EncFS proporciona un sistema de archivos cifrados en el espacio del usuario. Se ejecuta sin ningún permiso especial y utiliza la biblioteca FUSE y el módulo del kernel de Linux para proporcionar la interfaz del sistema de archivos. Es un sistema de archivos de paso, no un dispositivo de bloque encriptado, lo que significa que se crea sobre un sistema de archivos existente. Este tutorial muestra cómo puede usar EncFS en Debian Jessie para cifrar sus datos.
1 nota preliminar
Estoy usando el nombre de usuario hasta en mi sistema Debian Jessie en este tutorial.
2 Instalación de EncFS
Inicie sesión como usuario raíz en su servidor o escritorio, cuando use un servidor remoto, puede, p. inicio de sesión por SSH. EncFS se puede instalar con apt de la siguiente manera (necesitamos privilegios de root):
apt-get -y install encfs
Recibirá la siguiente advertencia:
Encfs security information
According to a security audit by Taylor Hornby (Defuse Security), the current implementation of Encfs is vulnerable or potentially vulnerable to multiple types of attacks. For example, an attacker with read/write access to encrypted data might lower the decryption complexity for subsequently encrypted data without this being noticed by a legitimate user, or might use timing analysis to deduce information.
Until these issues are resolved, encfs should not be considered a safe home for sensitive data in scenarios where such attacks are possible.
Si bien es posible que encfs no sea una solución para cifrar datos para organizaciones más grandes o gobiernos o para usarse en servidores donde terceros tienen acceso de escritura a sus datos de la manera descrita anteriormente, aún debe ser lo suficientemente seguro para uso personal en su escritorio. Tenga esto en cuenta cuando decida utilizar encfs.
Es posible que desee echar un vistazo a la página del manual de EncFS para familiarizarse con sus opciones ahora:
man encfs
3 Usando EncFS
Ahora crearé los directorios cifrados y descifrados en mi directorio de inicio:
mkdir -p ~/encrypted
mkdir -p ~/decrypted
El directorio descifrado actúa como punto de montaje para el directorio cifrado. Para montar ~/encrypted a ~/decrypted, simplemente ejecute:
encfs ~/encrypted ~/decrypted
Si ejecuta este comando por primera vez, se inicia la configuración de EncFS y debe definir una contraseña para el volumen cifrado:
[email protected]:~$ encfs ~/encrypted ~/decrypted
Creating new encrypted volume.
Please choose from one of the following options:
enter "x" for expert configuration mode,
enter "p" for pre-configured paranoia mode,
anything else, or an empty line will select standard mode.
?> <-- p
Paranoia configuration selected.
Configuration finished. The filesystem to be created has
the following properties:
Filesystem cipher: "ssl/aes", version 3:0:2
Filename encoding: "nameio/block", version 3:0:1
Key Size: 256 bits
Block Size: 1024 bytes, including 8 byte MAC header
Each file contains 8 byte header with unique IV data.
Filenames encoded using IV chaining mode.
File data IV is chained to filename IV.
File holes passed through to ciphertext.
-------------------------- WARNING --------------------------
The external initialization-vector chaining option has been
enabled. This option disables the use of hard links on the
filesystem. Without hard links, some programs may not work.
The programs 'mutt' and 'procmail' are known to fail. For
more information, please see the encfs mailing list.
If you would like to choose another configuration setting,
please press CTRL-C now to abort and start over.
Now you will need to enter a password for your filesystem.
You will need to remember this password, as there is absolutely
no recovery mechanism. However, the password can be changed
later using encfsctl.
New Encfs Password: <-- enter a secure password
Verify Encfs Password: <-- enter a secure password
[email protected]:~$
¡Asegúrese de recordar la contraseña porque no hay forma de recuperar sus datos cifrados si olvida la contraseña!
Ahora debería encontrar el volumen EncFS en las salidas de
mount
[email protected]:~$ mount
sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
udev on /dev type devtmpfs (rw,relatime,size=10240k,nr_inodes=125548,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
tmpfs on /run type tmpfs (rw,nosuid,relatime,size=204216k,mode=755)
/dev/sda1 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered,jqfmt=vfsv0,usrjquota=aquota.user,grpjquota=aquota.group)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,mode=755)
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/lib/systemd/systemd-cgroups-agent,name=systemd)
pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=23,pgrp=1,timeout=300,minproto=5,maxproto=5,direct)
mqueue on /dev/mqueue type mqueue (rw,relatime)
debugfs on /sys/kernel/debug type debugfs (rw,relatime)
fusectl on /sys/fs/fuse/connections type fusectl (rw,relatime)
hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime)
rpc_pipefs on /run/rpc_pipefs type rpc_pipefs (rw,relatime)
encfs on /home/till/decrypted type fuse.encfs (rw,nosuid,nodev,relatime,user_id=5004,group_id=5005,default_permissions)
y
df -h
[email protected]:~$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 57G 2.2G 52G 5% /
udev 10M 0 10M 0% /dev
tmpfs 200M 4.7M 195M 3% /run
tmpfs 499M 0 499M 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 499M 0 499M 0% /sys/fs/cgroup
encfs 57G 2.2G 52G 5% /home/till/decrypted
Para guardar sus datos en forma cifrada, coloque sus datos en el directorio descifrado, tal como lo haría con un directorio normal:
cd ~/decrypted
echo "hello foo" > foo
echo "hello bar" > bar
ln -s foo foo2
Si revisa el contenido del directorio, verá que puede verlo en forma no cifrada...
ls -l
[email protected]:~/decrypted$ ls -l
total 8
-rw-r--r-- 1 till till 10 Jan 14 10:38 bar
-rw-r--r-- 1 till till 10 Jan 14 10:38 foo
lrwxrwxrwx 1 till till 3 Jan 14 10:38 foo2 -> foo
[email protected]:~/decrypted$
... mientras está en el directorio encriptado, está encriptado:
cd ~/encrypted
ls -l
[email protected]:~/encrypted$ ls -l
total 8
lrwxrwxrwx 1 till till 24 Jan 14 10:38 ewoacflDuTvKLjSZxXsipVZh -> nwekRkg2xWwmUW-P3YgCFNzI
-rw-r--r-- 1 till till 26 Jan 14 10:38 nwekRkg2xWwmUW-P3YgCFNzI
-rw-r--r-- 1 till till 26 Jan 14 10:38 r7sj2xc9OJEHk,nETdYAtMZu
[email protected]:~/encrypted$
4 Montar y desmontar volúmenes encfs
Para desmontar el volumen cifrado, ejecute:
cd
fusermount -u ~/decrypted
Comprobar las salidas de...
mount
... y...
df -h
... y verá que el volumen EncFS ya no aparece en la lista.
Para volver a montarlo, ejecute
encfs ~/encrypted ~/decrypted
Se le pedirá la contraseña que definió anteriormente:
[email protected]:~$ encfs ~/encrypted ~/decrypted
Contraseña EncFS:<-- tucontraseñasecreta
[email protected]:~$
Si especifica la contraseña correcta, esto montará el directorio ~/encrypted en ~/decrypted desde donde podrá acceder a sus datos cifrados sin cifrar. ¡Si olvida la contraseña, perderá sus datos cifrados!
5 Cambiar contraseña de encfs
Si desea cambiar la contraseña, puede hacerlo con el
encfsctl passwd ~/encrypted
comando.
[email protected]:~$ encfsctl passwd ~/encrypted
Ingrese la contraseña actual de Encfs
Contraseña de EncFS:<-- su contraseña secreta
Ingrese la nueva contraseña de Encfs
Nueva contraseña de Encfs:<-- newsecretpassword
Verifique la contraseña de Encfs:<-- newsecretpassword
La clave de volumen se actualizó correctamente.
6 Enlaces
- EncFS:http://www.arg0.net/encfs
- Debian:http://www.debian.org/