EncFS (Español)

Para cambiar la contraseña de un directorio cifrado por EncFS se puede usar la siguiente orden:

$ encfsctl passwd ~/.nombre

En este ejemplo, ~/.nombre es la ruta al directorio que contiene los archivos codificados. El programa le pedirá su contraseña actual y luego podrá establecer una nueva.

Gnome Encfs Manager es un administrador y montador de encfs fácil de usar, con una configuración predefinida, con soporte para Gnome Keyring, con un menú de bandeja inspirado en Cryptkeeper pero usando la API AppIndicator y otras características propias.

Tiene disponible tanto el paquete como el más actualizado .

gnome-encfs integra las carpetas EncFS en el escritorio de GNOME, almacenando sus contraseñas en el depósito de claves y, opcionalmente, montándo dichas carpetas al iniciar sesión utilizando el mecanismo de inicio automático de GNOME. Este método tiene la ventaja de que se puede montar y automatizar, y la contraseña no tiene que ser la misma que su contraseña de usuario.

Aplicación bastante simple, basta instalar y añadirla a su sesión X.

El script de bash encfsui proporciona una interfaz gráfica de usuario simple diseñada con , creada en torno de la utilidad de línea de órdenes de EncFS, para montar y desmontar un directorio cifrado. Incluye un lanzador de escritorio. Instálelo con encfsui^AUR.

Añadir una entrada en le permitirá montar el volumen encfs con un simple y luego se le pedirá su contraseña.

La opción noauto evita el intento de montar el volumen en el arranque, lo que podría retrasar el proceso de arranque mientras el sistema espera que se ingrese una contraseña. Se puede omitir si se quiere que solo el usuario pueda montar el volumen.

Instale . Véase también:

• https://wiki.edubuntu.org/EncryptedHomeFolder
• https://code.google.com/p/pam-encfs/

Tenga en cuenta que cuando utilice el parámetro try_first_pass en pam_unix.so, deberá configurar EncFS para que use la misma contraseña que está utilizando para iniciar sesión (o viceversa) y bastará ingresar una única contraseña. Sin este parámetro, deberá ingresar dos contraseñas.

Coloque la línea encfs en /etc/pam.d/system-login como sigue:

En esta sección se explica cómo hacer que encfs se monte automáticamente cuando inicie sesión con un terminal virtual.

Edite el archivo :

Esta sección explica cómo hacer que encfs se monte automáticamente al iniciar sesión con GDM (GNOME Display Manager).

Edite el archivo .

Inserte (no sobrescriba) lo siguiente en la parte inferior de gdm-password:

Guarde y salga.

Edite /etc/security/pam_encfs.conf:

Recomendado: comente la línea:

encfs_default --idle=1

Este indicador desmontará su carpeta cifrada después de 1 minuto de inactividad. No obstante, si la carpeta se ha montando automáticamente al iniciar sesión, probablemente deseará mantenerla montada durante el tiempo que esté conectado.

En la parte inferior, comente las entradas de demostración existentes y añada:

Además, si ve la línea de abajo, elimine de las opciones. De lo contrario, entrará en conflicto con allow_other definido anteriormente.

A continuación, edite y descomente:

user_allow_other

Para probar su configuración, abra una nueva terminal virtual (por ejemplo con ) e inicie sesión. Debería comprobar que pam monta con éxito su carpeta EncFS.

Instale y configure pam_mount como se explica en su página wiki. Los montajes de EncFS se pueden especificar en el archivo de configuración de pam_mount de la siguiente manera:

Los montajes de EncFS deben tener la misma contraseña que su cuenta de usuario. La opción hace posible montar el sistema de archivos cifrados incluso cuando el punto de montaje no está vacío. Puede eliminar esta opción si este no es el comportamiento deseado.

Es posible montar múltiples carpetas EncFS al iniciar sesión especificando múltiples entradas consecutivas en el archivo de configuración.

Este es un método simple para montar automáticamente encfs (solicitando contraseña) cuando se inserta una unidad USB con una o más carpetas cifradas con EncFS en su raíz. Usaremos (sistema de archivos que explora utilizando el demonio inotify) y (para pedir contraseñas binarias).

Para conocer más, consulte https://github.com/Harvie/Programs/tree/master/bash/encfs/automount (última versión de los archivos utilizados en #Cómo hacerlo).

1. Necesitará un montaje automático de USB que funcione para esto, como lo hace Thunar o Gnome Files.
2. Cree una carpeta cifrada en su unidad extraible, por ejemplo: encfs /media/USB/somename /media/USB/somename.plain (y ​​luego desmonte todo).
3. Cree un archivo en su unidad local : 4. Instale el script de ayuda:

#!/bin/sh
#	~/.config/fsniper/scripts/encfs-automount.sh
# Quick & dirty script for automounting EncFS USB drives
# TODO:
#  - Unmounting!!!
#
ASKPASS="/usr/lib/git-core/git-gui--askpass"

lock=/tmp/fsniper_encfs.lock
lpid=$(cat "$lock" 2>/dev/null) &&
ps "$lpid" | grep "$lpid" >/dev/null && {
	echo "Another instance of fsniper_encfs is running"
	exit;
}
echo $BASHPID > "$lock";
sleep 2;

echo
echo ==== EncFS automount script for fsniper ====

list_mounts() {
	cat /proc/mounts | cut -d ' ' -f 2
}

list_mounts | while read mount; do
	config="$mount"'/*/.encfs*';
	echo Looking for "$config"
	config="$(echo $config)"
	[ -r "$config" ] && {
		cyphertext="$(dirname "$config")";
		plaintext="$cyphertext".plain
		echo Found config: "$config";
		echo Trying to mount: "$cyphertext to $plaintext";
		list_mounts | grep "$plaintext" >/dev/null && {
			echo Already mounted: "$plaintext"
		} || {
			echo Will mount "$cyphertext to $plaintext"
			"$ASKPASS" "EncFS $cyphertext to $plaintext" | encfs --stdinpass "$cyphertext" "$plaintext"
		}
	}
done
echo

rm "$lock" 2>/dev/null

5. Asegúrese de que /usr/lib/git-core/git-gui--askpass funciona (es por eso que necesita el paquete git, aunque también podría reajustar el script de ayuda).
6. Pruebe en la terminal (la petición de contraseña debe aparecer cuando se inserte la unidad USB).
7. Agregue a su sesión.
8. No olvide desmontar encfs antes de quitar la unidad extraible.

Esto se puede hacer en KDE con el script kdeencfs. También deberá instalar los paquetes , , y desde los repositorios oficiales. kwallet-pam tiene que comenzar con la sesión por defecto (si no es así, agregue /usr/lib/pam_kwallet_init al inicio de sesión). El script se puede usar llamandolo con kdeencfs carpeta-cifrada carpeta-descifrada.

Se puede hacer una copia de seguridad de un directorio cifrado y restaurarlo en otra ubicación. Esto es posible porque el archivo de configuración con las opciones de cifrado/metadatos se almacena en el propio directorio en texto sin formato en el archivo oculto .encfs6.xml. Esto no compromete la seguridad, porque la contraseña no está en él.

Sin embargo, si, por ejemplo, almacena la copia de seguridad en una ubicación remota (por ejemplo, en la nube) o en un dispositivo portátil, puede sentirse incómodo al respecto. En este caso, tampoco es un problema mover manualmente el archivo oculto fuera del directorio antes de crear la copia de seguridad. Incluso puede moverlo permanentemente y aún montar y acceder a los archivos cifrados, si pasa su ubicación a encfs a través de la variable de entorno . Para el ejemplo anterior dado en #Utilización:

$ mv ~/.nombre/.encfs6.xml ~/.
$ ENCFS6_CONFIG=~/.encfs6.xml encfs ~/.nombre ~/nombre

El siguiente ejemplo supone que desea crear una copia de seguridad cifrada del directorio de texto sin formato existente que contiene el archivo .

Primero, creamos la copia de seguridad cifrada del directorio de texto sin formato existente:

$ encfs --reverse ~/mythesis /tmp/thesisbackup

Tenga en cuenta que en este caso el orden del directorio se invierte respecto al uso normal. El uso de la opción tiene dos efectos: en primer lugar, el archivo de configuración ahora se almacena en el directorio de texto sin formato y /tmp/thesisbackup solo lo contiene en forma cifrada. En segundo lugar, los archivos en /tmp/thesisbackup no son persistentes. Se eliminarán una vez que se desmonte (no, esto no se debe al uso del punto de montaje en ).

En segundo lugar, ahora es el momento de copiar los archivos cifrados en la ubicación deseada antes de desmontar nuevamente el directorio temporal encfs:

$ cp -R /tmp/thesisbackup/* /mnt/usbstick/
$ fusermount -u /tmp/thesisbackup 

y hecho.

Para restaurar (o ver) la copia de seguridad, necesitamos acceso a las opciones de cifrado en texto sin formato, que debe pasarse a encfs con la variable de entorno (utilizamos un directorio diferente para no estropear el archivo existente):

$ ENCFS6_CONFIG=~/mythesis/.encfs6.xml encfs ~/mnt/usbstick/thesisbackup ~/restoremythesis

Si ahora lista el contenido restaurado, contendrá dos archivos:

$ ls -la ~/restoremythesis
... 
-rw-r--r--  1 student student    1078  3. Jan 12:33 .encfs6.xml
-rw-r--r--  1 student student      42  3. Jan 12:33 thesis.txt
...