Şifreli özel dizin oluşturma
Ubuntu Intrepid Ibex ve sonraki sürümler, hem masaüstü hem de sunucu kullanıcıları için yeni güvenlik özelliği içerir: Şifreli ~/Private Dizin.
Şifreli private (özel) dizin kurma
1. ecryptfs-utils kurun
sudo apt-get install ecryptfs-utils
2. Private dizininizi kurun
ecryptfs-setup-private
3. Giriş şifrenizi yazın veya bir bağlama şifresi seçin ya da yenisini oluşturun.
- Her iki şifreyi güvenli bir konuma kaydedin!!! Veriyi elle girdiğinde bu şifreler size lazım olacaktır.
4. Bağlama işleminin gerçekleşmesi için Çıkış yapın ve tekrar Girin
Şifreli özel dizini kullanma
Tekrar giriş yaptıktan sonra, ~/Private dizininde yazılan tüm dosya veya klasörün içerikleri, diske yazıldığında ~/.Private gizli dizininde şifrelenir.
Anahtarlar, e-posta ve diğer verileri saklama
~/Private içindeki .evolution/, .ssh/ ve .gnupg/ dosyalarının içeriklerini taşımak ve onları sembolik bağlantıyla değiştirmek iyi bir fikirdir.
1. Korumak istediğiniz uygulamaların (örn, Firefox veya Evolution) çalışmadıklarından emin olun
ps -ef
2. Uygulamanın veri dizinini ~/Private dizininize taşıyın (örn, ~/.mozilla veya ~/.evolution)
mv ~/.evolution ~/Private
3. Eski konumdan yeni konuma sembolik bir bağlantı kurun
ln -s ~/Private/.evolution ~/.evolution
Otomatik girişte birleşim kullanma
Otomatik, şifresiz masaüstü girişi, bağlı olmayan ~/Private dizinini sağlar. ~/Private dizinindeki şifreli verilere erişmek için bir parola girmenizi sağlar.
Eğer ecryptfs-utils'deki 53-1ubuntu13 sürümü yada daha öncekindeki ecryptfs-setup-private kullanırsanız, ve ~/Private klasörünüzü Nautilus veya Konqueror ile açarsanız, README.txt ve "Access Your Private Data" adlarında iki tane dosya göreceksiniz. Eğer "Access..." dosyasına tıklarsanız, giriş şifrenizi yazmanız istenir, ancak ondan sonre özel veriye erişebilirsiniz.
~/Private dizininizi eğer cryptfs-utils'in eski sürümüyle oluşturduysanız, "Access Your Private Data" simgesi için sembolik bağlantıyı elle şu şekilde oluşturmanız gerekir:
1. Son sürüm ecryptfs-utils paketini yükleyin
$ sudo apt-get update && sudo apt-get upgrade
2. ~/Private 'in bağlı olmadığından emin olun
cd ~/Private && sudo ln -sf /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt README.txt && sudo ln -sf /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop Access-Your-Private-Data.desktop
3. Bağsız olan ~/Private klasörüne bağlar verin
$ ecryptfs-umount-private
Veriyi elle kurtarma
Bu adımlar sadece olağan dışı veya acil durumlarda gereklidir. Şifreli ~/Private dizindeki verileri elle bağlamak zorunda kaldığında bu adımları takip ediniz, Aksi taktirde bu adımları atmanıza gerek yoktur. Bunu, verinizi farklı bir sistemde bağlamak için ya da çalışan CD ile kullanabilirsiniz. Bu en azından Linux 2.6.26 çekirdeğinde çalışır.
1. Eğer şifreli doya adları kullanırsanız (Ubuntu >= 9.04'da standarttır) öncelikle şu adımları atmanız gerekecektir:
sudo ecryptfs-add-passphrase --fnek
Passphrase:
(mount--this (bunu bağla) parolası, giriş parolasından farklı olduğunda bağlama parolasını girin.)- Şunlara benzer iki satır gözükecektir:
Inserted auth tok with sig [9986ad986f986af7] into the user session keyring
Inserted auth tok with sig [76a9f69af69a86fa] into the user session keyring
- (İkinci satırdaki köşeli parantez içindeki değeri yazın)
2. sudo kullanarak bağlayın:
sudo mount -t ecryptfs /home/username/.Private /home/username/Private
Selection: 3
- (bir parola anahtar türü seçin)
Passphrase:
- (mount--this (bunu bağla) parolası, giriş parolasından farklı olduğunda bağlama parolasını girin.)
Selection: aes
- (aes cipher'ı kullanın)
Selection: 16
- (16 baytlık anahtar kullanın)
Enable plaintext passthrough: n
Enable filename encryption: y
- (Eğer dosya adı şifrelemeyi kullanıyorsanız sadece bu ve sonraki seçenekleri uygulayın)
Dosyaadı Şifreleme Anahtar (FNEK) İmzası:
- (yukarıda ikinci satırda yazılan değer)
Şifrenizi doğru olarak girdiğiniz varsayılarak, /home/kullanıcıadı/Privatedeki verilerinize geçici erişime izin verebilirsiniz. Olağan kullanıcı hesabı yerine süper kullanıcı yetkilerini kullanırsanız, yanlış şifre girdiğinizde, bir uyarı mesajı ile karşılaşabilirsiniz, eğer girmezseniz:
UYARI: [/root/.ecryptfs/sig-cache.txt] dosyasının içeriği, bu anahtarla sanki daha önce bağlamadığınız gözüküyor. Öyle anlaşılıyor ki, şifrenizi yanlış yazmışsınız.
Bu uyarıyı reddetmek güvenlidir.
Bağlayıcı parolayı kurtarma
Bağlayıcı parolayı yazmadığınızda, giriş parolanızı kullanarak ~/.ecryptfs/wrapped-passphrase dosyasıyla birlikte şifreyi kaldırarak onu kurtarabilirsiniz.
ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase "login passphrase"
Giriş parolasını silmek için bu noktada yazım geçmişinizi silmeniz iyi bir fikirdir
history -c
Giriş parolanız wrapped-passphrase dosyasında şifrelenen parola ile eşleşirse, bağlama parolanız ekranda görülecektir. Bu veri kaydını saklayın.
Eğer wrapped-passphrase dosyanızı kaybederseniz ve bağlama parolanızı kaydetmediyseniz, verilerinize erişmeniz mümkün değildir.
Şifreli özel dizin nasıl kaldırılır?
Belkide Şifreli Özel Dizin Kurma size göre bir iş değildir. Bu kurulumu kaldırmak için: 1. İlgili tüm verilerinizi ~/Private dizininden taşınığından emin olun 2. Şifreli özel dizininizin bağını çözün
$ ecryptfs-umount-private
3. Tekrar ~/Private yazılabilir yapın
$ chmod 700 ~/Private
4. ~/Private, ~/.Private ve ~/.ecryptfs klasörleri kaldırın (Not: BU, ÇOK KALICIDIR)
$ rm -rf ~/Private ~/.Private ~/.ecryptfs
5. Uygulamaları kaldırın
$ sudo apt-get remove ecryptfs-utils libecryptfs0
Kalan şifreli klasörle giriş
Muhtemel bir güvenlik problemi, kullanıcının giriş yapıp, aniden bilgisayarı başka birinin kullanacağı şeklide bırakıp giddiğinde ortaya çıkar. Private klasörü kullanıcı giriş yaptığında kilitlenmez. Kullanıcı klasör kilidini değiştirmemeki ve başka bir kullanıcı bilgisayarı kontrolüne alabilir ve asıl sahibi uzaktayken, kendisi ona erişebilir.
Başlangıç esnasında Özel klasörün kilidini açarak şifreleri durdurabiliriz. Bunnu için, ~/.ecryptfs/ klasöründeki auto-mount boş dosyasını kaldırmalıyız. Ayrıca auto-umount dosyasını da kaldırabiliriz.
Basitçe giriş ya da çıkış yaptığınızda, bazı durmda betikler hata verir. Makineyi tekrar başlatınız ya da bağlanan betiğe veya klasöre tıklayın.
Bu problemi çözmek için, girişte çalışacak Private klasörün bağını çözmek için bir betik yazabiliriz. Böylece parola yazmadan erişime imkan verilmez. Bunu yapmak için:
1. Sistem > Tercihler > Başlangıç Uygulamalarına gidin.
2. Ekleye tıklayın.
3. Ad alanına örneğin Private Klasörü Kilitle gibi birşey girebilirsiniz. Komut alanına, /usr/bin/ecryptfs-umount-private yazın. Açıklama alanı boş olabilir.
4. Kaydete tıklayın ve Başlangıç Uygulamaları penceresini kapatın. Giriş yaptığınızda, erişime açılmadan önce Private klasörünün bağı derhal çözülecektir.
Bu işlem, problemin hızlı ve basit çözümüdür. Eğer daha iyi çözüm yolu varsa, bunun yerine litfen onu kullanın.
İkazlar
- Ubuntu 9.04'den öncekilerde dosya ve dizin adları şifrelenmezdi. Şifreeleme Ubuntu 9.04 ile başladı. (#264977).
- /Ev dizininin ağ bağı (NFS, CIFS, Samba), ~/Private şifresi ile muhtemelen çalışmayacaktır (hatalar [1] & [2]).
- İzinli kullanıcılar giriş yaptığında normalde verilen özel olarak tutulmaz. Bunun bir nedeni, eğer ~/Private bağlıysa, içindeki dosyaları yürütmek için yapılandırılan yedek yazılım olmadığın, şifreleri çözmek için yedek bir çözümün olması içindirda.
- Eğer ~/Privateki tüm .ssh dosyalarını yerleştirirseniz, genel anahtar doğrulamayı kullanarak sistem içindeki ssha erişemezsiniz. Bundan dolayı sadece ~/Private'deki özel anahtarınızı koymalısınız.
- Uygulama verilerine eğer ~/Private dizinine depolamayı seçerseniz ve bu dizinde bağlıysa, bu uygulamalar beklenen işlemleri yapmazlar.
- Eğer "otomatik giriş" etkinse ~/Private, otomatik olarak BAĞLANMAZ (şifresi çözülmez).
- Linux dosya adları 256 karakter uzunluğu ile sınırlıdır. eCryptfs şifreli dosya adları kullanıldığında, şifreyi çözmek için dosya adları gerekli olan üstveri ile şişirilir. Çok uzun olan (> ~200 karakter) Cleartext dosya adları, eCryptfs ile çalışmaz.
Bu kılavuzun ilgili olmadığı durum
- Bu kılavuz şifreli dizinin otomatik bağlanmasının nasıl çalışacağı ve otomatik bağlamanın durdurulması için hangi dosyaların gerektiği ile ilgili değildir.