Solución:
Si desea habilitar el cifrado de su carpeta de inicio, deberá instalar y usar estos paquetes: ecryptfs-utils
y cryptsetup
. También necesitará otra cuenta de usuario con privilegios de administrador (sudo). La documentación completa está aquí:
- Cómo cifrar su carpeta de inicio después de instalar Ubuntu
Si desea habilitar el cifrado de disco completo después de la instalación, la respuesta corta por ahora probablemente sea: no, no puedes. De todos modos, si está interesado en esto, su pregunta es un duplicado de:
- ¿Hay alguna forma de cifrar el disco completo después de la instalación?
- Cifrado de disco completo
Pregunta de seguimiento: ¿cuáles son las ventajas y desventajas del disco completo frente a solo / home?
Cifrado en /home
se realiza utilizando un sistema de archivos de espacio de usuario llamado ecryptfs. Está muy bien hecho y estrechamente integrado en el sistema de autenticación predeterminado para que no tenga inconvenientes de usabilidad: cuando ingresa a su cuenta (ya sea desde un shell remoto o desde la pantalla de inicio de sesión predeterminada), su contraseña se usa para desenvolver una clave segura , que luego se utiliza para cifrar / descifrar sus archivos en su directorio de inicio sobre la marcha (el sistema de archivos montado residirá directamente en /home/username
). Cuando cierra la sesión / home / username se desmonta y solo los archivos cifrados permanecen visibles en el sistema (generalmente en /home/.ecryptfs/username/.Private/
). Parecen un montón de archivos scrabbled / aleatorios ya que los nombres de archivo también están encriptados. La única fuga de información es: las marcas de tiempo y la cantidad de archivos (con el cifrado de disco completo, estos también están ocultos).
Si su sistema se va a compartir entre varios usuarios, esta es una característica muy buena incluso si decide agregar cifrado de disco completo junto con esto: la seguridad del cifrado de disco completo está desactivada cuando la máquina está en funcionamiento mientras está en casa ( ecryptfs) está activada siempre que no haya iniciado sesión.
Por lo tanto, el cifrado de disco completo y el cifrado doméstico no son necesariamente mutuamente excluyentes.
Aquí hay una lista de posibles configuraciones, según las diferentes necesidades de seguridad:
- CIFRADO DE DISCO COMPLETO ÚNICAMENTE: Si usted es el único que usa su computadora y su máquina puede manejar la sobrecarga del cifrado de disco completo (todas las computadoras de escritorio modernas pueden hacer eso sin que el usuario se dé cuenta, las netbooks y las computadoras portátiles antiguas no tanto), puede usar el cifrado de disco completo y poner en casa en la misma partición que su sistema operativo (/).
- CIFRADO DE DISCO COMPLETO Y CIFRADO DE ECRYPTFS DOMÉSTICO: Si le preocupa que se lean sus datos privados mientras su PC está encendida o si comparte su computadora con otros usuarios, entonces podría tener su hogar en una partición diferente de / y usar ecryptfs junto con el cifrado de disco completo (es decir, el cifrado de / a través de LUKS)
-
ENCRIPTACIÓN DE ECRYPTFS DOMICILIARIA ÚNICAMENTE: Si no está demasiado preocupado porque alguien manipule su sistema mientras está fuera, pero aún así le gusta mantener seguros sus datos privados, omita el cifrado completo del disco y simplemente use ecryptfs (cifrado de casa). Una ventaja adicional de este escenario es que es bastante fácil de configurar incluso después ha instalado Ubuntu, simplemente usando
ecryptfs-migrate-home
. Además, esta ha sido la configuración predeterminada de Ubuntu antes de que cambiara algunas versiones, agregando la posibilidad de cifrado completo del disco. Dado que la mayoría de las computadoras de escritorio modernas pueden manejar el cifrado de disco completo sin sudar y agrega una capa delgada de seguridad contra la inyección de código fuera de línea, se agregó el cifrado de disco completo al instalador. Sin embargo, tenga en cuenta que para la mayoría de los usuarios solo cifrar su hogar con ecryptfs será suficiente para sus necesidades: mantener a sus amigos y a los ladrones comunes de computadoras portátiles fuera de sus datos privados. Además, si ha sido un objetivo particular de una organización con los medios adecuados, tener cifrado de disco completo o simplemente cifrado doméstico no hará una gran diferencia a menos que también haya establecido muchos otros comportamientos paranoicos (como: mantener el kernel en un pendrive separado que siempre estará contigo; comprobando constantemente si hay manipulaciones de hardware / registradores de teclas, etc.)
Si no habilité el cifrado de disco durante la instalación, ¿hay alguna forma de habilitarlo post facto?
Sí, y será más fácil si actualmente está utilizando LVM y tiene suficiente espacio en su sistema para copiar todos los archivos del sistema sin cifrar en una partición LUKS cifrada. No voy a entrar en detalles por el momento porque no sé si está usando LVM y si prefiere no usar ecrypfs por ahora y saltarse la molestia del cifrado de disco completo hasta la próxima instalación nueva.
Como este sigue siendo el resultado principal en Google, quiero actualizarlo con información nueva. Como mencionó el usuario Frederick Nord: ¿Hay alguna forma de cifrar el disco completo después de la instalación?
Hay una herramienta llamada luksipc (cifrado de Luks en el lugar) después de investigar más, encontré la documentación más reciente y una advertencia del autor de esa herramienta:
luksipc se creó antes de que estuviera disponible cualquier alternativa del lado dm-crypt / cryptsetup / LUKS. Este ya no es el caso. Por lo tanto, recomiendo cambiar a cryptsetup-reencrypt, que se mantiene y prueba adecuadamente en sentido ascendente incluso cuando cambia el formato del encabezado LUKS (que yo sepa, esto ha sucedido al menos dos veces y puede hacer que luksipc falle catastróficamente, es decir, destruya todos sus datos En el peor de los casos).
Entonces cryptsetup-reencrypt
parece ser la forma recomendada.
Resumen de alto nivel:
- La herramienta sugerida solo puede funcionar en particiones que no estén en uso, así que use un cd / usb en vivo
- Manipule las particiones para que haya suficiente espacio en la ubicación correcta para los encabezados LUKS
- Utilice cryptsetup-reencrypt para cifrar la partición
- Repita para cada partición (excepto para el arranque)
Guía breve tomado de la documentación de Ubuntu:
Add LUKS encryption to not yet encrypted device
First, be sure you have space added to disk. Or alternatively shrink filesystem in
advance.
Here we need 4096 512-bytes sectors (enough for 2x128 bit key).
fdisk -u /dev/sdb # move sdb1 partition end + 4096 sectors
cryptsetup-reencrypt /dev/sdb1 --new --reduce-device-size 4096
Guía detallada tomado de Arch Wiki – Cifre un sistema de archivos sin cifrar:
umount /mnt # As mentioned this only works on partitions/devices which aren't mounted. You can skip this if you used a live cd and didn't mount this partition yet - but be sure to check
e2fsck -f /dev/sdaX # check that the file system is ok -f == force validation even if it looks ok
resize2fs -M /dev/sdaX # Shrink the filesystem to the minimum size.
cryptsetup-reencrypt /dev/sdaX --new --reduce-device-size 16M # Encrypt the unencrypted partition
cryptsetup open /dev/sdaX recrypt # Open the encrypted partition so we can give it back the disk space we removed by using the -M option on resize2fs
resize2fs /dev/mapper/recrypt # enlarge partition again
mount /dev/mapper/recrypt /mnt # Mount if you want to access data
Pregunta: ¿Por qué reducir al tamaño mínimo?
Respuesta: Supuesto: esto se hace porque el tamaño del encabezado LUKS puede cambiar en el futuro, por lo que estos pasos son genéricos y no quedarán desactualizados. El tamaño del encabezado cambió de LUKSv1 = 2 MB a Luksv2 = 16 MB en el pasado
Guía de solución de problemas: / boot está encriptado y no puedo arrancar
Actualización 12/2020
Entonces, para mí, sucedió que solo tenía 1 partición que incluía / boot. Después, ya no pude iniciar mi sistema. Si experimenta los mismos problemas, esta guía puede ayudarlo a recuperar un sistema que funcione.
Resumen de alto nivel
- Asegúrese de tener el software necesario para el descifrado en grub y en initramfs.
- Saber arrancar
Comida
- Arranque en un ubuntu “live cd”
- Descifrar la partición
- Cambie de chroot al sistema descifrado (si no sabe cómo podría ayudar esto: https://superuser.com/questions/111152/whats-the-proper-way-to-prepare-chroot-to-recover-a- instalación-de-linux-rota)
- En el entorno chroot
[email protected]:~# echo "GRUB_ENABLE_CRYPTODISK=y" >>/etc/default/grub
[email protected]:~# update-grub
[email protected]:~# grub-install /dev/sda???
- ¡Quédate en el chroot!
Initramfs
- Cree un script initramfs hoock que copie cryptestup a través de copy-exec
update-initramfs -u -k all
Cómo arrancar
- Obtienes un menú de grub vacío, presiona “c” para obtener una línea de comando.
- Ejecute lo siguiente:
insmod luks # load kernel module
cryptomount hd0,gpt6 # decrypt your encrypted partition
configfile (crypto0)/boot/grub/grub.cfg # tell grub the path to the now unecrypted config file
- Ahora debería obtener el menú de grub con las entradas de arranque adecuadas.
- Después de seleccionar “Ubuntu” debería entrar en initramfs.
- Ahora ejecute lo siguiente
cryptsetup luksOpen /dev/sda6 system
exit
Alternativa
Quizás considere usar esta guía a continuación. Parece abordar los problemas mencionados anteriormente. Aunque no lo he probado, no puedo estar seguro de que funcione. Pero valdría la pena investigarlo. https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html
PD: La guía de solución de problemas se escribió desde la memoria, por lo que es posible que falten algunas piezas. Pero quería escribirlo de todos modos, ya que todavía podría ayudar a algunas personas. Sin embargo, si encuentra algo que falta o es inexacto, por favor dígame en los comentarios para que pueda actualizar la guía gracias.