerator.com.

Poznámka: Nechcete použít generátor pro vytvoření přístupového kódu? Podívejte se na tento článek a zjistěte, jak si můžete vytvořit vlastní zabezpečenou přístupovou frázi.

ecryptfs-add-passphrase

Po dokončení příkazu „ecryptfs-add-passphrase“ by měl být váš domovský adresář plně zašifrován. Pro začátek používání restartujte váš Linuxový počítač. Po restartu bude EcryptFS vyžadovat vaši novou přístupovou frázi pro správné přihlášení.