Translation(s): English - Italiano
Cifratura trasparente della directory Home dell'utente
I passi descritti in seguito sono stati completati su una nuova installazione di Debian Squeeze per permettere agli utenti di un ambiente desktop di cifrare la propria directory Home.
Contents
Introduzione
Molte organizzazioni richiedono ai propri utenti di cifrare i loro portatili per proteggere le informazioni confidenziali (nomi dei clienti, dettagli dei contatti interni, ecc.). Su molti sistemi Windows ciò è problematico e invasivo. Questa pagina è pensata per aiutare gli utenti Debian nella configurazione dei propri sistemi in modo da cifrare e decifrare auto-magicamente la loro directory Home usando EncFS.
Installare Debian Squeeze
I passi descritti in questa pagina sono basati su un "Debian Live CD con desktop Gome", but qualsiasi supporto di installazione dovrebbe andare bene. Per ulteriori dettagli sull'installazione di Debian, vedere il sito web di Debian.
Account utente fittizio
Quando viene impostato il primo utente (durante la procedura di installazione), è consigliato creare un account fittizio (ad esempio "Utente Fittizio"). Ciò permetterà di fare una configurazione completa per l'utente "vero".
Configurazione del disco
Nelle impostazioni del disco, scegliere "Guidata - usa l'intero disco" o "Guidata - usa l'intero disco e imposta LVM". La cifratura NON verrà configurata usando il metodo dell'installatore Debian.
La scelta raccomandata è quella di selezionare "Tutti i file in una partizione" e accettare i valori predefiniti.
Quando l'installazione è completata, fare il login con l'utente fittizio creato durante l'installazione. Questo utente sarà in grado di ottenere i privilegi di root necessari per il resto della procedura.
Dopo aver installato Debian, assicurarsi sempre che il sistema sia aggiornato, perciò eseguire i seguenti comandi:
aptitude update ; aptitude safe-upgrade
Impostare le directory Home cifrate
Spostare l'utente fittizio in una directory che non è gestita da encfs (cioè non sotto /home /home)
mkdir -p /home.originale/ cp -a /home/<dummy-username> /home.originale/
Modificare /etc/passwd in modo che il percorso della directory home dell'utente fittizio sia impostato correttamente (es. /home.originale/<dummy-username>).
Quindi fare il log out e nuovamente il login. Rimuovere la vecchia directory home dell'utente fittizio:
rm -rf /home/<dummy-username>
In un sistema Debian aggiornato, installare i pacchetti encfs, libpam-encfs e libpam-mount:
aptitude install encfs libpam-encfs libpam-mount
Modificare i file di configurazione
L'autore originale di questa pagina ha copiato il contenuto dei propri file di configurazione dato che l'ordine delle varie voci nei file è importatne e, quando ha impostato la cosa per sé stesso, la documentazione a cui faceva riferimento aveva solo le aggiunte.
/etc/security/pam_encfs.conf
#Note that I dont support spaces in params #So if your for example gonna specify idle time use --idle=X not -i X. #If this is specified, program will attempt to drop permissions before running encfs. # (will not work with --public for example) drop_permissions #This specifies the default encfs options #encfs_default --idle=1 encfs_default #Same for fuse, note that allow_root (or allow_other, or --public in encfs) is needed to run gdm/X. fuse_default allow_root,nonempty #- means match all, put any overrides over it. #if - is in username it will take source path + "/$USER", and mount to $HOME #USERNAME SOURCE TARGET PATH ENCFS Options FUSE Options #user /home/.enc/user /home/user -v,--idle=1,-test,-test2 allow_root #- /home/.enc - -v allow_other #- /home/.enc - -v allow_root - /home/.encfs - -v -
/etc/security/pam_env.conf
Questa modifica è necessaria per rimuovere il noioso messaggio "Cannot update ICEauthority /home/(user)/.ICEauthority. La modifica è contenuta nell'ultima riga di questo esempio.
#
# This is the configuration file for pam_env, a PAM module to load in
# a configurable list of environment variables for a
#
# The original idea for this came from Andrew G. Morgan ...
#<quote>
# Mmm. Perhaps you might like to write a pam_env module that reads a
# default environment from a file? I can see that as REALLY
# useful... Note it would be an "auth" module that returns PAM_IGNORE
# for the auth part and sets the environment returning PAM_SUCCESS in
# the setcred function...
#</quote>
#
# What I wanted was the REMOTEHOST variable set, purely for selfish
# reasons, and AGM didn't want it added to the SimpleApps login
# program (which is where I added the patch). So, my first concern is
# that variable, from there there are numerous others that might/would
# be useful to be set: NNTPSERVER, LESS, PATH, PAGER, MANPAGER .....
#
# Of course, these are a different kind of variable than REMOTEHOST in
# that they are things that are likely to be configured by
# administrators rather than set by logging in, how to treat them both
# in the same config file?
#
# Here is my idea:
#
# Each line starts with the variable name, there are then two possible
# options for each variable DEFAULT and OVERRIDE.
# DEFAULT allows and administrator to set the value of the
# variable to some default value, if none is supplied then the empty
# string is assumed. The OVERRIDE option tells pam_env that it should
# enter in its value (overriding the default value) if there is one
# to use. OVERRIDE is not used, "" is assumed and no override will be
# done.
#
# VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]]
#
# (Possibly non-existent) environment variables may be used in values
# using the ${string} syntax and (possibly non-existent) PAM_ITEMs may
# be used in values using the @{string} syntax. Both the $ and @
# characters can be backslash escaped to be used as literal values
# values can be delimited with "", escaped " not supported.
# Note that many environment variables that you would like to use
# may not be set by the time the module is called.
# For example, HOME is used below several times, but
# many PAM applications don't make it available by the time you need it.
#
#
# First, some special variables
#
# Set the REMOTEHOST variable for any hosts that are remote, default
# to "localhost" rather than not being set at all
#REMOTEHOST DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
#
# Set the DISPLAY variable if it seems reasonable
#DISPLAY DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}
#
#
# Now some simple variables
#
#PAGER DEFAULT=less
#MANPAGER DEFAULT=less
#LESS DEFAULT="M q e h15 z23 b80"
#NNTPSERVER DEFAULT=localhost
#PATH DEFAULT=${HOME}/bin:/usr/local/bin:/bin\
#:/usr/bin:/usr/local/bin/X11:/usr/bin/X11
#
# silly examples of escaped variables, just to show how they work.
#
#DOLLAR DEFAULT=\$
#DOLLARDOLLAR DEFAULT= OVERRIDE=\$${DOLLAR}
#DOLLARPLUS DEFAULT=\${REMOTEHOST}${REMOTEHOST}
#ATSIGN DEFAULT="" OVERRIDE=\@
#
# set the ICEAUTHORITY file location to allow GNOME to start on encfs $HOME
ICEAUTHORITY DEFAULT=/tmp/.ICEauthority_@{PAM_USER}
/etc/fuse.conf
# Set the maximum number of FUSE mounts allowed to non-root users. # The default is 1000. # #mount_max = 1000 # Allow non-root users to specify the 'allow_other' or 'allow_root' # mount options. # #user_allow_other user_allow_other
/etc/pam.d/common-session
# # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the "Primary" block) session [default=1] pam_permit.so # here's the fallback if no module succeeds session requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around session required pam_permit.so # and here are more per-package modules (the "Additional" block) session required pam_encfs.so session required pam_unix.so session optional pam_mount.so session optional pam_ck_connector.so nox11 # end of pam-auth-update config
/etc/pam.d/common-auth
# # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. auth sufficient pam_encfs.so auth [success=1 default=ignore] pam_unix.so use_first_pass nullok_secure #auth required pam_unix.so use_first_pass nullok_secure #auth required pam_unix.so nullok_secure use_first_pass # here are the per-package modules (the "Primary" block) #auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around auth required pam_permit.so # and here are more per-package modules (the "Additional" block) auth optional pam_mount.so # end of pam-auth-update config
Creare la directory Home cifrata
La configurazione imposterà encfs per un nuovo utente "reale".
Creare l'utente "reale" e assicurarsi che venga aggiunto al gruppo fuse.
adduser <nomeutente> usermod -aG fuse <nomeutente>
Spostare la sua directory home con i file in un'altra posizione:
mkdir /var/backups/<nomeutente_home> mv /home/<nomeutente>/.* /var/backups/<nomeutente_home>/. rmdir /home/<nomeutente> mkdir -p /home/.encfs/<nomeutente> /home/<nomeutente> chown <nomeutente>.<nomeutente> /home/.encfs/<nomeutente> /home/<nomeutente>
Creare la directory cifrata (se si incontrano problemi con i permessi, vedere la Sezione sui permessi):
encfs -v /home/.encfs/<nomeutente> /home/<nomeutente>
Accettare le opzioni predefinite oppure modificare le impostazioni per la cifratura. La modalità "paranoia" funziona, ma non gestisce i collegamenti fisici. L'autore ha usato la modalità paranoia con successo.
IMPOSTARE LA PASSWORD IN MODO CHE SIA IDENTICA A QUELLA DI LOGIN
Controllare che il file system cifrato sia montato correttamente:
mount
Questo comando dovrebbe produrre un output simile al seguente:
encfs on /home/<nomeutente> type fuse.encfs (rw,nosuid,nodev,default_permissions)
Riportare la directory home con i suoi file nella posizione originale:
mv /var/backups/<nomeutente_home>/* /home/<nomeutente>/.
Riavviare
Sarà necessario riavviare per ricaricare tutte le librerie PAM, ecc.
Ora si può testare se tutto funziona a dovere con l'utente "reale". Se si incontrano problemi, si può fare il login come l'utente fittizio per risolverli. Se tutto funziona come deve, basta commentare l'utente fittizio dal file password e il file shadow password.
Per verificare che le scritture nella directory home siano cifrate, creare un file qualsiasi nella propria directory home e vedere se esiste un file corrispondente nella directory home cifrata. Guardare l'orario del file e controllare file o directory create nella directory home cifrata (ad esempio /home/.encfs/<nomeutente>).
cp /etc/passwd $HOME/. ls -l /home/<nomeutente>/passwd ls -ltra /home/.encfs/<nomeutente>
Possibili problemi
Se le cose vanno storto a questo punto, ci si può trovare bloccati con un sistema in cui non si può fare il login. È necessario testarlo prima di fare qualsiasi altra cosa. Come prima cosa controllare di poter eseguire encfs /home/.encfs/<nomeutente> /home/<nomeutente> come utente normale (senza usare sudo), così come /bin/fusermount -u /home/<nomeutente>. Se ciò ha successo, usare Ctrl-Alt-F2 per spostarsi in un altro terminale virtuale e controllare se si può vare il login senza problemi (assicurarsi di essere nella directory home cifrata!). Usare Ctrl-Alt-F7 per ritornare a Gnome e testare da lì.
Se si è particolarmente paranoici, considerare l'ipotesi di aggiungere un altro utente e di fare prima un test con tale utente (sarà necessario aggiungerlo manualmente ai gruppi admin e fuse).
Bene, ora, se si è sicuri che tutto funziona, si può riavviare. Se si riesce, fare il login e cancellare la propria directory <nomeutente>.original.
Permessi
Se si hanno dei problemi con i permessi, si può controllare quanto segue:
- Si può leggere /etc/fuse.conf senza sudo? Se non è così, eseguire "sudo chgrp fuse /etc/fuse.conf"
Si può eseguire fusermount (o /bin/fusermount) da utente normale? Si dovrebbe testare questo prima di fare il log out, eseguendo encfs per montare la propria directory home cifrata manualmente. Se non è così, eseguire sudo chgrp fuse /bin/fusermount e sudo chmod 4750 /bin/fusermount
Riferimento: http://wiki.geteasypeasy.com/Transparent_Encryption_for_home_folder
Cambiare la password dell'utente
La password del file system cifrato e la password dell'utente sono sincronizzate. Perciò, per cambiare la password dell'utente è necessario cambiare la sua password personale con il comando passwd:
passwd
e modificare la password del volume cifrato in modo corrispondente:
encfsctl passwd /home/.encfs/<nomeutente>
Utilità per la password
Ci sono alcune problematiche importanti nell'automatizzare questo processo e l'utente deve essere in grado di cambiare la propria password. Ciò richiede l'uso dell'utilità passwd (dato che è l'unico binario suid). Tuttavia, è possibile superare questi ostacoli con l'uso di uno script expect. Perciò installare il pacchetto expect:
aptitude install expect
Poi copiare il codice seguente in /usr/local/bin/passwd. Il PATH di un normale utente Debian è impostato per eseguire questa utilità passwd prima di quella di sistema in /usr/bin.
1 #!/usr/bin/expect -f
2 #
3 # What: /usr/local/bin/passwd
4 # When: 6/Mar/2012
5 # Who: Philip Jensen (partially generated by autoexpect - refer expect-dev)
6 # Why: To keep a user's password in sync with their encfs password
7 # which needs to be unlocked when the user logs in.
8
9 set force_conservative 0 ;# set to 1 to force conservative mode even if
10 ;# script wasn't run conservatively originally
11 if {$force_conservative} {
12 set send_slow {1 .1}
13 proc send {ignore arg} {
14 sleep .1
15 exp_send -s -- $arg
16 }
17 }
18
19 # Tell the user they aren't using the real passwd utility.
20 puts "###############################################################"
21 puts "# #"
22 puts "# This 'passwd' utility overrides the original. #"
23 puts "# #"
24 puts "# It is used to change the user's UNIX password #"
25 puts "# as well as their encrypted file system password. #"
26 puts "# #"
27 puts "# The original password changing utility is /usr/bin/passwd #"
28 puts "# #"
29 puts "###############################################################"
30
31 # Who is the user we are changing the password for.
32 # (actually this is needed for encfsctl - see below)
33 set user [exec whoami]
34 puts "\nChanging password for $user. If this is incorrect press Ctrl + C\r"
35
36 # Get the user's current password.
37 send_user "\nCurrent password: "
38 stty -echo
39 expect_user -re "(.*)\n"
40 set curr_password $expect_out(1,string)
41 stty echo
42
43 # Get their new password
44 send_user "\nNew password: "
45 stty -echo
46 expect_user -re "(.*)\n"
47 set new_password_one $expect_out(1,string)
48 stty echo
49 send_user "\nRe-enter new password: "
50 stty -echo
51 expect_user -re "(.*)\n"
52 set new_password_two $expect_out(1,string)
53 stty echo
54 puts "\n"
55
56 # Do the *NEW* passwords match?
57 if {$new_password_one!=$new_password_two} {
58 puts "Passwords don't match, exiting!\n"
59 exit 2
60 } else {
61 set new_password "$new_password_one"
62 }
63
64 # Debug output
65 #puts "Changing password from: $curr_password\nto: $new_password\n"
66
67 # Hide output from the screen (operate in silent mode).
68 # Of course this may not hide any potential output from the command line.
69 # Beware of background process watchers.
70 log_user 0
71
72 set timeout -1
73 spawn /bin/sh
74 match_max 100000
75
76 # begin changing passwords
77 puts "\nChanging user's password."
78
79 send -- "/usr/bin/passwd\r"
80 expect -exact "/usr/bin/passwd\r
81 Changing password for $user.\r
82 (current) UNIX password: "
83 send -- "$curr_password\r"
84 # we need to handle the user entering an incorrect current password.
85 expect {
86 "Authentication token manipulation error" {puts "Current User password incorrect!" ; exit }
87 "Enter new UNIX password: " { send -- "$new_password\r" }
88 }
89
90 expect -exact "Retype new UNIX password: " { send -- "$new_password\r" }
91 expect -exact "\r
92 passwd: password updated successfully\r"
93 send_user "User password changed successfully."
94
95 # If we get this far, changing the user's password succeeded,
96 # therefore we can proceed to change the encfs password.
97 puts "\nChanging encfs password."
98 expect -exact "\$ "
99 send -- "/usr/bin/encfsctl passwd /home/.encfs/$user\r"
100 expect -exact "\r
101 Enter current Encfs password\r
102 EncFS Password: "
103 send -- "$curr_password\r"
104
105 # what if the current encfs password didn't match the current user's password
106 # Of course now we have a very BIG problem as the transparent login won't work.
107 # But if they've used this utility, then they should be fine. ;-)
108 expect {
109 "Invalid password\r" { puts "Current encfs password incorrect!" ; exit }
110 "New Encfs Password: " { send -- "$new_password\r" }
111 }
112 expect -exact "\r
113 Verify Encfs Password: "
114 send -- "$new_password\r"
115 expect -exact "\r
116 Volume Key successfully updated.\r
117 \$ "
118 puts "Password change complete!"
119 send -- "exit\r"
120 expect eof
1 #!/usr/bin/expect -f
2 #
3 # What: /usr/local/bin/passwd
4 # When: 6/Mar/2012
5 # Who: Philip Jensen (partially generated by autoexpect - refer expect-dev)
6 # Why: To keep a user's password in sync with their encfs password
7 # which needs to be unlocked when the user logs in.
8
9 set force_conservative 0 ;# set to 1 to force conservative mode even if
10 ;# script wasn't run conservatively originally
11 if {$force_conservative} {
12 set send_slow {1 .1}
13 proc send {ignore arg} {
14 sleep .1
15 exp_send -s -- $arg
16 }
17 }
18
19 # Tell the user they aren't using the real passwd utility.
20 puts "###############################################################"
21 puts "# #"
22 puts "# This 'passwd' utility overrides the original. #"
23 puts "# #"
24 puts "# It is used to change the user's UNIX password #"
25 puts "# as well as their encrypted file system password. #"
26 puts "# #"
27 puts "# The original password changing utility is /usr/bin/passwd #"
28 puts "# #"
29 puts "###############################################################"
30
31 # Who is the user we are changing the password for.
32 # (actually this is needed for encfsctl - see below)
33 set user [exec whoami]
34 puts "\nChanging password for $user. If this is incorrect press Ctrl + C\r"
35
36 # Get the user's current password.
37 send_user "\nCurrent password: "
38 stty -echo
39 expect_user -re "(.*)\n"
40 set curr_password $expect_out(1,string)
41 stty echo
42
43 # Get their new password
44 send_user "\nNew password: "
45 stty -echo
46 expect_user -re "(.*)\n"
47 set new_password_one $expect_out(1,string)
48 stty echo
49 send_user "\nRe-enter new password: "
50 stty -echo
51 expect_user -re "(.*)\n"
52 set new_password_two $expect_out(1,string)
53 stty echo
54 puts "\n"
55
56 # Do the *NEW* passwords match?
57 if {$new_password_one!=$new_password_two} {
58 puts "Passwords don't match, exiting!\n"
59 exit 2
60 } else {
61 set new_password "$new_password_one"
62 }
63
64 # Debug output
65 #puts "Changing password from: $curr_password\nto: $new_password\n"
66
67 # Hide output from the screen (operate in silent mode).
68 # Of course this may not hide any potential output from the command line.
69 # Beware of background process watchers.
70 log_user 0
71
72 set timeout -1
73 spawn /bin/sh
74 match_max 100000
75
76 # begin changing passwords
77 puts "\nChanging user's password."
78
79 send -- "/usr/bin/passwd\r"
80 expect -exact "/usr/bin/passwd\r
81 Changing password for $user.\r
82 (current) UNIX password: "
83 send -- "$curr_password\r"
84 # we need to handle the user entering an incorrect current password.
85 expect {
86 "Authentication token manipulation error" {puts "Current User password incorrect!" ; exit }
87 "Enter new UNIX password: " { send -- "$new_password\r" }
88 }
89
90 expect -exact "Retype new UNIX password: " { send -- "$new_password\r" }
91 expect -exact "\r
92 passwd: password updated successfully\r"
93 send_user "User password changed successfully."
94
95 # If we get this far, changing the user's password succeeded,
96 # therefore we can proceed to change the encfs password.
97 puts "\nChanging encfs password."
98 expect -exact "\$ "
99 send -- "/usr/bin/encfsctl passwd /home/.encfs/$user\r"
100 expect -exact "\r
101 Enter current Encfs password\r
102 EncFS Password: "
103 send -- "$curr_password\r"
104
105 # what if the current encfs password didn't match the current user's password
106 # Of course now we have a very BIG problem as the transparent login won't work.
107 # But if they've used this utility, then they should be fine. ;-)
108 expect {
109 "Invalid password\r" { puts "Current encfs password incorrect!" ; exit }
110 "New Encfs Password: " { send -- "$new_password\r" }
111 }
112 expect -exact "\r
113 Verify Encfs Password: "
114 send -- "$new_password\r"
115 expect -exact "\r
116 Volume Key successfully updated.\r
117 \$ "
118 puts "Password change complete!"
119 send -- "exit\r"
120 expect eof