Para quem busca um método simples e eficaz para proteger sua pasta pessoal no Linux, o EcryptFS surge como uma solução ideal. Com uma configuração correta, este utilitário possibilita que os usuários criptografem e descriptografem seus dados confidenciais de forma transparente e sem complicações.
AVISO: Se preferir, você pode pular direto para o tutorial em vídeo no final deste artigo.
Instalação do EcryptFS
Antes de iniciar o processo de criptografia, é necessário instalar a ferramenta. O EcryptFS é amplamente utilizado, compatível com a maioria das distribuições Linux e muito fácil de usar. Para seguir este guia, você pode estar utilizando Ubuntu, Debian, Arch Linux, Fedora ou OpenSUSE. Caso utilize outra distribuição, será necessário realizar a instalação a partir do código fonte.
Ubuntu
sudo apt install ecryptfs-utils
Debian
sudo apt-get install ecryptfs-utils
Arch Linux
sudo pacman -S ecryptfs-utils
Fedora
sudo dnf install ecryptfs-utils
OpenSUSE
sudo zypper install ecryptfs-utils
Outras Distribuições Linux
Caso não encontre um pacote de instalação para o EcryptFS em sua distribuição, será preciso baixar o código fonte e compilar o software manualmente. Se encontrar dificuldades nesse processo, consulte a documentação do EcryptFS.
Criptografia da Pasta Inicial
Durante o processo de criptografia, criaremos uma conta de usuário temporária, que será removida ao final do tutorial. A criação desta conta é necessária, pois a criptografia do diretório de um usuário não pode ser realizada enquanto este está logado.
Criação de um Novo Usuário
Para criar a conta temporária, abra um terminal e faça login como superusuário (root):
su
ou
sudo -s
Agora que você está logado como root, utilize o comando `useradd` para criar a conta temporária. É fundamental adicionar o parâmetro `-M` para evitar a criação de um novo diretório home para este usuário.
useradd -M encrypt-admin
O comando `useradd` cria o usuário, mas não define uma senha. Utilize o comando `passwd` para atribuir uma senha UNIX para o usuário `encrypt-admin`:
passwd encrypt-admin
O usuário `encrypt-admin` está pronto para uso, mas não tem permissão para executar comandos administrativos. Para conceder essa permissão, é necessário adicioná-lo ao arquivo sudoers. Utilize o comando `visudo` para editar o arquivo de configuração do sudo:
EDITOR=nano visudo
Dentro do editor Nano, procure pela seção “# User privilege specification“. Logo abaixo, você encontrará a linha “root ALL=(ALL:ALL) ALL“. Insira uma nova linha após esta e digite o seguinte:
encrypt-admin ALL=(ALL:ALL) ALL
Salve o arquivo com Ctrl + O e feche o editor com Ctrl + X.
Iniciando a Criptografia
Para iniciar o processo, faça logout da conta de usuário que você deseja criptografar. Na tela de login, pressione Alt + Ctrl + F1. Se esta combinação de teclas não funcionar, tente F2 até F6.
Utilizando o prompt TTY, digite `encrypt-admin` no campo de login, seguido pela senha definida anteriormente. Em seguida, utilize o comando do EcryptFS para iniciar a criptografia.
Nota: Substitua “yourusername” pelo nome da conta de usuário que você acabou de desconectar. Para criptografar diversas contas, execute este comando várias vezes.
sudo ecryptfs-migrate-home –u yourusername
O comando acima irá migrar a pasta do seu usuário para um diretório criptografado. Agora, você pode sair da conta administrativa temporária e retornar à sua conta de usuário normal. Para sair do console TTY, utilize o comando:
exit
Este comando deve retornar você à tela de login. A partir daí, use as teclas Alt + F2 até F7 para retornar ao modo gráfico.
Remoção da Conta de Usuário
Com o EcryptFS totalmente configurado no Linux, é hora de remover a conta `encrypt-admin`. Comece removendo suas permissões do arquivo sudoers. Abra um terminal e modifique o arquivo com o comando `visudo`:
sudo -s EDITOR=nano visudo
No arquivo sudoers, procure e remova a linha adicionada anteriormente:
encrypt-admin ALL=(ALL:ALL) ALL
Salve o arquivo com Ctrl + O e feche o editor com Ctrl + X.
A conta `encrypt-admin` agora não tem permissão para acessar o sistema ou modificar configurações. Neste ponto, ela é inofensiva e pode ser mantida, caso deseje. Se você prefere ter somente um usuário no seu sistema Linux, é aconselhável removê-la completamente. Utilize o comando `userdel` para removê-la:
sudo userdel encrypt-admin
Definição da Senha de Criptografia
O EcryptFS está quase pronto para ser utilizado. Resta definir a senha para descriptografar seus arquivos. Abra um terminal (sem usar `sudo` ou `root`) e execute o seguinte comando para definir a nova senha. Lembre-se que a criptografia é ineficaz sem uma senha forte. Utilize um gerador de senhas como strongpasswordgenerator.com para criar uma senha segura.
Nota: Se preferir, pode seguir as dicas deste artigo para aprender a criar senhas fortes: Confira este artigo.
ecryptfs-add-passphrase
Após a conclusão do comando, sua pasta pessoal estará totalmente criptografada. Para começar a utilizá-la, reinicie seu PC Linux. Ao reiniciar, o EcryptFS solicitará sua nova senha para realizar o login com sucesso.