Início / ubuntu / Perguntas / 1338610
Accepted
Duncan
Asked: 2021-05-16 22:31:16 +0800 CST

Como posso criar um arquivo/diretório criptografado? (Ubuntu 20.04 LTS)

  • 772

Eu tenho um PC Lenovo e estou executando o Ubuntu 20.04 LTS.

Eu gostaria de criptografar um arquivo ou diretório em um HDD externo conectado ao pc via porta USB (para armazenar dados que devem ser MUITO SEGUROS).

Como se faz isso?

encryption

5 respostas

  1. Best Answer

    Como fazer um arquivo/diretório criptografado

    • Instale o p7zip-full do repositório do universo

    • Clique com o botão direito do mouse no arquivo ou pasta e selecione Compress.

    • Confirme o nome do arquivo e selecione .7z, depois Create.

    • Clique com o botão direito do mouse em arquivo .7z selecione abrir com o Gerenciador de Arquivos.

    • Selecione o ícone de três linhas no canto superior direito, clique em Senha para criar um arquivo criptografado AES-256.

    Notas

    Você precisará instalar o 7Zip para abrir o arquivo em uma máquina Windows.

    Selecionar e lembrar uma senha forte é uma parte importante da segurança da criptografia. Existem muitos artigos bons sobre este tema na internet.

    HDDs, SSDs e drives flash podem ser bloqueados sem aviso prévio. SLC, (Single Level Cell) SSDs e flash drives têm a vida útil mais longa. É uma boa ideia manter uma unidade de backup e uma cópia da senha em seu cofre.

    Um tutorial completo sobre o P7Zip-Desktop pode ser encontrado em: https://www.how2shout.com/linux/how-to-install-p7zip-gui-on-ubuntu-20-04-lts/

    • 15

  2. (Para um diretório, eu o colocaria em um arquivo)

    A criptografia pode ser feita com ...

    gpg -c {file}

    Forneça uma senha decente . Para descriptografar:

    gpg {file}.gpg

    e forneça a senha que você usou. Se você quiser descriptografar usando o Windows, você pode usar "gpg4win". Remova o arquivo original depois de terminar.

    rinzwind@schijfwereld:~$ ls -ltr test
-rwx------ 1 rinzwind rinzwind 418 mei 14 18:11 test
rinzwind@schijfwereld:~$ file test
test: POSIX shell script, ASCII text executable
rinzwind@schijfwereld:~$ gpg -c test
rinzwind@schijfwereld:~$ file test*
test:     POSIX shell script, ASCII text executable
test.gpg: GPG symmetrically encrypted data (AES256 cipher)
rinzwind@schijfwereld:~$ more test.gpg 
�
�KY+�7���S/?Gp��(�ր��z&ĥ��Ag�����)|�IT[���>e�:\#/����Xko��^�)��@��m�6�'�
                                                                        �vp;��؞
    �XX���&�>Uk�v���rY!��sD����A�
r��=���'Ug�G�|6&(�l���\����fc��Q�Xn \�k�^�
�-�����G*��J��E

    Eu adicionaria então alguma segurança extra:

    • sudo -i
    • chown root:root {file}
    • chmod 000 {file}
    • chattr +i {file}

    O último define o bit imutável e para alterar qualquer coisa que você precise fazer chattr -i {file}. Isso parecerá assim:

    ---------- 1 root     root       353 mei 16 09:05  test.gpg

    Um método extra extra pode ser adicionar um "." para o início do arquivo para torná-lo oculto.

    • 12

  3. Você pode usar cryptsetupum arquivo esparso para criar um contêiner criptografado de crescimento automático.

    Se você ainda não cryptsetupinstalou, execute:

    $ sudo apt update && sudo apt install cryptsetup

    Nota: Isso não funcionará em volumes FAT32 ou exFAT porque eles não suportam arquivos esparsos. Você precisa usar NTFS ou ext4 ou pré-alocar o espaço em disco com antecedência.

    Raiz necessária porque cryptsetupcria dispositivos em /dev.

    1. Crie um arquivo esparso que será usado para armazenar os dados criptografados. Arquivos esparsos não ocupam todo o espaço inicial, mas crescem à medida que você adiciona dados a eles. 10Gaqui significa que você poderá armazenar até 10 GB de dados no contêiner (na verdade, um pouco menos devido à sobrecarga do sistema de arquivos).

      $ truncate -s 10G encrypted.luks

      (algumas ferramentas relatam este arquivo como 10 GB de tamanho desde o início - tudo bem)

    2. Crie um contêiner criptografado dentro do arquivo.

      $ sudo cryptsetup luksFormat encrypted.luks


WARNING!
========
This will overwrite data on encrypted.luks irrevocably.

Are you sure? (Type uppercase yes): YES
Enter passphrase for encrypted.luks:
Verify passphrase:

    3. Abra o contêiner criptografado.

      $ sudo cryptsetup open encrypted.luks encrypted
Enter passphrase for encrypted.luks:

    4. Crie um sistema de arquivos dentro do contêiner. (Escolha qualquer - não precisa corresponder ao sistema de arquivos da unidade.)

      $ sudo mkfs.ext2 -m0 -Lencrypted /dev/mapper/encrypted
mke2fs 1.45.5 (07-Jan-2020)
Creating filesystem with 2617344 4k blocks and 655360 inodes
Filesystem UUID: d61f80bc-e3aa-41c8-91ca-97b8302d8bc0
Superblock backups stored on blocks:
        32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632

Allocating group tables: done
Writing inode tables: done
Writing superblocks and filesystem accounting information: done

    5. Agora você pode montar o sistema de arquivos.

      $ sudo mount /dev/mapper/encrypted /mnt
$ ls /mnt
lost+found

    O arquivo do contêiner deve ter muito menos de 10 GB se verificado com a ferramenta correta:

    $ du -h encrypted.luks
249M    encrypted.luks
$ du -h --apparent-size encrypted.luks
10G     encrypted.luks

    Para "ejetar" ou remover o contêiner:

    1. Desmonte-o.

      $ sudo umount /mnt

    2. Feche o recipiente.

      $ sudo cryptsetup close encrypted

    3. Opcionalmente, remova o arquivo se desejar destruir o contêiner.

      $ sudo rm encrypted.luks

    Observe que o contêiner não diminuirá quando você remover arquivos dele . Você pode tentar abri-lo com --allow-discardse depois fstrim -v /mntfazer furos no arquivo esparso novamente. Funcionou para mim em discos locais, mas não em uma unidade USB. Talvez dependa do sistema de arquivos "pai", não sei.

    • 7

  4. Sugiro usar gocryptfsou algo semelhante, para não perder tempo de CPU na compactação de arquivos.

    Para instalar:

    $ sudo apt install gocryptfs

    Para começar a trabalhar, crie uma pasta vazia:

    $ mkdir user-secret-stuff

    Inicialize o sistema de arquivos criptografado:

    $ gocryptfs -init user-secret-stuff

    Ele pede sua senha. Dê a ele uma senha longa e segura que você possa lembrar. Em seguida, ele fornece uma "chave mestra"; guarde-o em um lugar seguro.

    Agora para abrir o diretório criptografado e salvar/acessar os arquivos nele, use:

    $ mkdir /tmp/files
$ gocryptfs user-secret-stuff /tmp/files

    Dê sua senha e seus arquivos estarão disponíveis em /tmp/files.

    Limpar:

    $ fusermount -u /tmp/files
$ rm -d /tmp/files
    • 2

  5. Outra ótima ferramenta para criar um contêiner de arquivo criptografado é o VeraCrypt:

    https://www.veracrypt.fr/en/Home.html

    Cryptsetup e LUKS são melhores em termos de integração e segurança do Linux, enquanto a principal vantagem do VeraCrypt é a portabilidade, ou seja. você pode montar o mesmo contêiner no Linux e no MS-Windows e em vários outros sistemas.

    O uso diário do VeraCrypt no Linux tem suas próprias desvantagens que são discutidas em outras questões.

    Observe que nenhuma criptografia pode salvá-lo da falta de higiene diária de segurança, mas esse é um tópico muito amplo que vale uma tese de doutorado em vários volumes.

    • 2

relate perguntas