EncFS stellt ein verschlüsseltes Dateisystem im Userspace bereit. Es läuft ohne besondere Berechtigungen und verwendet die FUSE-Bibliothek und das Linux-Kernelmodul, um die Dateisystemschnittstelle bereitzustellen. Es ist ein Pass-Through-Dateisystem, kein verschlüsseltes Blockgerät, was bedeutet, dass es auf einem vorhandenen Dateisystem erstellt wird. Dieses Tutorial zeigt, wie Sie EncFS auf Debian Jessie verwenden können, um Ihre Daten zu verschlüsseln.
1 Vorbemerkung
Ich verwende in diesem Tutorial den Benutzernamen till auf meinem Debian Jessie-System.
2 Installation von EncFS
Melden Sie sich als Root-Benutzer auf Ihrem Server oder Desktop an, wenn Sie einen Remote-Server verwenden, können Sie z. Anmeldung per SSH. EncFS kann mit apt wie folgt installiert werden (wir benötigen Root-Rechte):
apt-get -y install encfs
Sie erhalten die folgende Warnung:
Encfs-Sicherheitsinformationen
Laut einer Sicherheitsprüfung von Taylor Hornby (Defuse Security) ist die aktuelle Implementierung von Encfs anfällig oder potenziell anfällig für mehrere Arten von Angriffen. Beispielsweise könnte ein Angreifer mit Lese-/Schreibzugriff auf verschlüsselte Daten den Entschlüsselungsaufwand für nachträglich verschlüsselte Daten verringern, ohne dass dies von einem legitimen Benutzer bemerkt wird, oder eine Timing-Analyse verwenden, um Informationen abzuleiten.
Bis dahin Probleme behoben sind, sollte encfs in Szenarien, in denen solche Angriffe möglich sind, nicht als sicheres Zuhause für sensible Daten betrachtet werden.
Während encfs möglicherweise keine Lösung zum Verschlüsseln von Daten für größere Organisationen oder Regierungen oder zur Verwendung auf Servern ist, auf denen Dritte wie oben beschrieben Schreibzugriff auf Ihre Daten haben, sollte es dennoch sicher genug für den persönlichen Gebrauch auf Ihrem sein Schreibtisch. Bitte berücksichtigen Sie dies, wenn Sie sich für die Verwendung von encfs entscheiden.
Vielleicht möchten Sie einen Blick auf die Manpage von EncFS werfen, um sich jetzt mit den Optionen vertraut zu machen:
man encfs
3 Verwendung von EncFS
Ich werde nun die Verzeichnisse verschlüsselt und entschlüsselt in meinem Home-Verzeichnis anlegen:
mkdir -p ~/encrypted
mkdir -p ~/decrypted
Das entschlüsselte Verzeichnis dient als Einhängepunkt für das verschlüsselte Verzeichnis. Um ~/encrypted nach ~/decrypted zu mounten, führen Sie einfach Folgendes aus:
encfs ~/encrypted ~/decrypted
Wenn Sie diesen Befehl zum ersten Mal ausführen, wird das EncFS-Setup gestartet, und Sie müssen ein Kennwort für das verschlüsselte Volume definieren:
[email protected]:~$ encfs ~/encrypted ~/decrypted
Neues verschlüsseltes Volume erstellen.
Bitte wählen Sie aus einer der folgenden Optionen:
Geben Sie "x" für die Expertenkonfiguration ein Modus,
geben Sie "p" für den vorkonfigurierten Paranoia-Modus ein,
alles andere, oder eine leere Zeile wählt den Standardmodus aus.
?> <-- p
Paranoia-Konfiguration ausgewählt.
Konfiguration abgeschlossen. Das zu erstellende Dateisystem hat
die folgenden Eigenschaften:
Dateisystemchiffre:"ssl/aes", Version 3:0:2
Dateinamenkodierung:"nameio/block", Version 3:0 :1
Schlüsselgröße:256 Bit
Blockgröße:1024 Byte, einschließlich 8 Byte MAC-Header
Jede Datei enthält 8 Byte Header mit eindeutigen IV-Daten.
Dateinamen, die mit IV-Verkettung codiert sind Modus.
Dateidaten IV sind mit Dateiname IV verkettet.
Dateilücken werden an Chiffretext weitergegeben.
--------------------- WARNUNG -------------------- ------
Die externe Initialisierungs-Vektorverkettungsoption wurde
aktiviert. Diese Option deaktiviert die Verwendung von Hardlinks im
Dateisystem. Ohne feste Links funktionieren einige Programme möglicherweise nicht.
Die Programme 'mutt' und 'procmail' sind dafür bekannt, dass sie fehlschlagen.
Weitere Informationen finden Sie in der encfs-Mailingliste.
Wenn Sie eine andere Konfigurationseinstellung wählen möchten,
drücken Sie jetzt bitte STRG-C, um abzubrechen und neu zu beginnen.
Jetzt müssen Sie ein Passwort für Ihr Dateisystem eingeben.geändert werden
Sie müssen sich dieses Passwort merken, da es absolut
keinen Wiederherstellungsmechanismus gibt. Das Passwort kann jedoch
später mit encfsctl.
Neues Encfs-Passwort:<-- geben Sie ein sicheres Passwort ein
Encfs-Passwort bestätigen:<-- geben Sie ein sicheres Passwort ein
[email protected]:~$
Denken Sie daran, sich das Passwort zu merken, da es keine Möglichkeit gibt, Ihre verschlüsselten Daten wiederherzustellen, wenn Sie das Passwort vergessen!
Sie sollten nun das EncFS-Volume in den Ausgaben von
findeneinhängen
[email protected]:~$ mount
sysfs auf /sys geben Sie sysfs (rw,nosuid,nodev,noexec,relatime) ein
proc auf /proc geben Sie proc (rw,nosuid,nodev,noexec ,relatime)
udev auf /dev geben Sie devtmpfs (rw,relatime,size=10240k,nr_inodes=125548,mode=755)
devpts auf /dev/pts geben Sie devpts (rw,nosuid,noexec,relatime ,gid=5,mode=620,ptmxmode=000)
tmpfs on /run type tmpfs (rw,nosuid,relatime,size=204216k,mode=755)
/dev/sda1 on /type ext4 (rw,relatime,errors=remount-ro,data=ordered,jqfmt=vfsv0,usrjquota=aquota.user,grpjquota=aquota.group)
securityfs auf /sys/kernel/security type securityfs (rw,nosuid, nodev,noexec,relatime)
tmpfs auf /dev/shm tippe tmpfs (rw,nosuid,nodev)
tmpfs auf /run/lock tippe tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs auf /sys/fs/cgroup geben Sie tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup auf /sys/fs/cgroup/systemd geben Sie cgroup (rw,nosuid, nodev,noexec,relatime,xattr,release_agent=/lib/systemd/systemd-cgroups-agent,name=systemd)
pstore Geben Sie auf /sys/fs/pstore pstore (rw,nosuid,nodev,noexec,relatime)
cgroup ein. Geben Sie auf /sys/fs/cgroup/cpuset cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)cgroup auf /sys/fs/cgroup/cpu,cpuacct Typ cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup auf /sys/fs/cgroup/devices Typ cgroup (rw ,nosuid,nodev,noexec,relatime,devices)
cgroup auf /sys/fs/cgroup/freezer geben Sie cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup auf /sys/fs ein /cgroup/net_cls,net_prio gib cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup auf /sys/fs/cgroup/blkio gib cgroup (rw,nosuid,nodev,noexec,relatime, blkio)
cgroup auf /sys/fs/cgroup/perf_event Typ cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
systemd-1 auf /proc/sys/fs/binfmt_misc Typ autofs ( rw,relatime,fd=23,pgrp=1,timeout=300,minproto=5,maxproto=5,direct)
mqueue on /dev/mqueue type mqueue (rw,relatime)
debugfs on / sys/kernel/debug type debugfs (rw,relatime)
fusectl on /sys/fs/fuse/ Verbindungen geben Sie fusectl (rw,relatime)
hugetlbfs auf /dev/hugepages ein. Geben Sie hugetlbfs (rw,relatime) ein
rpc_pipefs auf /run/rpc_pipefs geben Sie rpc_pipefs (rw,relatime) ein
encfs auf /home /till/decrypted type fuse.encfs (rw,nosuid,nodev,relatime,user_id=5004,group_id=5005,default_permissions)
und
df -h
[email protected]:~$ df -h
Verwendete Dateisystemgröße Verfügbare Nutzung % Eingehängt auf
/dev/sda1 57G 2.2G 52G 5% /
udev 10M 0 10M 0% /dev
tmpfs 200 Mio. 4,7 Mio. 195 Mio. 3 % /run
tmpfs 499 Mio. 0 499 Mio. 0 % /dev/shm
tmpfs 5,0 Mio. 0 5,0 Mio. 0 % /run/lock
tmpfs 499M 0 499M 0% /sys/fs/cgroup
encfs 57G 2.2G 52G 5% /home/till/decrypted
Um Ihre Daten in verschlüsselter Form zu speichern, legen Sie Ihre Daten in das entschlüsselte Verzeichnis, so wie Sie es mit einem normalen Verzeichnis tun würden:
cd ~/decrypted
echo "hello foo"> foo
echo "hello bar"> bar
ln -s foo foo2
Wenn Sie den Inhalt des Verzeichnisses überprüfen, werden Sie sehen, dass Sie es in unverschlüsselter Form sehen können...
ls -l
[email protected]:~/decrypted$ ls -l
insgesamt 8
-rw-r--r-- 1 bis 10. Jan. 14 10:38 bar
-rw -r--r-- 1 bis 10. Januar 14 10:38 foo
lrwxrwxrwx 1 bis 3. Januar 14 10:38 foo2 -> foo
[email protected]:~/decrypted$... solange es sich im verschlüsselten Verzeichnis befindet, ist es verschlüsselt:
cd ~/encrypted
ls -l[email protected]:~/encrypted$ ls -l
insgesamt 8
lrwxrwxrwx 1 bis 24. Jan. 14 10:38 ewoacflDuTvKLjSZxXsipVZh -> nwekRkg2xWwmUW-P3YgCFNzI
-rw-r- -r-- 1 bis 26. Jan. 14 10:38 nwekRkg2xWwmUW-P3YgCFNzI
-rw-r--r-- 1 bis 26. Jan. 14 10:38 r7sj2xc9OJEHk,nETdYAtMZu
[email protected]:~/verschlüsselt$
4 Mounten und unmounten von encfs-Volumes
Um das verschlüsselte Volume zu unmounten, führen Sie Folgendes aus:
cd
fusermount -u ~/decryptedÜberprüfen Sie die Ausgaben von...
einhängen... und ...
df -h... und Sie werden sehen, dass das EncFS-Volume nicht mehr aufgeführt wird.
Um es erneut zu mounten, führen Sie
ausencfs ~/encrypted ~/decryptedSie werden nach dem zuvor festgelegten Passwort gefragt:
[email protected]:~$ encfs ~/encrypted ~/decrypted
EncFS-Passwort:<-- yoursecretpassword
[email protected]:~$Wenn Sie das richtige Passwort angeben, wird das Verzeichnis ~/encrypted nach ~/decrypted gemountet, von wo aus Sie unverschlüsselt auf Ihre verschlüsselten Daten zugreifen können. Wenn Sie das Passwort vergessen, sind Ihre verschlüsselten Daten verloren!
5 encfs-Passwort ändern
Wenn Sie das Passwort ändern möchten, können Sie dies mit dem
tunencfsctl passwd ~/encryptedBefehl.
[email protected]:~$ encfsctl passwd ~/encrypted
Aktuelles Encfs-Passwort eingeben
EncFS-Passwort:<-- Ihr geheimes Passwort
Neues Encfs-Passwort eingeben
Neues Encfs-Passwort:<-- newsecretpassword
Encfs-Passwort bestätigen:<-- newsecretpassword
Lautstärkeschlüssel erfolgreich aktualisiert.
6 Links
- EncFS:http://www.arg0.net/encfs
- Debian:http://www.debian.org/