AbcLinuxu:/ Blogy / muj_blog / GNU/Linux / Šifrovaný adresář v Linuxu (2. aktualizace)

Šifrovaný adresář v Linuxu (2. aktualizace)

6.5.2012 21:11 | Přečteno: 1499× | GNU/Linux | poslední úprava: 9.5.2012 09:01

Tento zápisek pojednává o vytvoření adresáře, jehož obsah bude (automaticky) šifrován pomocí GNU Privacy Guard. Skripty nejsou dokonalé. Můžete si s nimi dělat, co chcete. Inspiroval jsem se (zdroj): http://legroom.net/howto/gnupg.

Vylepšené skripty pro (de)šifrování souborů v aktuálním adresáři

Když už jsem se pustil do psaní skriptů pro (de)šifrování, tak mi nedá, abych zde neuvedl vylepšenou verzi těchto skriptů. 2. aktualizace: místo příkazu rm používám bezpečnější příkaz srm (secure remove, secure_deletion toolkit). Též může být třeba použít příkazy smem, sfill a sswap:

#!/bin/bash
# zasifruj.sh
source /cesta/nastaveni || { echo 'Nepodarilo se nacist soubor s nastavenim' ; exit -1; }

GLOBIGNORE='*.gpg:.*.gpg'
for soubor in * .* ; do
   if [ -f "${soubor}" ] ; then
      gpg --homedir "${KLICE}" --encrypt-files --batch -q \
      --recipient 'Jmeno Prijmeni' "${soubor}"
      if [ $? -eq 0 ] ; then
         case "${1}" in
         [aA]) srm "${soubor}"
         ;;
         esac
      fi
   fi
done

Skript pro dešifrování:

#!/bin/bash
# desifruj.sh
source /cesta/nastaveni || { echo 'Nepodarilo se nacist soubor nastaveni' ; exit -1; }

for soubor in *.gpg .*.gpg ; do
   if [ -f "${soubor}" ] ; then
      echo 'heslo' | gpg --homedir "${KLICE}" --passphrase-fd 0 --decrypt-file --batch "${soubor}"
      if [ $? -eq 0 ] ; then
         case "${1}" in
         [aA]) srm "${soubor}"
         ;;
         esac
      fi
   fi
done

nastaveni:

KLICE='/cesta/.gnupg'

Co bude třeba

Budeme potřebovat program GNU Privacy Guard a jim vygenerované klíče, jeden veřejný a jeden privátní. Asymetrické šifrování jsem zvolil, protože lze data zašifrovat veřejným klíčem bez jakékoli znalosti hesla (passphrase). K dešifrování už je heslo nutné.

Upozornění

Používejte silná hesla (tzn. NE slovo ze slovníku apod.), která nikdy nezapomenete. Adresáři (a jeho obsahu) obsahující data pro program GNU Privacy Guard nastavte oprávnění hodně restriktivně -- např. pomocí chmod -R go-rwx ~/.gnupg. Je dobrou myšlenkou mít (privátní) klíč(e) na jiném médiu, než jsou zašifrovaná data.

Dva primitivní shellové skripty (Bash) (jejich aktualizovaná verze viz výše)

Následují dva skripty pro šifrování/dešifrování. Šifrují se všechny soubory v aktuálním adresáři, které nekončí gpg. Dešifrují se všechny soubory v aktuálním adresáři končíčí gpg. A nyní už slíbené skripty + jeden "konfigurační soubor":

# nastaveni
# Spolecne nastaveni k zasifruj.sh a desifruj.sh
KLICE='/cesta/.gnupg'

Skript pro zašifrování dat:

#!/bin/bash
# zasifruj.sh
# Skript pro zasifrovani obsahu aktualniho adresare.
# Vsimnete si volby -A programu ls

# 1. parametr skriptu rika, zda maji byt nesifrovane soubory po zasifrovani vymazany nebo ne.
# Nastaveni (cesta) a klice se budou brat z promenne KLICE.
source nastaveni

case "${1}" in
[aA]) gpg --homedir "${KLICE}" --encrypt-files --batch -q \
      --recipient 'Jmeno Prijmeni majitele verejneho klice' $(ls -A | grep -v gpg$)
   rm -f $(ls -A | grep -v gpg$)
   echo ''
   echo 'Nezasifrovane soubory vymazany.'
   echo ''
;;
*) gpg --homedir "${KLICE}" --encrypt-files --batch -q \
   --recipient 'Jmeno Prijmeni majitele klice' $(ls -A | grep -v gpg$)
   echo ''
   echo 'Nezasifrovane soubory nebyly vymazany.'
   echo ''
;;
esac

Druhý skript pro dešifrování obsahu aktuálního adresáře. Budete dotázáni na heslo (passphrase) k privátnímu klíči:

#!/bin/bash
# desifruj.sh
# slouzi pro desifrovani souboru v aktualnim adresari
source nastaveni
gpg --homedir "${KLICE}" --decrypt-file *.gpg .*.gpg
echo 'Smazat zasifrovane soubory (a/n)?'
read vstup
case "${vstup}" in
[aA]) rm *.gpg .*.gpg
   echo ''
   echo 'Zasifrovane soubory byly vymazany.'
   echo ''
;;
*) echo ''
   echo 'Zasifrovane soubory NEBYLY vymazany.'
   echo ''
;;
esac

Tip

Pokud do skriptu, který se spouští před vypnutím/restartováním počítče umístíte něco takového:

ADR_ZASIF='/cesta'
cd "${ADR_ZASIF}"
su prihl_jmeno -c '/cesta/zasifruj.sh a'

Tak se vám tímto před vypnutím/restartem zašifruje obsah adresáře ${ADR_ZASIF}, což je určitě milé.

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

https://launchpad.net/ecryptfs - a znovu a znovu vymýšlíme kolo...

6.5.2012 21:43 Begleiter | skóre: 47 | blog: muj_blog | Doma
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Pokud jsem ten odkaz dobře pochopil, tak se jedná o šifrování na úrovni systému souborů. Já zůstávám na úrovni souborů.

6.5.2012 22:52 Lenny_ | skóre: 10 | blog: lenny | Brno
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Není to tak úplně přesné, jedná se o abstraakční FUSE fs, který šiftuje adresář na úrovni souborů, stejně jako ten skript s gpg. Stačí se podívat do Ubuntu, používají to tam

7.5.2012 11:02 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Přes FUSE funguje encfs (který mimochodem dělá přesně to, co mají dělat ty skripty a navíc za běhu). Jetli jsem to dobře pochopil, tak ecryptfs běží na úrovní kernelu (což má své výhody i nevýhody). Nebo mi někde něco uniká? Jinak ten skript je opravu vynalézání kola a skoro bych řek, že ne lepšího kola, ale horšího.

6.5.2012 21:43 Debian
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A brzy možná vymyslíme trakař...

6.5.2012 23:44 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Vymýšlet znovu kolo není nutně špatně, pokud se snažíme vyrobit lepší kolo než kdykoli předtím. Přinejmenším je to dobré intelektuální cvičení.

To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...

7.5.2012 11:45 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Není to špatné i kdyby ti z kola nakonec vyšel čtverec, protože se na tom člověk dost naučí.

blog.rfox.eu | DREAMLAND

6.5.2012 23:39 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Link | Blokovat | Admin

shopt -s dotglob #hviezdička bude fungovať aj pre bodkované súbory
rm -f ./!(*.gpg) # Zmažeme (rm môžeme nahradiť iným príkazom) súbory v aktuálnom adresári nekončiace na gpg a nebudú nám vadiť názvy súborov začínajúce mínusom.

7.5.2012 10:06 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Šifrovaný adresář v Linuxu

Odpovědět | Sbalit | Link | Blokovat | Admin

7.5.2012 10:59 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Anketa

Odpovědět | Sbalit | Link | Blokovat | Admin

Ještě tip na anketu:

Mělo by GnuPG mít volbu „smazat soubor po zašifrování“?

• ano – obyčejné smazání
• ano – bezpečné (několikanásobný přepis)
• ne – to si má zařídit uživatel sám

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

7.5.2012 11:48 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Anketa

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Imho ne, není třeba vytvářet bloby co umí všechno, když jsou běžně dostupné specializované nástroje (shred/wipe/srm).

blog.rfox.eu | DREAMLAND

Založit nové vlákno • Nahoru