Como criptografar a pasta pessoal no Ubuntu 18.04, 20.04 ou 20.10

16 de setembro de 2020

Ubuntu 18.04 LTS e versões mais recentes do Ubuntu não incluem mais uma opção no instalador para criptografar o diretório pessoal. Esta opção foi removida do instalador do Ubuntu porque ele usa eCryptfs, que é considerado "bugado, com manutenção insuficiente", e a alternativa recomendada é uma criptografia de disco completo usando LUKS.

Para criptografia por diretório, como a pasta pessoal, é recomendado usar fscrypt, que pelo que eu posso dizer não suporta criptografar o diretório pessoal a menos que esteja em uma partição separada.

Se, apesar disso, você ainda deseja criptografar sua pasta pessoal usando eCryptfs, você encontrará instruções abaixo para Ubuntu 20.10, 20.04 e 18.04.Existem seções separadas sobre como criptografar a pasta pessoal para um usuário existente, como criptografar a pasta pessoal para uma nova conta de usuário e como criptografar a swap (com esta última parte sendo recomendada, mas não obrigatória).

Criptografar a pasta pessoal de uma conta de usuário existente no Ubuntu

Para tornar este guia fácil de seguir, o usuário para o qual criptografaremos o diretório inicial será chamado de "user1", enquanto a conta de usuário que executa a migração será chamada de "user2".

1. Instale os pacotes de criptografia necessários em seu sistema Ubuntu 20.10, 20.04 ou 18.04:

Comandos para usar no terminal

sudo apt install ecryptfs-utils cryptsetup

2. Você precisará fazer login em uma conta de administrador (user2) que seja diferente do usuário cujo diretório inicial você deseja criptografar (user1).

Se o seu usuário for a única conta de usuário existente em seu computador, você precisará criar outra conta de usuário (com direitos de administrador). Isso pode ser apenas temporário, para que você possa removê-lo mais tarde. Para criar um novo usuário com direitos de administrador no Ubuntu, você pode usar:

Uma GUI - no Gnome, em Settings > Details > Users (e definir sua senha):

Diálogo para adicionar novo usuário

Ou na linha de comando:

Comandos para usar no terminal

sudo adduser 
sudo usermod -aG sudo 

3. Migre a pasta inicial do usuário criptografado (user1).

Lembrete: certifique-se de estar conectado como um usuário administrador cuja pasta pessoal você NÃO deseja criptografar (user2).

Execute este comando para migrar a pasta inicial do user1 (o usuário para o qual criptografaremos a página pessoal):

Comandos para usar no terminal

sudo ecryptfs-migrate-home -u 

Certifique-se de usar a senha que <user1> foi definida quando solicitada, após executar o comando acima.

Ao executar este comando, um backup da pasta pessoal do usuário (user1) é criado. Se tudo estiver bem após a conclusão deste manual, você pode excluir o backup com segurança. Mas não agora, continue lendo!

4. Faça logout e login usando as credenciais de usuário criptografadas (user1). Não reinicie!

5. Imprima e grave a senha de recuperação.

Depois de fazer login na conta de usuário criptografada (user1), execute o seguinte comando para imprimir e registrar a senha de recuperação:

Comandos para usar no terminal

ecryptfs-unwrap-passphrase

Salve esta informação (que retornou) em algum lugar seguro!

Isso conclui o processo de criptografia da home no Ubuntu 18.04 LTS / Ubuntu 20.10, 20.04 ou 18.04. Reinicie e se tudo estiver ok, você pode remover com segurança o usuário temporário, bem como o backup criado na etapa 3. Se você não se lembrar do nome do backup, execute ls /home e uma das pastas listadas deve ser um nome de usuário seguido por um ponto e alguns números e letras (como logix.4xVQvCsO) — esse é o backup. Faça isso somente após uma reinicialização!

Criptografe a pasta pessoal para uma nova conta de usuário no Ubuntu

Estas instruções são sobre como criar um novo usuário e criptografar seu diretório inicial na criação. Para saber como criptografar o diretório inicial de um usuário já existente, consulte as instruções separadas acima.

1. Instale os pacotes de criptografia necessários em seu sistema Ubuntu:

Comandos para usar no terminal

sudo apt install ecryptfs-utils cryptsetup

2. Crie o novo usuário com diretório inicial criptografado:

Comandos para usar no terminal

sudo adduser --encrypt-home 

Se você quiser tornar o novo usuário um administrador, use:

Comandos para usar no terminal

sudo usermod -aG sudo 

3. Efetue logout e login com as novas credenciais de usuário. Não reinicie!

4. Imprima e grave a senha de recuperação.

Execute este comando para imprimir e registrar a senha longa:

Comandos para usar no terminal

ecryptfs-unwrap-passphrase

Salve essas informações em um lugar seguro! Depois disso, sua pasta pessoal no Ubuntu 20.10, 20.04 ou 18.04 deve estar criptografada.

Como criptografar a swap também

Algumas informações importantes podem estar disponíveis no swap, e isso só é apagado ao reiniciar o sistema, portanto, criptografar o swap deve proteger quaisquer dados sensíveis disponíveis no swap contra vazamento em um formato não criptografado.

É importante observar que criptografar a troca interrompe a hibernação / retorno. Os recursos de suspensão / retorno não são afetados.

Para criptografar a swap, precisaremos dos pacotes ecryptfs-utils e cryptsetup, que já devem estar instalados se você seguiu as instruções acima para criptografar a pasta pessoal. Caso ainda não estejam instalados, você pode prosseguir e instalá-los usando:

Comandos para usar no terminal

sudo apt install ecryptfs-utils cryptsetup

Em seguida, criptografe a troca usando:

Comandos para usar no terminal

sudo ecryptfs-setup-swap

Quando solicitado, pressione y para prosseguir com a criptografia da swap. Depois de terminar, você pode ver uma mensagem dizendo: "swapon: cannot open /dev/mapper/cryptswap1: No such file or directory" — o processo de criptografia de swap não falhou, mas isso significa que você não tem um swap no momento. Reinicie o seu computador e tudo funcionará como deveria.

Esse post foi traduzido do site LinuxUprising.com pela rtland.team.