Activer le chiffrement du disque après l'installation

46

Je cours 13.10 Saucy. Si je n'ai pas activé le chiffrement de disque pendant l'installation, y a-t-il un moyen de l'activer après coup?

J'ai trouvé ceci , qui dit que le cryptage doit arrive au moment de l'installation, mais il fait également référence à Fedora. Je peux facilement démarrer sur un disque en direct s'il y a un moyen de le faire à partir de là.

    
posée Isaac Dontje Lindell 27.10.2013 - 15:35
la source

4 réponses

41

Si vous souhaitez activer le chiffrement de votre dossier personnel, vous devez installer et utiliser ces packages: ecryptfs-utils et cryptsetup . Vous aurez également besoin d'un autre compte d'utilisateur avec des privilèges d'administrateur (sudo). La documentation complète est ici:

Si vous souhaitez activer le chiffrement intégral du disque après l'installation, la réponse courte pour le moment est probablement: non, vous ne pouvez pas . Quoi qu’il en soit, si cela vous intéresse, votre question est la suivante:

réponse donnée Radu Rădeanu 01.11.2013 - 19:39
la source
13
  

Question complémentaire: quels sont les avantages et les inconvénients d’un disque dur par rapport à un simple / home?

Le cryptage dans / home se fait à l'aide d'un système de fichiers d'espace utilisateur appelé ecryptfs . Il est très bien fait et étroitement lié au système d'authentification par défaut pour que vous n'ayez aucun inconvénient en termes de facilité d'utilisation: lorsque vous entrez dans votre compte (depuis un shell distant ou depuis l'écran de connexion par défaut), votre mot de passe , qui est ensuite utilisé pour chiffrer / déchiffrer vos fichiers dans votre répertoire personnel à la volée (le système de fichiers monté se trouvera directement dans / home / nom d'utilisateur). Lorsque vous vous déconnectez / home / nom d'utilisateur est démonté et que seuls les fichiers chiffrés restent visibles dans le système (généralement dans /home/.ecryptfs/nomdutilisateur/.Private/). Ils ressemblent à un tas de fichiers scrabbled / random puisque les noms de fichiers sont également chiffrés. La seule fuite d'informations est la suivante: taille du fichier, horodatage et nombre de fichiers (avec le chiffrement intégral du disque, ceux-ci sont également masqués).

Si votre système doit être partagé entre plusieurs utilisateurs, cette fonctionnalité est très intéressante, même si vous décidez d’ajouter le chiffrement intégral du disque: la sécurité du chiffrement intégral du disque est désactivée lorsque la machine est opérationnelle. tant que le cryptage home (ecryptfs) est activé tant que vous êtes déconnecté.

Ainsi, le chiffrement intégral du disque et le chiffrement à la maison ne sont pas nécessairement incompatibles.

Voici une liste des configurations possibles, en fonction des différents besoins de sécurité:

  • CRYPTAGE À DISQUE COMPLET UNIQUEMENT: si vous êtes le seul à utiliser votre ordinateur et que votre ordinateur peut gérer le surcoût du chiffrement intégral du disque (tous les ordinateurs de bureau modernes peuvent faire cela sans que l'utilisateur ne le remarque, les netbooks et les vieux ordinateurs portables ne tellement) vous pouvez utiliser le cryptage complet du disque et mettre à la maison dans le même partitionnez votre OS (/).
  • CRYPTAGE DE DISQUES COMPLETS ET CRYPTAGE D'ECRYPTFS DE DOMICILE : si vous craignez que vos données privées ne soient lues lorsque votre ordinateur est sur ou vous partagez votre ordinateur avec d'autres utilisateurs, alors vous pourriez avoir à la maison dans un partition différente de / et utiliser ecryptfs le long du chiffrement intégral du disque (c’est-à-dire le chiffrement de / via LUKS)
  • CRYPTAGE HOME ECRYPTFS SEULEMENT : si vous ne vous souciez pas de quelqu'un qui falsifie votre système pendant que vous êtes absent mais que vous souhaitez toujours protéger vos données privées, ignorez le cryptage complet du disque et utilisez simplement ecryptfs ( chiffrement de la maison). Un autre avantage de ce scénario est qu'il est assez facile de configurer même après vous. J'ai installé Ubuntu en utilisant simplement ecryptfs-migrate-home. Il s’agit également de la configuration par défaut d’Ubuntu avant de modifier quelques versions, en ajoutant la possibilité d’un chiffrement intégral du disque. Étant donné que la plupart des ordinateurs de bureau modernes peuvent gérer le chiffrement intégral du disque sans transpirer et ajoute une mince couche de sécurité contre l'injection de code hors ligne, le chiffrement intégral du disque a été ajouté dans le programme d'installation. Notez cependant que pour la plupart des utilisateurs, le cryptage de leur maison avec ecryptfs suffira à leurs besoins: garder leurs amis et les voleurs d'ordinateurs portables hors de leurs données privées. De plus, si vous avez été singulièrement ciblé par une organisation avec les bons moyens, le cryptage intégral du disque ou le cryptage à la maison ne feront pas une grande différence à moins que vous ayez également établi beaucoup d'autres comportements paranoïaques (comme garder le noyau dans un lecteur de stylo séparé qui est toujours sur vous, en vérifiant constamment les altérations matérielles / les enregistreurs de frappe, etc.)
  

Si je n’ai pas activé le chiffrement de disque lors de l’installation, existe-t-il un moyen de l’activer après coup?

Oui, cela sera plus facile si vous utilisez actuellement LVM et que vous avez suffisamment d'espace sur votre système pour copier tous vos fichiers système non chiffrés dans une partition LUKS chiffrée. Je ne vais pas entrer dans les détails pour le moment parce que je ne sais pas si vous utilisez LVM et si vous préférez ne pas simplement utiliser ecrypfs pour le moment et ignorer les tracas liés au chiffrement intégral du disque avant la prochaine nouvelle installation. / p>     

réponse donnée user824924 03.11.2013 - 03:12
la source
2

Eh bien, vous pouvez faire une sauvegarde de tous les répertoires importants et des logiciels installés. Assurez-vous que votre 13.10 est entièrement mis à jour pour éviter les conflits de version. En général, les choses à faire seraient:

Après cela, vous réinstallez le système uniquement maintenant crypté. Mettez-le à jour complètement. Ensuite, déplacez la sauvegarde vers le système crypté et installez tous les logiciels de la version précédente.

Veillez simplement à ne pas écraser les fichiers importants pour le chiffrement lors de la sauvegarde (par exemple, /etc/fstab , /etc/cryptab , certains éléments liés à grub et certains éléments de /boot ne doivent pas être remplacés par la sauvegarde). fichiers).

    
réponse donnée con-f-use 02.11.2013 - 17:32
la source
1

Réponse simple: non.

Réponse compliquée:

Le chiffrement d’un disque ou d’une partition effacera tout ce qui se trouve actuellement sur ce disque ou cette partition. Pour chiffrer un disque, vous devez également supprimer le contenu du disque. Vous devez effectuer des sauvegardes de données appropriées avant de commencer. Évidemment, cela signifie que vous devez réinstaller le système pour utiliser le chiffrement intégral du disque, sans autre moyen. En effet, des données aléatoires seront écrites sur l’ensemble du disque pour rendre plus difficile la récupération des données.

Aujourd'hui, vous n'avez pas besoin de chiffrer votre partition racine. Rappelez-vous que si quelque chose se passe en fil, vous êtes hors de votre système sans possibilité de récupérer les données. Vous ne devez considérer que le cryptage de vos informations personnelles.

Voir la question associée Comment chiffrer le disque complet après l’installation?

    
réponse donnée Braiam 01.11.2013 - 21:51
la source

Lire d'autres questions sur les étiquettes