Essa dica trata do uso do eCryptfs para criar um diretório (=pasta) simples criptografado dentro da home do sistema, permanecendo todos os demais diretórios sem criptografia, como uma forma de criar privacidade e segurança mediante proteção criptográfica para arquivos pessoais no Linux Ubuntu.
Quando se quer manter um arquivo sem acesso e sem visibilidade, basta movimentar o arquivo para dentro desse diretório "Private", situação em que ele lá permanecerá criptografado, e portanto, inacessível a quem não tenha a senha de acesso.
O Ubuntu oferece na instalação a possibilidade de criptografia do sistema, situação em que *toda* a /home do usuário estará criptografada, necessitando ao iniciar o sistema entrar com uma passphrase, isto é, uma senha para desbloquear o home.
Não é disso que trata este tópico, o que aqui se pretende é apenas a criação de um diretório avulso criptografado para onde se possa movimentar arquivos que não se queira visíveis, sem as complicações e consequências de todo um sistema criptografado. O que aqui se aborda é o uso do ecryptfs na modalidade mais simples, que para diferenciar das demais chamaremos de modo single.
O uso operacional do eCryptfs dessa forma não requer privilégio do root e nenhum registro no /etc/fstab.
I) Instalando e configurando o ecryptfs singlea) Instalando o ecryptfsPara instalar a ferramenta que criará a pasta "Private" e fará essa criptografia, faça num terminal:
sudo apt install ecryptfs-utils
b) Configurando a pasta "Private"Uma vez instalado é necessário configurar a pasta "Private".
Existem três possibilidades de configuração a serem consideradas, uma das quais deverá ser escolhida antes da instalação.
O padrão do ecryptfs é que a pasta "Private" seja aberta automaticamente quando se faz login no sistema.
O raciocínio fundamento disso é mais ou menos óbvio, pois se é o usuário que está logando e a pasta pertence a ele, então se vai desde já deixar os arquivos nela existente disponíveis.
Entretanto, essa configuração pode não ser adequada dependendo de como se usa o sistema, eventualmente pode ser preferível que ao iniciar o sistema a pasta "Private" esteja trancada, não disponível para ninguém e quando quiser o usuário dono dos arquivos criptografados vai lá e abre manualmente, dependendo do caso pode ser mais seguro fazer dessa forma, mas enfim, é uma questão de gosto próprio, forma concreta como se usa o sistema e necessidades objetivas.
Além disso, deve-se considerar também que o sistema pode ser configurado para subir automaticamente, isto é, sem parar para o login, como uma forma de abreviar a disponibilidade do desktop sem perder tempo com o login, naquelas instalações que não exigem maior segurança, então também por isso pode ser preferível que ao iniciar a pasta "Private" esteja fechada e indisponível o seu conteúdo.
Uma terceira variável é quanto a senha para abrir a pasta "Private", que pode ser a mesma senha utilizada no login ou ainda se pode criar um senha diferente daquela do login, novamente aqui é uma questão de conveniência de cada qual.
Relacionadas adiante as três formas de fazer o setup da pasta "Private", em ordem crescente de segurança, e você escolhe o que lhe for mais conveniente conforme suas próprias e pessoais necessidades de privacidade e segurança.
b1)
pasta "Private" automaticamente aberta junto com o loginecryptfs-setup-private
b2)
pasta "Private" trancada ao iniciar e aberta manualmente (=mais seguro)A abertura da pasta "Private" se faz com a mesma senha do login
ecryptfs-setup-private --noautomount
b3)
pasta "Private" trancada ao iniciar e aberta com senha diferente do login (=mais seguro ainda e mais trabalhoso)ecryptfs-setup-private --wrapping --noautomount
No código acima a opção --wrapping, querendo, pode ser substituída pela forma simplificada -w
Note que as opções, na forma extensa, são precedidas de duplo hífen.
Quando a pasta "Private" estiver trancada, observe que dentro dela há um ícone com o nome "Access-Your-Private-Data.desktop" (e também um arquivo README.txt), pois bem, se clicar nesse ícone ele automaticamente abre um terminal com a expressão "Enter your login passphrase:" (ou "Enter your wrapping passphrase:" se --wrapping foi usado), então aí é somente colocar a senha do login ou aquela outra especialmente criada para essa finalidade e a pasta estará aberta.
Em qualquer das formas haverá a solicitação:
Pedindo a senha de login do usuário:
Enter your login passphrase [username]: --> login do usuário no sistema
Pedindo para ser criada uma passphrase que poderá ser usada para eventual recuperação manual dos arquivos criptografados.
O "abretesesamo" do lendário personagem fictício arábe Ali Babá mencionado abaixo, além de letra, música e álbum (1980) do cantor e compositor Raul Seixas, que não poderia ser mais atual no presente momento nacional tupiniquim, evidentemente é apenas exemplo de uma passphrase. Crie a que achar mais adequada e possa ser realmente memorizada.
Enter your mount passphrase [leave blank to generate one]: --> abretesesamo
O processamento irá fazer verificações e testes resultando o aviso:
************************************************************************
YOU SHOULD RECORD YOUR MOUNT PASSPHRASE AND STORE IT IN A SAFE LOCATION.
ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
THIS WILL BE REQUIRED IF YOU NEED TO RECOVER YOUR DATA AT A LATER TIME.
************************************************************************
Importante:
reinicie a sessão para que a pasta "Private" seja criada e as alterações tenham efeito.
Ao reiniciar será apresentada uma janela com os dizeres:
Informação disponível
Informações da atualização
Gravar sua frase secreta de criptografia
Para criptografar seu diretório pessoal ou a pasta "Private", uma frase secreta forte foi gerada automaticamente. Normalmente seu diretório é desbloqueado com sua senha de usuário, mas se você precisar recuperá-lo manualmente, vai precisar desta frase secreta. Por favor, imprima-a ou escreva-a e armazene-a em um local seguro. Se você clicar em "Executar esta ação agora", digite sua senha de login na solicitação de "Senha" e você poderá exibir sua senha gerada aleatoriamente. Caso contrário, você terá que executar "ecryptfs-unwrap-passphrase" a partir da linha de comando para recuperar e registrar sua frase secreta gerada.
Executar essa ação agora / Fechar
Se gravou antes a passphrase não é realmente necessário fazer mais nada em relação a isso, pode clicar em fechar.