Kirjoittaja Aihe: Kotihakemiston kryptaus (Oli: Onko kotihakenisto automaattisesti kryptattu?)  (Luettu 1316 kertaa)

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Asentelen tuota uusinta Xubuntu-versiota, mutta en huomannut valintaa, että haluatko että kotihakemisto kryptataan. Onko tämä automaattinen oletus nykyään?
« Viimeksi muokattu: 06.11.22 - klo:11.13 kirjoittanut Snufkin »

Eesaurus

  • Käyttäjä
  • Viestejä: 3336
    • Profiili
Tokkopa on oletuksena päällä. Xubuntua en ole piiiiiiiiiiiitkiin aikoihin käyttänyt, mutta Ubuntussa ei ainakaan ole.

MUOK: Luin väärin, ei mitään.
« Viimeksi muokattu: 29.10.22 - klo:15.40 kirjoittanut Eesaurus »

nm

  • Käyttäjä
  • Viestejä: 15363
    • Profiili
Pelkän kotihakemiston kryptaus ei ole enää ollut valittavissa asennuksen yhteydessä Ubuntu 18.04:stä lähtien. Koko levyn kryptaus onnistuu kyllä. Se on valittavissa levyn alustuksen yhteydessä lisävalintojen kautta. Tässä kuvakaappaukset Ubuntun asennuksesta. Xubuntun asennuksessa pitäisi olla vastaavat valinnat:

https://linuxconfig.org/ubuntu-22-04-enable-full-disk-encryption


Jos välttämättä haluat kryptata vain kotihakemiston, ohjeita eCryptfs:n käyttöönottoon löytyy netistä. Myös LUKS on mahdollinen, mutta se vaatii erillisen osion ja hieman monimutkaisemman konfiguraation.

https://www.linuxuprising.com/2018/04/how-to-encrypt-home-folder-in-ubuntu.html
https://askubuntu.com/questions/1335006/what-is-the-recommended-method-to-encrypt-the-home-directory-in-ubuntu-21-04
« Viimeksi muokattu: 29.10.22 - klo:15.07 kirjoittanut nm »

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Pelkän kotihakemiston kryptaus ei ole enää ollut valittavissa asennuksen yhteydessä Ubuntu 18.04:stä lähtien. Koko levyn kryptaus onnistuu kyllä. Se on valittavissa levyn alustuksen yhteydessä lisävalintojen kautta. Tässä kuvakaappaukset Ubuntun asennuksesta. Xubuntun asennuksessa pitäisi olla vastaavat valinnat:

https://linuxconfig.org/ubuntu-22-04-enable-full-disk-encryption


Jos välttämättä haluat kryptata vain kotihakemiston, ohjeita eCryptfs:n käyttöönottoon löytyy netistä. Myös LUKS on mahdollinen, mutta se vaatii erillisen osion ja hieman monimutkaisemman konfiguraation.

https://www.linuxuprising.com/2018/04/how-to-encrypt-home-folder-in-ubuntu.html
https://askubuntu.com/questions/1335006/what-is-the-recommended-method-to-encrypt-the-home-directory-in-ubuntu-21-04

Ok, kiitos. Pitää perehtyä noihin vaihtoehtoihin.

Haluan lähinnä että henkilökohtaiset tiedostot ovat tallessa, jos läppäri varastetaan tms. Kryptaamattomalta niitä kai voi lukea toisella koneella.


Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Myös LUKS on mahdollinen, mutta se vaatii erillisen osion ja hieman monimutkaisemman konfiguraation.


Yritin luoda Disks-ohjelmalla tyhjästä 8,5GB osiosta LUKS-kryptatun osion, mutta ei onnistu. Tulee tällainen virhe. Missähän vika voisi olla?

Tuo allokoimaton osa on 'Extended partiton 3' alla. Pitäisikö sen olla ihan kokonaan omansa?

Jos pitäisi, niin millä työkalulla saan vapautettua tilaa tuosta 3:sta? Siinä 250GB ja käytössä ehkä 100GB. Disks-ohjelmassa on resize-toiminto, mutta antaa saman virheilmoituksen.



« Viimeksi muokattu: 06.11.22 - klo:11.14 kirjoittanut Snufkin »

nm

  • Käyttäjä
  • Viestejä: 15363
    • Profiili
Näyttää siltä, että osiotaulussa on vikaa, koska osiot ovat päällekkäin. Mitä GParted sanoo levystä?

fdiskin tai partedin listaus voisi myös selventää:

Koodia: [Valitse]
sudo fdisk -l /dev/sda
Koodia: [Valitse]
sudo parted /dev/sda unit B print

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Näyttää siltä, että osiotaulussa on vikaa, koska osiot ovat päällekkäin. Mitä GParted sanoo levystä?

fdiskin tai partedin listaus voisi myös selventää:

Koodia: [Valitse]
sudo fdisk -l /dev/sda
Koodia: [Valitse]
sudo parted /dev/sda unit B print

Tämä tavallaan ratkesi, jouduin poistamaan muutaman osion ja asentamaan tuon windowsin uudelleen. Samalla vapauti siltä tilaa kryptatulle osiolle. Gparted näytti ikään kuin koko kovo olisi allokoimaton. Disks näytti melkein oikein. :)

Windowsin asennuksen jälkeen boot-repairilla sain lopulta uuden boot-loaderin

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Mistähän löytyy sellainen asetus, että File manager kysyisi joka kerran salasanaa, kun yrittää kirjautua (mount) LUKS-suojattuun osioon? Nyt se jotenkin muistaa sen, että tuossa File Managerissa ole asiaan mitään asetusta.

AimoE

  • Käyttäjä
  • Viestejä: 2435
    • Profiili
Avaa "Salasanat ja avaimet" eli Seahorse, ja poista avain sieltä.

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Avaa "Salasanat ja avaimet" eli Seahorse, ja poista avain sieltä.

Ei oo Xubuntussa tuommoista.

Mutta muistan joskun nähneeni jossain asetuksen, missä kysytään muistaako järjestelmä kirjautumisen istunnon loppuun asti vai ko. osion sulkemiseen asti, tai ikuisesti.

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Koko levyn kryptaus onnistuu kyllä. ...

Jos välttämättä haluat kryptata vain kotihakemiston...

Jäin vielä pohtimaan tätä kysymystä. Korjatkaa jos olen väärässä.

1+  koko levyn kryptaus suojaa siltä, jos läppäri varastetaan, eli mitään tietoa ei saa sieltä live-CD:llä (tai muullakaan) irti.
1-   koko levyn kryptaus ei suojaa siltä, jos kone on päällä (käytössä) ja siihen tunkeudutaan. Tällöin levy on dekryptatussa moodissa ja tiedot selkokielisinä.

2+  yhden osion suojaus toimii myös koneen ollessa päällä, jos ko. osiota ei silloin tarvitse. Eli se on ikään kuin lipas, joka lukitaan heti käytön jälkeen.
2-   yhden osion suojaus suojaa vain ne tiedot, joita osiossa on, vaikka kone varastetaan.

3+  ideaali olisi systeemi, jossa kokonaan kryptattu kovalevy ja sen sisällä vielä toinen kryptattu "holvi" niille tiedoille, joita ei koko ajan tarvitse. En tiedä miten toimisi tällainen tuplasuojaus. Eli joku tiedostoa käyttävä kryptausohjelma käyttiksen sisällä. Kaipa se toimisi.  ::)

Itselläni on kaksi läppäriä käytössä ja tein toiseen 15G osion (LUKE) jossa kaikki tärkeämpi tieto. Ja nyt asennan toiseen koko käyttiksen uudestaan ja kryptaan koko kovon. En tiedä vielä kumpi on parempi, mutta näin saan kokemusta, kumpi on itselleni helpompi käyttää.

Taustalla on se, että matkustelen maailmalla jonkun verran ja olisi kiva pitää mukana kattavilla tiedoilla olevaa läppäriä ilman riskiä tietojen menetyksestä.



« Viimeksi muokattu: 08.11.22 - klo:00.45 kirjoittanut Snufkin »

nm

  • Käyttäjä
  • Viestejä: 15363
    • Profiili
1-   koko levyn kryptaus ei suojaa siltä, jos kone on päällä (käytössä) ja siihen tunkeudutaan. Tällöin levy on dekryptatussa moodissa ja tiedot selkokielisinä.

Aktiivisen tunkeutumisen ja tietojen varastamisen sijaan todennäköisempi skenaario on ehkä selaimen tai sähköpostin kautta tuleva ransomware-haittaohjelma, joka kryptaa tiedostosi ja vaatii kryptovaluuttaa avainta vastaan. Silloin ei auta sekään, että tiedostot olisi jo ennestään kryptattu. Varmuuskopiot on paras tehdä pilveen tai toiselle laitteelle, joka ei ole koko ajan kiinni koneessa.

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
1-   koko levyn kryptaus ei suojaa siltä, jos kone on päällä (käytössä) ja siihen tunkeudutaan. Tällöin levy on dekryptatussa moodissa ja tiedot selkokielisinä.

Aktiivisen tunkeutumisen ja tietojen varastamisen sijaan todennäköisempi skenaario on ehkä selaimen tai sähköpostin kautta tuleva ransomware-haittaohjelma, joka kryptaa tiedostosi ja vaatii kryptovaluuttaa avainta vastaan. Silloin ei auta sekään, että tiedostot olisi jo ennestään kryptattu. Varmuuskopiot on paras tehdä pilveen tai toiselle laitteelle, joka ei ole koko ajan kiinni koneessa.

Varmuuskopiot toki aina otettu. Osin ulkoisella kovalevyllä, osin pilvessä.

Jos tuollainen haittaohjelma iskee, niin pääseekö koneelle vielä kirjautumaan? Eli meneekö tili täysin lukkoon vai vain tiedot krytattu? Itsellä ei noista kokemusta ja mietin varasuunnitelmaa.

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Päädyin nyt tällaiseen systeemiin, kun ei tuo salattu käyttis ota asentuakseen. Jostain syystä kaatui aina salasanojen syöttämisen jälkeisessä vaiheessa.



Tuo nyt kohtuu turvallinen matkakoneessa, kun pitää edes tiedostot salatulla alueella.

Eli prosessi meni likimain näin:
1. Asenna käyttis live-tikulta normaalisti
2. Buuttaa kone live-tikulta ja pienennä tuota pää-partitiota sen verran kuin haluat suojattua tilaa (esim. Disks-ohjelmalla, joka ainakin Xubuntun asennustikulla valmiina, Gparted lienee toinen yleinen)
3. Buuttaa kone ja asenna tuohon vapautuneeseen tilaan LUKS-suojattu osio


« Viimeksi muokattu: 08.11.22 - klo:10.52 kirjoittanut Snufkin »

Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
Avaa "Salasanat ja avaimet" eli Seahorse, ja poista avain sieltä.

Ei oo Xubuntussa tuommoista.

Mutta muistan joskun nähneeni jossain asetuksen, missä kysytään muistaako järjestelmä kirjautumisen istunnon loppuun asti vai ko. osion sulkemiseen asti, tai ikuisesti.

Itselleni vastaten: Tämä asetus on valittavissa, kun kirjautuu ko. alueelle. Samassa ikkunassa on valinta millä kriteerein käyttis unohtaa kirjatumisen. Siinä on kolme optiota: immediately (eli kun unmountaa osion), until logout (loggautuu ulos järjestelmästä) tai forever.

Samanta

  • Käyttäjä
  • Viestejä: 83
    • Profiili
@snufkin Ehdotuksena 8.11.22 klo 00:42 viestisi kohtaan +3: Tee LUKS salaus joko koko levylle tai sen osiolle ja luo sinne 'holvi' erikseen haluamillesi tiedostoille tai kansioille esim eCryptfs ta Gocryptfs ohjelmalla. Minusta molempien ohjelmien käyttö on helppoa,. Gocryptfs:n on mielestäni näistä kahdesta ehkä hieman helpompi (käskyt vähän lyhempiä). Älä hukkaa salasanaa eikä Master Key avainta.





Snufkin

  • Käyttäjä
  • Viestejä: 351
    • Profiili
@snufkin Ehdotuksena 8.11.22 klo 00:42 viestisi kohtaan +3: Tee LUKS salaus joko koko levylle tai sen osiolle ja luo sinne 'holvi' erikseen haluamillesi tiedostoille tai kansioille esim eCryptfs ta Gocryptfs ohjelmalla. Minusta molempien ohjelmien käyttö on helppoa,. Gocryptfs:n on mielestäni näistä kahdesta ehkä hieman helpompi (käskyt vähän lyhempiä). Älä hukkaa salasanaa eikä Master Key avainta.

En saanut tuota koko kovalevyn kryptausta asentumaan. Asennusohjelma kaatui kesken yrityksen. Päädyin lopulta vain LUKS-suojattuun osioon.

Homma tosin jatkuu vielä, jahka jaksan taas paneutua. Vielä pitää saada krypattuja tiedostoja esim. Dropbox-talletukseen. Siinä ehkä Veracrypt voisi olla hyvä. Tai tuo käyttiksen "filemanageriin" integroitava. Veran etuna olisi, että tiedostot saa helpommin auki joltain toiselta koneelta, jos oma varastetaan.