Como criptografar a pasta inicial no Linux

Aqueles que procuram uma maneira fácil e universal de criptografar a pasta pessoal no Linux não precisam procurar além do EcryptFS. Quando configurados corretamente, os usuários podem criptografar e descriptografar perfeitamente seus dados privados sem muito esforço.

ALERTA DE SPOILER: Role para baixo e assista ao tutorial em vídeo no final deste artigo.

Instale o EcryptFS

Antes que qualquer criptografia possa começar, você precisará instalar a ferramenta de criptografia. É muito popular, funciona em quase todas as distribuições Linux e é fácil de usar. Você deve estar executando o Ubuntu, Debian, Arch Linux, Fedora, OpenSUSE para instalar ou você pode construí-lo a partir da fonte se estiver executando alguma outra distribuição.

Ubuntu

sudo apt install ecryptfs-utils

Debian

sudo apt-get install ecryptfs-utils

Arch Linux

sudo pacman -S  ecryptfs-utils

Fedora

sudo dnf install ecryptfs-utils

OpenSUSE

sudo zypper install  ecryptfs-utils

Outros Linux

Não consegue encontrar um pacote instalável do EcryptFS em seu sistema operacional Linux? Se sim, você precisará baixe o código fonte e instale o software manualmente. Se você tiver problemas para construir o software, confira o Página de documentação do EcryptFS.

  Como extrair informações de MKVs no Linux

Criptografar a pasta inicial

Durante esse processo de criptografia, criaremos um usuário temporário. Este usuário não será permanente. No final deste tutorial, vamos excluí-lo completamente. Criar uma conta de superusuário temporária é importante porque não é possível criptografar um diretório de usuário enquanto estiver conectado.

Criar novo usuário

Para criar um novo usuário, abra um terminal, faça login na conta root.

su

ou

sudo -s

Agora que o shell é root, use useradd para criar a conta temporária. Certifique-se de adicionar o -M para garantir que o sistema não crie um novo diretório inicial.

useradd -M encrypt-admin

Useradd criará um novo usuário, mas não possui uma senha. Usando passwd, atribua encrypt-admin uma nova senha UNIX.

passwd encrypt-admin

Encrypt-admin está pronto para uso, mas não poderá acessar e executar comandos root. Para permitir que o usuário execute comandos root, precisaremos adicioná-lo ao arquivo sudoers. Usando o visudo, edite o arquivo de configuração do sudo.

EDITOR=nano visudo

Dentro do editor de texto Nano, role para baixo e procure por “# especificação de privilégio do usuário“. Abaixo disso, você deve ver “root ALL=(ALL:ALL) ALL“. Pressione enter no teclado sob esta linha e escreva o seguinte em Nano.

encrypt-admin ALL=(ALL:ALL) ALL

Salve o arquivo visudo pressionando Ctrl + O e feche com Ctrl + X.

  Como instalar o Calligra Office Suite no Linux

Iniciar criptografia

Para iniciar o processo de criptografia, efetue logout do nome de usuário no qual você planeja iniciar a criptografia. Na tela de login, pressione Alt + Ctrl + F1. Se esta combinação de botões não funcionar, tente F2 a F6.

Usando o prompt TTY, escreva encrypt-admin no prompt de login, seguido pela senha definida anteriormente. Em seguida, use o EncryptFS para iniciar a criptografia.

Nota: altere “yourusername” para o nome da conta de usuário da qual você acabou de sair. Para criptografar várias contas de usuário, execute este comando várias vezes.

sudo ecryptfs-migrate-home –u yourusername

O comando acima migrará seu usuário para uma pasta pessoal criptografada. A partir daqui, é seguro sair da conta de administrador temporária e voltar ao usuário normal. Saia do console TTY com:

exit

Escrever o comando exit deve retornar instantaneamente à tela de login anterior. A partir daí, pressione Alt + F2 – F7 para retornar ao modo gráfico.

Remover conta de usuário

O EcryptFS está totalmente configurado no Linux, então é hora de se livrar da conta encrypt-admin. Comece removendo-o do arquivo sudoers. Abra um terminal e modifique visudo.

sudo -s

EDITOR=nano visudo

Role para baixo no arquivo sudoers e remova o código adicionado anteriormente no guia.

encrypt-admin ALL=(ALL:ALL) ALL

Salve a edição do arquivo sudoer no Nano pressionando Ctrl + O no teclado. Saia do Nano e retorne ao shell do terminal com Ctrl + X.

  Verifique se você está vulnerável a Meltdown e Spectre no Linux

O Encrypt-admin não tem mais a capacidade de obter acesso root ou modificar o sistema de qualquer forma. Neste ponto, é inofensivo, e é possível simplesmente deixá-lo lá. Ainda assim, se você não estiver interessado em ter vários usuários em seu PC Linux, pode ser uma boa ideia excluí-lo completamente. No terminal, use o comando userdel para se livrar dele.

sudo userdel encrypt-admin

Adicionar senha de criptografia

O EcryptFS está quase pronto para ser usado. Tudo o que resta é configurar uma nova senha. Abra um terminal (sem usar sudo ou root) e digite add uma nova senha. Lembre-se de que a criptografia é inútil sem uma senha segura. Vá para strongpasswordgenerator.com e crie uma senha de criptografia forte.

Nota: não deseja usar o gerador para criar uma nova senha? Confira este artigo para aprender a criar sua própria senha segura.

ecryptfs-add-passphrase

Quando “ecryptfs-add-passphrase” terminar, sua pasta pessoal deverá estar totalmente criptografada. Para começar a usá-lo, reinicie o seu PC Linux. Ao reiniciar, o EcryptFS exigirá que sua nova senha faça login corretamente.