usare LUKS invece di fscrypt per cifrare partizione home post installazione xubuntu 22.04

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi risposta
Avatar utente
gto_linux
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 328
Iscrizione: domenica 20 dicembre 2009, 12:24

usare LUKS invece di fscrypt per cifrare partizione home post installazione xubuntu 22.04

Messaggio da gto_linux »

Salve a tutti, con virtualbox sto eseguendo un test per crittografare la partizione home di una distro xubuntu 22.04 con home e root separate ed in dual boot con windows, per farlo ho seguito questa guida https://wiki.archlinux.org/title/Fscrypt è andato tutto bene e riesco anche ad accedere alla home crittografata tramite live CD qualora ne avessi biosogno, il problema che non so risolvere è il seguente: quando reinstallo xubuntu per simulare un aggiornamento della LTS, formattando solo la partizione root, non riesco più ad accedere alla home, ho provato da live CD a copiare in /etc/ il file fscrypt.conf e ricreare i file per configurare i moudli PAM sempre in /etc/ poi tramite recovery mode installo fscrypt e libpam-fscrypt ma essendo loggato come root il comando

Codice: Seleziona tutto

fscrypt unlock dir
non ha effetto perchè devo usarlo nel terminale dell'utente home al quale non riesco ad accedere tramite recovery infatti

Codice: Seleziona tutto

su nome_utente -
restituisce un errore, quindi l'alternativa più semplice credo sarebbe decrittare la home e dopo eseguire l'avanzamento di versione di xubuntu poi rieseguire la cifratura con fscrypt qualcuno sa come fare? Ringrazio chiunque voglia darmi suggerimenti

p.s. ho trovato solo questo thread nel forum sezione sicurezza che cita fscrypt viewtopic.php?f=34&t=633218&hilit=fscrypt&start=20 ma è molto confuso sembra che l'utente che ha chiesto aiuto abbia commesso vari errori o abbia dovuto risolvere vari problemi durante la procedura per cui diventa piuttosto complicato capire cosa è stato fatto
Ultima modifica di gto_linux il martedì 24 gennaio 2023, 16:53, modificato 3 volte in totale.
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40136
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: Come disattivo la crittografia della partizione home cifrata con fscrytp xubuntu 22.04?

Messaggio da steff »

Hai una particolare esigenza di usare fscrypt? Devo ammettere che è la prima volta che lo sento nominare.

Nella guida linkata leggo
lock device encryption with dm-crypt (LUKS) is generally a better option
. Reinstallando con LUKS e /home criptata è facile e funziona (bastano /etc/crypttab e /etc/fstab).
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
gto_linux
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 328
Iscrizione: domenica 20 dicembre 2009, 12:24

Re: Come disattivo la crittografia della partizione home cifrata con fscrytp xubuntu 22.04?

Messaggio da gto_linux »

Intanto Grazie per aver risposto :) il motivo per cui vorrei usare fscrypt è semplice, leggendo qualche guida in rete mi è sembrato molto più semplice da configurare rispetto LUKS per la cronaca le guide relative alla criptazione della home post installazione che ho preso come riferimento sono queste 2: https://askubuntu.com/questions/1335006 ... untu-21-04
https://mpiatkowski.medium.com/encrypti ... 38b668931a, la seconda è più completa perchè nelle fase di preparazione l'autore spiega come eseguire dei test per determinare le performance del proprio hard disk e dei vari algoritmi di hashing e crittografia supportati da LUKS in modo da scegliere quello che incide meno sulle prestazioni della macchina, se hai un'altra guida da consigliare per LUKS ben venga comunque in caso di avanzamento della versione del sistema operativo con le modalità che ho descritto nel primo post, ovvero scrittura della sola partizione root lasciando inalterata la home, secondo te quali operazioni dovrei eseguire per ripristinare l'accesso alla home criptata con LUKS?
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40136
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: Come disattivo la crittografia della partizione home cifrata con fscrytp xubuntu 22.04?

Messaggio da steff »

Io usavo LUKS di default su portatili vecchi senza mai avere problemi di prestazioni.
Se reinstalli un sistema in / e vuoi caricare la vecchia /home criptata con LUKS ci vogliono solo due cose: una riga inserito in /etc/fstab e una in /etc/crypttab come nella seconda guida.
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
gto_linux
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 328
Iscrizione: domenica 20 dicembre 2009, 12:24

Re: Come disattivo la crittografia della partizione home cifrata con fscrytp xubuntu 22.04?

Messaggio da gto_linux »

steff ha scritto:
domenica 8 gennaio 2023, 19:12
Se reinstalli un sistema in / e vuoi caricare la vecchia /home criptata con LUKS ci vogliono solo due cose: una riga inserito in /etc/fstab e una in /etc/crypttab come nella seconda guida.
se quelle modifiche sono sufficenti farò delle prove anche con LUKS e virtualbox, comunque tanto per far capire che le modifiche alle partizioni non sono il mio forte, nella seconda guida suggerisce di cancellare la partizione /home usando il comando cfdisk ma con questo vado a creare una nuova partizione e mostra varie opzioni non saprei quale usare quindi ho pensato di saltare questa parte passando a quella della criptazione come indicato nella prima guida, anche tu faresti cosi?
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40136
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: Come disattivo la crittografia della partizione home cifrata con fscrytp xubuntu 22.04?

Messaggio da steff »

Non sono sicuro al cento percento ma finché sei in una VM basta dare semplicemente

Codice: Seleziona tutto

 cryptsetup luksFormat /dev/sdXY
 cryptsetup open /dev/sdXY home
mkfs.ext4 /dev/mapper/home
per avere la /home . Ti chiede al prima comando se vuoii sovrascrivere la sdXY e devi rispondere in maiuscolo YES. La guida è ultrasicura ma troppo esagerato secondo me. Ovviamente (dev/sdXY deve essere smontato.
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
gto_linux
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 328
Iscrizione: domenica 20 dicembre 2009, 12:24

Re: Come disattivo la crittografia della partizione home cifrata con fscrytp xubuntu 22.04?

Messaggio da gto_linux »

dunque dopo numerose prove nella VM e la lettura di varie guide per usare LUKS sono riuscito a crittografare la home anche l'avanzamnto di versione e l'accesso da live CD funzionano, l'unico problema riscontrato riguarda la procedura di ripristino del backup del contenuto della home ovvero della mia cartella utente, infatti ho tentato vari approcci ma nessuno funziona nello specifico ho eseguito il backup con rsync ispirandomi a questa guida https://www.pragmaticlinux.com/2021/05/ ... -in-linux/ quindi al termine della procedura di cifratura ovvero dopo aver editato i file /etc/crypttab /etc/fstab eseguo il ripristino che avviene correttamente

Codice: Seleziona tutto

rm -rf /home/*

mkdir /home/test
	
chown test:test /home/test

rsync -a --info=progress2 --exclude="lost+found" /backupHome /home/
controllo che effettivamente la cartella utente si trovi nella home e riavvio

Codice: Seleziona tutto

ls -l /home/test
reboot
a questo punto dopo aver inserito la password per luks compare la schermata di login ed inserisco la password dell'utente ma lo schermo diventa nero per un paio di secondi e ricompare la schermata di login, nella VM ho scoperto che la causa è la mancanza della cartella utente nella home come se al riavvio venisse cancellata, la soluzione per nienite elegante che ho addotatto è riavviare entrare di nuovo nella recovery e ripetere i comandi per ripristinare la home, in questo modo il login funziona correttamente

P.S.
per sicurezza ho eseguito un backup dei file /etc/crypttab /etc/fstab e dell'header della partizione cifrata con luks se avessi altri suggerimenti in merito sono ben accetti :)
Avatar utente
gto_linux
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 328
Iscrizione: domenica 20 dicembre 2009, 12:24

Re: uasre LUKS invece di fscrypt per cifrare partizione home post installazione xubuntu 22.04

Messaggio da gto_linux »

update

credo di avere riscontrato un problema di sicurezza ovvero quando compare la schermata per decifrare la partizione home inserendo la password di LUKS ho notato che allo scadere del timeout impostato nel file /etc/crypttab senza inserire la password, il sistema passa ad una modalità chiamata recovery che consente di eseguire operazioni da terminale come utente root, mi sembra piuttosto allarmante perchè un utente consapevole e malitenzionato può accedere liberamente alla partizione root, inoltre i comandi reboot o shutdown -r h now non funzionano e sono costretto a spegnere forzatamente la macchina tenendo premuto il tasto accensione, a qualcuno è capitata la stessa cosa?

Per la cronaca dopo aver cifrato la home ho impostato una password (cifrata) per il GRUB che impedisce l'accesso alla riga di comando, premendo il tato "c" e alle modalità recovery di Ubuntu, mentre l'accesso normale ad Ubuntu e Windows non richiedono l'inserimnto della suddetta password
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40136
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: usare LUKS invece di fscrypt per cifrare partizione home post installazione xubuntu 22.04

Messaggio da steff »

mi sembra piuttosto allarmante perchè un utente consapevole e malintenzionato può accedere liberamente alla partizione root, inoltre i comandi reboot o shutdown -r h
Quando uno ha accesso fisico un malintenzionato può fare moltissimo, avviare una live e modificare il sistema (se non è criptato anche /), per dirne una.
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
gto_linux
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 328
Iscrizione: domenica 20 dicembre 2009, 12:24

Re: usare LUKS invece di fscrypt per cifrare partizione home post installazione xubuntu 22.04

Messaggio da gto_linux »

ok, quindi è normale che allo scadere del timeout si attiva questo terminale con privilegi di root? in ogni caso secondo la tua esperienza pensi che sia possibile anche disattivare la cifratura della home agendo da root?
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40136
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: usare LUKS invece di fscrypt per cifrare partizione home post installazione xubuntu 22.04

Messaggio da steff »

No, la partizione apri soltanto avendo il passwd. Però un backup è importante, perché si potrebbe anche rompere il LUKS header (si può backuppare anche questo) essendo sempre un file su un disco.
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
gto_linux
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 328
Iscrizione: domenica 20 dicembre 2009, 12:24

Re: usare LUKS invece di fscrypt per cifrare partizione home post installazione xubuntu 22.04

Messaggio da gto_linux »

grazie per il chiarimento, riguardo i backup come ho scritto in un precedente post ho eseguito quello dei file /etc/crypttab, /etc/fstab e dell'header LUKS, per la home non ho ancora un backup perchè i file importanti sono anche nel cloud
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 3 ospiti