eCryptfs

Está en la capa superior del sistema de archivos y protege todo lo que está por debajo.
Durante la instalación hay una opción para encriptar el /home. Esto configurará automáticamente para encriptar y montar la particion.

Como ejemplo, vamos a configurar /srv para que sea encriptada usando eCryptfs.

Primero instala los paquetes necesarios:

sudo apt-get install ecryptfs-utils

Ahora monta la partición que va a ser encriptada:

sudo mount -t ecryptfs /srv /srv

El prompt te mostrará alguna opciones sobre como encriptarlo.
Para comprobar que los archivos colocados en /srv son encriptados copia /etc/default a la carpeta /srv:

sudo cp -r /etc/default /srv

Ahora desmonta /srv y intenta ver un archivo:

sudo umount /srv
cat /srv/default/cron

Volviendo a montar /srv usando ecryptfs hará los datos visibles otra vez.

Montando particiones encriptadas automáticamente

Hay varios modos de montar automáticamente sistemas de archivos encriptados en el inicio. El siguiente ejemplo usará el archivo /root/.ecryptfsrc conteniendo las opciones de montaje, a lo largo de un archivo passphrase residente en una USB key.

Primero, crea el /root/.ecryptfsrc [añadir aquí resultado]

Ajusta el ecryptfs_sig a la firma en /root/.ecryptfs/sig-cache.txt

Luego, crea el archivo passphrase /mnt/usb/passwd_file.txt:

passphrase_passwd=[secrets]

Ahora añade las líneas necesarias a /etc/fstab:

/dev/sdb1    /mnt/usb    ext3    ro    0 0
/srv /srv ecryptfs defaults 0 0

Asegurate que el USB está montado antes de que la partición este encriptada.

Finalmente, reinicia y el /srv debe estar montada usando ecryptfs.

Otras utilidades

El paquete ecryptfs-utils incluye algunas utilidades más:
  • ecryptfs-setup-private: crea un directorio ~/Private conteniendo información encriptada. Esta utilidad puede ser ejecutada por usuarios sin privilegios para mantener sus datos privados.
  • ecryptfs-mount-private y ecryptfs-umount-private: montará y desmontará respectivamente un directorio ~/Private de usuario.
  • ecryptfs-add-passphrase añade una nueva passphrase al llavero del kernel.
  • ecryptfs-manager: gestiona objetos eCryptfs tales como las claves.