Como encriptografar o HD? Procuro algo similar ao Filevault do Mac

LeandrodaFL
(usa Debian)

Enviado em 10/11/2023 - 09:09h

Ola amigos, estou querendo deixar o meu SSD, do meu notebook de viagens, encriptografado. Assim, caso eu o perca, ninguem consegue remover o SSD e ver os meus arquivos. Qual programa vcs recomendam?

O meu ultimo notebook era um macair, estou acostumado a usar o FileVault da Apple. Eu nao preciso me preocupar com nada, apenas o encriptografo uma vez e toda vez que vou dar login como usuario, ele pede a senha de usuario. Super simples. Tem algo assim no Linux?

leandropscardua
(usa Ubuntu)

Enviado em 10/11/2023 - 10:48h

Eu já usei o encfs, mas apenas em um diretório específico que queria proteger.

aguamole
(usa KUbuntu)

Enviado em 10/11/2023 - 16:36h

Alguns sistemas operacionais oferecem a opção de criptografar o armazenamento durante a instalação, como fazer após a instalação eu não sei. O Ubuntu oferece essa opção na hora da instalação. O Debian 11 também oferece na hora da instalação.
Para ser seguro você tem que criptografar tmb a swap, se vc não fizer isso o ladrão pode conseguir o acesso através da swap.
Criptografia consome recurso extra da maquina.
Outra coisa é que a criptográfica AES é uma criptografia de respeito, no entanto ela é uma criptografia muito rápida, isso significa que o ladrão pode fazer mais teste de brute force com muita velocidade. Ai você tem que decidir se vai usar uma criptografia rápida ou uma lenta para tornar os testes de brute force mais demorado. Outra coisa é que o chip TPM quando usado ele deixa a criptografia mais forte. Outra coisa é que tem alguns CPU que geram números aleatórios melhor do que outros. Tamanho da chave use a maior. Use senhas grandes, quanto mais digito tiver a sua senha e mais variedade melhor.
Vai em um cliente de Email como o Google e comece a criar uma conta ate chegar onde vc cria a senha, ali olhe se a nota da sua senha é boa ou não.
Não esquece de criptografar a swap, é muito importante.

https://pt.wikipedia.org/wiki/Advanced_Encryption_Standard
https://www.youtube.com/watch?v=gvGdHrgObHs

aguamole
(usa KUbuntu)

Enviado em 10/11/2023 - 16:54h

Agora que fui ver que vc usa o Debian, faz a instalação igual no tutorial do youtube no link acima.

tipoff
(usa Nenhuma)

Enviado em 11/11/2023 - 10:04h

Eu uso o luks, ativei pelo instalador do Fedora quando instalei na minha máquina. Nesse cenário o disco é encriptado inteiramente, exigindo uma senha de boot.

Mas na minha visão, acredito ser necessário encriptar apenas a pasta /home/user, pois é ali onde fica armazenado seus dados pessoais. Nesse cenário, eu usava o ecryptfs-migrate-home no Linux Mint (mas funciona em qualquer distro):
https://www.linuxuprising.com/2018/04/how-to-encrypt-home-folder-in-ubuntu.html

Importante: será necessário criar um usuário temporário com permissão root e estar logado nele, para usar o comando acima. E antes de reiniciar a máquina após rodar o comando, logar na sua conta encriptada para certificar que está tudo ok.
Importantíssimo: faça backup dos seus dados antes de qualquer coisa! Em caso de problemas, basta recriar seu usuário através do usuário temporário acima e mover seus arquivos para a nova pasta home recém criada.

É um procedimento relativamente simples, mas se não prestar atenção, pode dar muita [*****].

edit: tem um detalhe, após a encriptação da sua pasta home, vai ser criada uma pasta de backup em /home/seu_usuario.XXXXXX, onde "XXXXXX" é um código aleatório criado pelo comando. O ecryptfs-migrate-home faz backup automaticamente em caso de problemas, mas de qualquer forma é bom criar um backup manual.

Se der tudo certo, vc pode remover essa pasta temporária, pois é uma pasta de backup sem encriptação e não faz sentido mante-la.

removido
(usa Nenhuma)

Enviado em 11/11/2023 - 10:10h

Já ouvi falar do LUKS, mas eu nunca usei/instalei

tipoff
(usa Nenhuma)

Enviado em 11/11/2023 - 10:50h

No Fedora tem uma opção para usar o LUKS durante a instalação, na tela de particionamento de disco, já faz tudo automático. Só vai precisar fornecer uma senha para desbloquear o disco durante o boot, e se quiser pode ser a mesma do seu usuário principal, caso só você use o computador. Inclusive, eu uso a mesma senha e nesse caso eu deixo o GDM logar automaticamente no meu usuário, pois assim não preciso digitar a mesma senha no boot e na tela de login.

Delusion
(usa Debian)

Enviado em 12/11/2023 - 12:43h

tenho uma partição criptografada há anos, que não é montada no boot, mas só quando eu preciso de alguns arquivos; é montada com uma senha própria.
usei o VerCrypt na época, mas nem tenho mais esse encriptador instalado, pois já troquei de distro algumas vezes, formatando a partição principal. Na época foi o mais intuitivo e simples que achei.

LeandrodaFL
(usa Debian)

Enviado em 14/11/2023 - 20:51h

Muito interessante, quero algo assim. Que eu coloque a senha no boot ou login e fico usando normalmente, até botar em sleep ou desligar o notebook. Como aciono esse luks? O Windows e o Mac tem a opcao de acionar a encriptografia se o usuario desejar. Nao precisa ser durante a instalacao. Temos essa opcao no linux ou algum thirdparty software que possa fazer isso? Eu teoricamente posso clonar o meu HD para um externo e fazer isso de um external boot se for necessario..

tipoff
(usa Nenhuma)

Enviado em 19/11/2023 - 14:44h

Posso estar enganado, mas pelo que eu pesquisei (https://askubuntu.com/questions/96870/is-there-a-way-to-do-full-disk-encryption-after-the-install), não tem como usar o luks na partição inteira após a instalação do Linux. Se reinstalar o sistema não for uma opção pra ti, acho que encriptar a home seja a opção mais apropriada, ou criar uma partição separada para a home e encriptar ela, talvez dê certo também.