Шифрование файлов в Linux с eCryptfs

binary

Mark ранее описывал, как можно использовать TrueCrypt для шифрования конфиденциальных данных. Это мощное программное обеспечение, но оно требует предвыделения контейнера фиксированного размера, что приводит к неэффективному использованию дискового пространства при неполной заполненности. Если вам нужна более динамичная модель — eCryptfs может подойти.

Что такое eCryptfs — одно предложение: eCryptfs — это стековый криптографический файловый слой, встроенный в ядро Linux (начиная с версии 2.6.19), который шифрует и расшифровывает файлы по мере записи и чтения.

Почему выбирать eCryptfs — ключевые преимущества:

• Шифрование на уровне отдельных файлов — не требуется контейнер фиксированного размера.
• Криптографические метаданные хранятся в заголовке каждого зашифрованного файла — файлы можно перемещать/копировать без потери способности расшифровки (при наличии ключа).
• Поддерживает сценарии совместного использования: разные файлы могут быть зашифрованы разными пользователями в одной и той же директории.
• Не требует специального выделения места на диске: место используется как обычные файлы.

Important: eCryptfs не является полной заменой для шифрования разделов или всего диска (full-disk encryption). Для шифрования разделов обычно применяют LUKS/dm-crypt.

Установка eCryptfs

Способ установки зависит от дистрибутива. В Ubuntu 8.04 и выше вы можете установить утилиты с помощью команды:

sudo aptitude install ecryptfs-utils

(Если вы используете apt вместо aptitude, подставьте prefer-пакет-менеджер вашего дистрибутива: sudo apt install ecryptfs-utils.)

Быстрая настройка в Ubuntu 8.10

В Ubuntu 8.10 присутствуют утилиты для быстрой настройки приватной директории. Выполните:

ecryptfs-setup-private

После выполнения вы найдёте папку Private в домашней директории. Чтобы смонтировать и получить доступ к содержимому, выполните:

mount.ecryptfs_private

Добавляйте конфиденциальные файлы в Private — они будут зашифрованы при записи. Чтобы отмонтировать:

umount.ecryptfs_private

Ручная настройка eCryptfs (Ubuntu 8.04 и производные)

1. Создайте папку в домашней директории и назовите её secret:

mkdir ~/secret

2. Установите права, чтобы только вы могли заходить в неё:

chmod 700 ~/secret

3. Смонтируйте стековый eCryptfs на эту папку:

sudo mount -t ecryptfs ~/secret ~/secret

Во время монтирования система задаст несколько вопросов. Примерный поток вопросов и рекомендуемые ответы:

1. Выбор типа ключа для новых файлов — нажмите 1 чтобы выбрать passphrase (пароль).

2. Выбор шифра — по умолчанию AES (нажмите Enter для выбора по умолчанию).

3. Длина ключа (key bytes) — по умолчанию 16 (нажмите Enter).

4. Включение plaintext passthrough — в большинстве случаев введите N (No) чтобы избежать хранения файлов в открытом виде.

После успешного монтирования вы можете добавлять файлы в ~/secret. Для проверки корректности монтирования и шифрования: отмонтируйте директорию и попытайтесь открыть файлы.

sudo umount ~/secret

Если всё настроено верно, содержимое будет недоступно без монтирования и ключа.

Как это работает — простая модель мышления

Ментальная модель: представьте eCryptfs как «прозрачный» шифровальный слой, который находится поверх обычной файловой системы. Приложения читают и записывают обычные файлы, а слой автоматически шифрует и записывает зашифрованные данные внизу.

Плюс: файл остаётся файлом (нет контейнера). Минус: некоторые метаданные (например, имена файлов, если не включён шифрованный формат имён) могут просматриваться — внимательно проверьте настройки.

Ограничения и когда eCryptfs не подойдёт

• Не для полного шифрования раздела/диска — используйте LUKS/dm-crypt для full-disk/partition encryption.
• Производительность: небольшой накладной расход на CPU при шифровании/расшифровке; на слабых машинах может быть заметно.
• Совместимость: некоторые дистрибутивы и проекты переходят на иные решения (fscrypt) — уточняйте рекомендации конкретного дистрибутива.
• Если вы теряете ключ/пароль и не создали резервные ключи — данные восстановить нельзя.

Альтернативы и краткое сравнение

• LUKS/dm-crypt — шифрование на уровне блочного устройства (подходит для разделов и дисков).
• EncFS — шифрование в виде файловой системы в пользовательском пространстве (имеет известные уязвимости в истории; используйте с осторожностью).
• VeraCrypt/TrueCrypt — контейнеры фиксированного размера (подходят, когда нужен переносимый зашифрованный файл-контейнер).
• fscrypt — интеграция с файловыми системами (ext4, f2fs) для шифрования на уровне файловой системы; в некоторых случаях предпочтительнее.

Решение: выбирайте eCryptfs, когда нужна простота использования и шифрование отдельных файлов без контейнера; выбирайте LUKS для шифрования дисков; рассматривайте fscrypt для глубоких интеграций с FS.

Пошаговый SOP (короткий) для пользователя

1. Установите пакет ecryptfs-utils.
2. Создайте приватную папку и выставьте права chmod 700.
3. Смонтируйте с mount -t ecryptfs и запомните используемые параметры (cipher, key bytes, passphrase).
4. Добавьте файлы и безопасно отмонтируйте при завершении работы.
5. Настройте автоматическое монтирование только если вы понимаете риски хранения ключей на машине.

Чеклист для администратора

• Проверить, что ядро поддерживает eCryptfs (ядро ≥ 2.6.19 или соответствующий модуль).
• Убедиться в наличии утилит ecryptfs-utils.
• Настроить создание резервных ключей/фраз восстановления для критичных пользователей.
• Документировать процесс монтирования/отмонтирования и политику хранения ключей.
• Оценить производительность и влияние на бэкапы (архивирование зашифрованных файлов требует специальных мер).

Тесты и критерии приёмки

• Тест 1: После монтирования скопируйте тестовый файл в ~/secret, отмонтируйте, убедитесь, что файл не открывается в открытом виде.
• Тест 2: Повторно смонтируйте и проверьте, что файл корректно расшифровывается.
• Критерии приёмки: файлы недоступны без монтирования; при монтировании доступ к файлам восстанавливается; метаданные не нарушены после копирования файла в другое место.

Практические советы и рекомендации

• Не храните фразу-пароль в открытом виде на той же машине, где хранятся зашифрованные файлы.
• Делайте резервные копии ключей/пассфраз (например, экспортируйте ключи с помощью утилит ecryptfs) и храните их в безопасном месте.
• При переносе файлов между машинами убедитесь, что на целевой системе установлены соответствующие модули и утилиты.

Краткий глоссарий

• eCryptfs: стековый криптографический файловый слой для Linux.
• LUKS: стандарт для шифрования блочных устройств в Linux (использует dm-crypt).
• Passphrase: фраза-пароль, используемая для генерации ключей шифрования.

Заключение

eCryptfs — удобное решение для шифрования отдельных файлов в Linux, когда важна гибкость без предвыделения контейнерного пространства. Оно простое в настройке и совместимо со многими сценариями использования, но важно понимать его ограничения и альтернативы (LUKS, fscrypt, VeraCrypt) перед выбором.

Notes: всегда проверяйте рекомендации вашего дистрибутива и проводите тесты до развёртывания в продакшн.

Короткий вопрос для вас: какие ещё инструменты вы используете для защиты файлов и почему?