https://wiki.archlinux.org/api.php?action=feedcontributions&user=Leo72&feedformat=atomArchWiki - User contributions [en]2024-03-28T23:33:00ZUser contributionsMediaWiki 1.41.0https://wiki.archlinux.org/index.php?title=Enlightenment_(Italiano)&diff=277163Enlightenment (Italiano)2013-10-01T08:12:48Z<p>Leo72: /* Avvio */</p>
<hr />
<div>[[Category: Desktop environments (Italiano)]]<br />
[[cs:Enlightenment]]<br />
[[de:Enlightenment]]<br />
[[es:E17]]<br />
[[en:Enlightenment]]<br />
[[fr:Enlightenment]]<br />
[[lt:E17]]<br />
[[pl:E17]]<br />
[[ru:E17]]<br />
[[zh-CN:Enlightenment]]<br />
<br />
{{Article summary start|Sommario}}<br />
{{Article summary text|Il progetto Enlightenment fornisce librerie utili , un ambiente grafico e altre applicazioni, nonché gli strumenti di sviluppo per la creazione di tali applicazioni. Questo articolo riguarda l'installazione, la configurazione e la risoluzione dei problemi.}}<br />
{{Article summary end}}<br />
<br />
Tratto dalla [http://trac.enlightenment.org/e/wiki/Enlightenment documentazione di Enlightenment]:<br />
<br />
:''L'ambiente di lavoro Enlightenment fornisce un window manager efficiente e mozzafiato basato sul Enlightenment Foundation Libraries (EFL) insieme ad altri componenti del desktop essenziali, come un file manager, le icone del desktop e widget. Vanta un livello senza precedenti di capacità di eseguire temi grafici, pur essendo in grado di eseguirli con hardware più vecchio o su dispositivi embedded.''<br />
<br />
== Enlightenment Desktop Shell (formalmente E17) ==<br />
<br />
Enlightenment comprende sia il [[Window Manager (Italiano)|window manager]] che le librerie Enlightenment Foundation Libraries ( EFL), le quali forniscono ulteriori funzionalità desktop dell'ambiente, così come una serie di strumenti, come un toolkit, e gli oggetti astratti. E 'stato in fase di sviluppo dal 2005, ma nel mese di febbraio 2011 le principali librerie EFL videro la loro prima versione stabile 1.0. Il window manager Enlightenment è stato rilasciato come versione 0.17.0 il 21 dicembre 2012, insieme con il rilascio 1.7.4 delle librerie EFL. Molte persone utilizzano ogni giorno Enlightenment come ambiente desktop senza problemi .<br />
<br />
{{Attenzione | Questa pagina si riferisce sia pacchetti alla stabile chee di sviluppo. Qualsiasi PKGBUILD che si conclude con {{ic|-svn}} o {{ic|-git}} utilizzerà il codice instabile di sviluppo. Usateli a vostro rischio e pericolo. Dal rilascio delle librerie EFL e di Enlightenment stessa, non è più necessario e anche scoraggiato costruire i programmi di base da SVN o GIT. "A meno che non si sta sviluppando E o si e disposti a correrne il rischio, stare lontano dalla versione svn."([http://sourceforge.net/mailarchive/message.php?msg_id&#61;30310890 fonte]). Purtroppo, molti dei pacchetti software aggiuntivi non sono stati rilasciati e la costruzione da SVN o GIT è l'unico modo che si ha per utilizzarli.}}<br />
<br />
=== Installazione===<br />
<br />
==== Installazione dal repository ufficiale ====<br />
<br />
Installare il pacchetto {{Pkg|enlightenment17}} dal [[Official Repositories (Italiano)|deposito ufficiale]].<br />
<br />
É possibile installare [[Fonts (Italiano)| Font]] addizionali, è necessario avere almeno un Font True Type installato.<br />
<br />
Se si necessità di pacchetti per enlightenment, ancora non disponibili nei depositi ufficiali, controllare se sono presenti su [https://aur.archlinux.org/ AUR].<br />
<br />
==== Da AUR ====<br />
<br />
I PKGBUILD SVN che scaricheranno e installeranno il codice di sviluppo più recenti sono disponibili su [[AUR (Italiano)|AUR]] come {{AUR|enlightenment17-git}} e dipendenze.<br />
<br />
=== Avvio ===<br />
<br />
==== startx ====<br />
<br />
Se per avviare la vostra sessione grafica utilizzate il comando {{ic|startx}} oppure un [[Display_Manager_(Italiano)|gestore delle sessioni]] leggero come XDM o [[SLiM_(Italiano)|SLIM]], è sufficiente aggiungere o de-commentare il seguente comando contenuto in [[Xinitrc_(Italiano) | xinitrc]].<br />
<br />
{{hc|~/.xinitrc|<br />
exec enlightenment_start<br />
}}<br />
<br />
==== Entrance ====<br />
<br />
Per Enlightenment è ora disponibile un nuovo display manager chiamato Entrance, che è disponibile su AUR tramite il pacchetto {{AUR|entrance-git}}.<br />
Entrance è piuttosto sofisticato e la sua configurazione è controllata dal file {{ic|/etc/entrance.conf}}. Per utilizzare Entrance :<br />
<br />
# systemctl enable entrance<br />
<br />
==== Altri gestori ====<br />
<br />
Altri gestori della sessione più avanzati come GDM o [[KDM_(Italiano)|KDM]] riescono ad individuare automaticamente Enlightenment grazie al file {{ic|/usr/share/xsessions/enlightenment.desktop}} contenuto nel pacchetto {{pkg|enlightenment17}}.<br />
<br />
==== LXDM ====<br />
<br />
Se utilizzate [[LXDM]] e la localizzazione italiana del sistema, Enlightenment non appare nell'elenco dei desktop avviabili per un bug nel codice. Per risolvere questo problema, dovete editare (con privilegi di root) il file {{ic|/usr/share/xsessions/enlightenment.desktop}} e modificare la linea che riporta il nome italiano del gestore aggiungendo "Enlightenment":<br />
{{hc|/usr/share/xsessions/enlightenment.desktop|<br />
...<br />
Name[it]<nowiki>=</nowiki>'''Enlightenment'''<br />
...<br />
}}<br />
Salvate e chiudete la sessione. Al successivo riavvio di LXDM, Enlightenment sarà elencato correttamente.<br />
<br />
=== Configurare la Rete ===<br />
<br />
==== ConnMan ====<br />
<br />
Il gestore di rete predefinito di Enlightenment è [[ConnMan (Italiano)|ConnMan]], che è reperibile nel [[Official Repositories (Italiano)|deposito ufficiale]] con il pacchetto {{Pkg|connman}}. Per la configurazione estesa con il modulo predefinito Enlightenment di Rete, si può anche installare EConnman ( disponibile in AUR come {{AUR|econnman}} o {{AUR|econnman-git}}), ed è associato come dipendenza.<br />
<br />
Infine, configurare systemd per avviare il demone ConnMan all'avvio :<br />
<br />
# systemctl enable connman<br />
<br />
ConnMan si carica molto velocemente e sembra gestire in modo corretto DHCP. Se si ha installato [[wpa_supplicant]] in precedenza, ConnMan aggancia e mostra tutte le connessioni wireless disponibili.<br />
<br />
==== NetworkManager ====<br />
<br />
É possibile anche utilizzare {{Pkg|networkmanager}} per gestire le proprie connessioni di rete.<br />
<br />
Seguire le istruzioni riportate sulla pagina [[NetworkManager (Italiano)|NetworkManager]] per la sua configurazione. Potrebbe essere necessaria l'installazione del pacchetto {{Pkg|network-manager-applet}} per essere facilitati sulla configurazione e scelta delle impostazioni.<br />
<br />
Si consiglia di aggiungerlo all'avvio della sessione, in modo ogni volta che si avvia Enlightenment appaia sulla barra delle applicazioni.<br />
<br />
Impostazioni > Pannello impostazioni > Applicazioni > Applicazioni per l'avvio > Sistema > Network<br />
<br />
=== Installare Temi ===<br />
<br />
Sono disponibili diversi temi per personalizzare l'aspetto di Enlightenment e reperibili presso:<br />
* [http://exchange.enlightenment.org/ exchange.enlightenment.org]<br />
* [http://www.e17-stuff.org e17-stuff.org]<br />
* [http://relighted.c0n.de/#100 relighted.c0n.de] per il tema di default in 200 colori diversi<br />
* [http://git.enlightenment.org/themes git repo] (git clone il tema che ti piace, eseguire 'make' e si finisce con un file di tema .edj )<br />
* [http://packages.bodhilinux.com/bodhi/pool/stable/b/ packages.bodhilinux.com] ha una buona raccolta ( è necessario estrarre il file edj dal .deb; bsdtar può fare questo e fa parte dell'installazione base di ArchLinux). Un bel catalogo di anteprima può essere visto nel loro [http://art.bodhilinux.com/doku.php wiki].<br />
<br />
É possibile installare i temi (che sono in formato .edj) utilizzando la finestra di dialogo di configurazione del tema o spostandoli in {{ic|~/.E/e/themes}}. <br />
<br />
{{nota|Ci sono stati numerosi cambiamenti all'API dei temi nel corso degli anni. È improbabile che i temi non aggiornati perima del rilascio di E17 ( 2012-12 ), e non aggiornati, funzionino.}}<br />
<br />
=== Moduli e gadgets ===<br />
<br />
;Module: Nome usato in enlightenment in riferimento al codice "supportato" da un determinato gadget.<br />
;Gadget: Front-end o una interfaccia utente che dovrebbe aiutare gli utenti finali di Enlightenment in determinate azioni.<br />
<br />
Molti moduli forniscono dei Gadgets che possono essere aggiunti al proprio desktop o sulla mensola (shelf). Alcuni moduli (come CPUFreq) forniscono solamente un singolo Gadget, mentre altri (come Composite) forniscono caratteristiche aggiuntive senza nessun gadgets. Si noti che alcuni gadgets (come ad esempio Systray) possono essere aggiunti solo nella mensola, mentre altri (come il gadget Moon) può essere aggiunto solo sul desktop. <br />
<br />
=== Moduli "Extra" ===<br />
<br />
{{Attenzione | Si tratta di moduli di terze parti e non ufficialmente supportato dagli sviluppatori di Enlightenment. Essi sono vengono prelevati direttamente dal ramo SVN, questo fa si che il codice può risultare sempre in sviluppo e possono o non possono funzionare in qualsiasi momento. Utilizzare a proprio rischio e pericolo.}}<br />
<br />
Questi moduli sono disponibili su AUR, sia come parte di {{AUR|e-modules-extra-svn}}, che come singoli pacchetti .<br />
<br />
====== Places ======<br />
<br />
Places è un gadget che ti aiuterà a navigare tra i file su diversi dispositivi che si potrebbero collegare al computer, come i telefoni, macchine fotografiche o altri dispositivi di memorizzazione diversi inseriti nella porta usb.<br />
<br />
Disponibile come {{AUR|places}} per la versione E17 e compatibili, oppure come {{AUR|places-git}} per la versione compatibile per E18.<br />
<br />
{{nota|Questo modulo non è più necessario per l'auto-montaggio dei dispositivi esterni in Enlightenment.}}<br />
<br />
====== Scale Windows ======<br />
<br />
Il modulo ''Scale Windows'', che richiede che il compositing sia abilitato, aggiunge diverse funzionalità. L' effetto di scala finestre riduce tutte le finestre aperte e li porta tutti in vista. L'effetto "scale pager" effettua uno zoom in fuori e mostra tutti i desktop come un muro, come il plugin compiz expo. Entrambi possono essere aggiunti al desktop come un gadget o legati ad una combinazione di tasti, ad una combinazione del mouse o ad un bordo dello schermo.<br />
<br />
A molti utenti piace cambiare la scorciatoia predefinita {{ic|ALT + Tab}} usata per selezionare le finestre, a favore del di Scale Windows per selezionare una finestra. Per cambiare questa impostazione, andare su ''Menu > Impostazioni > Pannello impostazioni > Input > Tasti''. Da qui è possibile impostare la combinazione di tasti desiderata. <br />
<br />
Per sostituire la funzionalità del tasto di scelta rapida per la selezione delle finestre con Scale Windows, scorrere nel pannello a sinistra fino a trovare la sezione ''ALT'', e selezionare {{ic|ALT + Tab}}. Successivamente scorrere attraverso il pannello di destra fino a trovare la sezione "Scale Windows", e scegliere uno delle seguenti opzioni : ''Select Next'' oppure ''Select Next (All)'', a seconda se si desidera vedere le finestre da un solo desktop corrente o da tutti i desktop e cliccare su ''Apply'' per salvare l'associazione.<br />
<br />
Disponibile come {{AUR|comp-scale}} per la versione Elightenment, e {{AUR|comp-scale-git}} per la versione Enlightenment di sviluppo.<br />
<br />
====== Engage ======<br />
<br />
Engage è una dock stile CairoDock/GLX-Dock sia per i lanciatori delle applicazioni che per le applicazioni aperte. Si richiede il compositing per essere attivato e dispone di controlli completi per la trasparenza, dimensioni, livelli di zoom, e altro ancora, ed è disponibile come come {{AUR|engage-git}}<br />
<br />
=== Integrazione con Gnome Keyring ===<br />
<br />
E ' possibile usare gnome-keyring in Enlightenment. Tuttavia, allo stato attuale vi è bisogno di un piccolo hack per farlo funzionare correttamente.<br />
<br />
In primo luogo si deve dire a Enlightenment di avviare automaticamente gnome-kering. Per questo si dovrebbe andare in ''Impostazioni-Pannello->Applicazioni->Applicazioni di avvio'' e attivare ''certificato e memorizzazione delle chiavi'', ''Agente password GPG'', ''Agente di chiavi SSH'' e ''servizio di archiviazione Secret''.<br />
<br />
Successivamente si dovrebbe modificare il file {{ic|~/.profile}} e aggiungere quanto segue :<br />
<br />
if [ -n "$GNOME_KEYRING_PID" ]; then<br />
eval $(gnome-keyring-daemon --start)<br />
export SSH_AUTH_SOCK<br />
export GNOME_KEYRING_CONTROL<br />
export GPG_AGENT_INFO<br />
fi<br />
<br />
Questo dovrebbe esportare le variabili necessarie per la gestione delle chiavi al vostro prossimo login.<br />
<br />
{{nota|Potrebbe inoltre essere necessario aggiungere un auto-sblocco del portachiavi per il vostra login manager. Ecco un [[LXDM#Unlocking_keyrings_upon_login|esempio]] per LXDM . Ulteriori informazioni su questo argomento li potete trovare in questo [[GNOME_Keyring#Unlock_at_Startup|articolo su Gnome Keyring]].}}<br />
<br />
===Risoluzione dei Problemi ===<br />
<br />
Se trovate alcuni comportamenti inaspettati, ci sono alcuni accorgimenti che si possono fare:<br />
# provare a vedere se lo stesso comportamento persiste con il tema di default<br />
# disattivare tutti i moduli di terze parti eventualmente installati<br />
# fare un backup {{ic|~/.e}} e rimuoverlo (e.s. {{ic|mv ~/.e ~/.e.back}}).<br />
<br />
Se sei sicuro di aver trovato un bug si prega di segnalarlo [http://trac.enlightenment.org/e/report direttamente agli sviluppatori]. <br />
<br />
==== Compositing ====<br />
<br />
Quando la configurazione risulta incasinato e la finestre delle impostazioni non può più essere visualizzata correttamente, la configurazione per il modulo comp può essere resettata dalla combinazione di tasti {{ic|Ctrl + Alt + Shift + Home}}.<br />
<br />
==== Non funziona lo sblocco dello schermo ====<br />
<br />
Se lo sblocco dello schermo non accetta la vostra password aggiungere quanto segue in {{ic|/etc/pam.d/enlightenment}}:<br />
<br />
auth required pam_unix_auth.so<br />
<br />
==== Caratteri illeggibili ====<br />
<br />
Se i caratteri sono troppo piccoli e lo schermo è illeggibile, assicurarsi i seguenti pacchetti font sono installati. {{Pkg|ttf-dejavu}} e {{Pkg|ttf-bitstream-vera}} sono dei validi font.<br />
<br />
==== Impossibile montare le partizioni interne ====<br />
<br />
Controllare che l'utente sia nel gruppo ''storage'':<br />
<br />
{{bc|# groups <user>}}<br />
<br />
Se l'utente non è nel gruppo ''storage'', aggiungerlo:<br />
<br />
{{bc|# groupadd storage <br />
# gpasswd -a <user> storage}}<br />
<br />
Successivamente, come utente root, creare il seguente file:<br />
<br />
{{hc|/etc/polkit-1/localauthority/50-local.d/10-storage-group-mount-override.pkla|<nowiki><br />
<br />
[storage group mount override]<br />
Identity=unix-group:storage<br />
Action=org.freedesktop.udisks2.filesystem-mount-system<br />
ResultAny=yes<br />
ResultInactive=yes<br />
ResultActive=yes<br />
</nowiki>}}<br />
<br />
Per maggiori informazioni, si veda http://bbs.archbang.org/viewtopic.php?id=2720.<br />
<br />
== Enlightenment DR16 ==<br />
<br />
Il primo rilascio di sviluppo di Enlightenment DR16 è avvenuto nel 2000, e la versione 1.0 è stata rilasciata nel 2009. In origine, il nome DR16 si riferiva alla versione 0.16 del progetto Enlightenment. Ora lo si trova semplicemente come "Enlightenment" nei repository di Arch, Si può affermare che è ancora oggi in fase di sviluppo. Regolarmente aggiornata dal suo sviluppatore Kim 'kwo' Woelders comprende l'uso del compositing, ombre e trasparenze. DR16 ha conservato tutta la velocità originale, come quando fu presentato dal suo fondatore Carsten "Rasterman" Haitzler, ma con rifiniture moderne.<br />
<br />
=== Installare E16 ===<br />
<br />
Per installare {{Pkg|enlightenment}}.<br />
<br />
Enlightenment può risultare molto differente dagli altri gestori delle finestre, leggere {{ic|/usr/share/doc/e16/e16.html}} dopo l'installazione per maggiori dettagli.<br />
La pagina manuale è {{ic|man e16}}, non {{ic|man enlightenment}}, ed analizza solo le opzioni di avvio.<br />
<br />
=== Configurazione di base ===<br />
<br />
La maggior parte dei file di configurazione di E DR16 risiede in {{ic|~/.e16}} sotto forma di testo semplice, modificabili a piacimento. Essi includo anche il Menu.<br />
<br />
I tasti di scelta rapida, possono essere modificati manualmente o tramite il programma ''e16keyedit'' reperibile come sorgenti dalla pagina [http://sourceforge.net/projects/enlightenment/ sourceforge] del progetto e16, o installando {{aur|e16keyedit}} da AUR.<br />
<br />
==== Immagini di sfondo ====<br />
<br />
Copiate l'immagine di sondo desiderata in {{ic|~/.e16/backgrounds/}}<br />
<br />
Premendo il tasto centrale del mouse od il tasto destro, in un punto qualsiasi del desktop, accedere al menu delle impostazioni e selezionate {{ic|/Desktop/Backgrounds/}}.<br />
<br />
Ogni nuova immagine sarà copiata nella cartella {{ic|~/.e16/backgrounds/}} che aggiornerà automaticamente automaticamente la lista degli sfondi disponibili. Selezionate lo sfondo desiderato dal menu a discesa. All'interno della scheda appropriata nelle impostazioni globali di E16 è possibile regolare l'affiancamento dell'immagine di sfondo, il riempimento dello schermo e così via.<br />
<br />
====Script di Avvio/Riavvio/Stop ====<br />
<br />
Create una cartella '''Init''' , '''Start''' e '''Stop''' in {{ic|~/.e16}}: qualsiasi script .sh script inserito verrà eseguito all'avvio (se presente nella cartella Init), al riavvio (se presente nella cartella Start), o allo spegnimento (se presente nella cartella Stop); a condizione che siano stati resi eseguibili con il comando {{ic|chmod +x '''yourscript.sh'''}} e abilitati tramite l'apposito menu /settings/session/ <enable scripts> raggiungibile premendo il tasto centrale del mouse. Esempi tipici sono l'inizializzazione di blueman o di un applet per il vostro gestore di rete preferito. <br />
<br />
==== Composite ====<br />
<br />
Ombre ed effetti di trasparenza sono abilitabili nella voce Composite nel menu /Setings, raggiungibile col tasto centrale del mouse o col tasto destro.<br />
<br />
== Link Esterni ==<br />
<br />
* [http://www.enlightenment.org/ Enlightenment Homepage]<br />
* [http://exchange.enlightenment.org/ Enlightenment Exchange]<br />
* [http://trac.enlightenment.org/e/wiki/EFL EFL User Guide]<br />
* [http://www.bodhilinux.com/e17guide/e17guideEN/ Bodhi Guide to Enlightenment]<br />
* [http://www.e17-stuff.org/ E17-Stuff]<br />
* [http://sourceforge.net/projects/enlightenment/ DR16 download resource]<br />
* [https://lists.sourceforge.net/lists/listinfo/enlightenment-users E-Users mail list]<br />
* [https://lists.sourceforge.net/lists/listinfo/enlightenment-devel E-Devs mail list]<br />
* irc://irc.freenode.net#e</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs_(Italiano)&diff=71996ECryptfs (Italiano)2009-07-13T13:35:52Z<p>Leo72: /* Auto-mount al login */</p>
<hr />
<div>=Introduzione=<br />
Questo articolo descrive l'utilizzo di base di [https://launchpad.net/ecryptfs eCryptfs] e guiderà attraverso il processo di creazione di una cartella privata, cifrata e sicura, in ''$HOME'', dove sarà possibile salvare tutti i dati sensibili. Se la domanda è "''Perché dovrei usare la crittografia?''" allora è bene iniziare leggendo l'articolo su [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] che risponde alle domande di base sulla sicurezza.<br />
<br />
A livello di implementazione eCryptfs differisce da dm-crypt: questo fornisce un layer virtuale cifrato su un dispositivo a blocchi, mentre eCryptfs è un filesystem a tutti gli effetti, per l'esattezza un filesystem con [http://en.wikipedia.org/wiki/Cryptographic_filesystems cifratura a livello di filesystem stesso]. Questa [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare tabella] compara i due sistemi.<br />
<br />
In sintesi eCryptfs permette di non doversi preoccupare di pre-allocare spazio su disco per memorizzare i propri file, come ad esempio il dover creare partizioni separate: è possibile montare eCryptfs sopra a qualunque cartella per proteggerla. Sono incluse, ad esempio, l'intera $HOME di un utente oppure filesystem di rete (avendo condivisioni NFS cifrati). Tutti i metadata crittografici sono memorizzati negli header dei file così che i dati cifrati possono essere spostati o salvati per backup e poi recuperati senza problemi. Ci sono altri vantaggi, ma anche degli inconvenienti: eCryptfs non può cifrare intere partizioni per cui non può essere utilizzato per proteggere lo spazio di swap (per far ciò può essere però utilizzato congiuntamente con dm-crypt).<br />
<br />
= Nozioni di base =<br />
eCryptfs fa parte di Linux fin dalla versione 2.6.19, ma per poterlo utilizzare sono richiesti gli strumenti per gestire lo spazio utente: va perciò installato il pacchetto [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] che a sua volta richiede il pacchetto [http://aur.archlinux.org/packages.php?ID=6895 keyutils] (che contiene gli strumenti per gestire le chiavi di cifratura del portachiavi del kernel). Entrambi i pacchetti sono presenti in '''AUR'''.<br />
<br />
Dopo l'installazione di questi pacchetti, potete caricare il modulo ecryptfs e continuare con il setup:<br />
# modprobe ecryptfs<br />
<br />
Il pacchetto ecryptgs-utils è distribuito con alcuni script che aiutano con la gestione della chiave ed altri compiti simili. Alcunu sono stati scritti per automatizzare l'intero processo di setup delle cartelle cifrate (''ecryptfs-setup-private'') o per aiutare a combinare ecryptfs con dm-crypt per proteggere lo spazio di swap (''ecryptfs-setup-swap''). Questa guida però non li utilizzerà descrivendo invece come procedere a livello manuale così da capire per bene come le cose vengono gestite.<br />
<br />
Prima di procedere è bene consultare la documentazione di eCryptfs: questo tool è distribuito infatti con un completo e ben fatto insieme di pagine esplicative.<br />
<br />
== Setup ==<br />
La prima cosa da fare è creare la cartella privata. Nell'esempio che segue è stata chiamata per comodità ''Private'':<br />
<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
(chmod 700 serve ad assegnare i permessi di accesso al solo proprietario).<br />
Adesso eCryptfs può essere montato sopra ad essa con<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
eCryptfs chiederà di rispondere ad alcune domande e di fornire una ''passphrase'', cioè una frase di cifratura che sarà utilizzata per montare la cartella in futuro. E' comunque possibile avere differenti chiavi di cifratura per crittare differenti dati (per ulteriori informazioni si legga più sotto): per comodità questa guida si limiterà ad esaminare il caso di una unica chiave e di una unica ''passphrase''. Ecco un esempio di primo montaggio con ecryptfs:<br />
Key type: passphrase<br />
Passphrase: FraseDiCifraturaCortaEMoltoDebole<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Analizziamo le varie voci:<br />
* La ''passphrase'' è la '''passphrase di montaggio''' che sarà combinata con un ''salt'' (un valore, il più delle volte casuale, che in crittografia viene aggiunto alla chiave per aumentare la robustezza della stessa): del risultato ottenuto verrà calcolato l'hash e quest'ultimo sarà poi inserito nel portachiavi del kernel.<br />
** In ambito eCryptfs, il risultato del precedente passaggio è definito come "chiave di cifratura", o '''fekek'''.<br />
* eCryptfs supporta alcuni cifrari: AES, Blowfish, Twofish... E' possibile informarsi su di essi sulla Wikipedia.<br />
* "''Plaintext passtrough''" permette di salvare nella cartella cifrata file ''non cifrati''.<br />
* La cifratura dei nomi dei file ("''Filename encryption''") è disponibile dal kernel Linux 2.6.29 e permette di rendere illeggibili anche i nomi dei file, non solo il loro contenuto.<br />
** In ambito eCryptfs, la chiave utilizzata per proteggere i nomi dei file è nota come "chiave di cifratura dei nomi dei file" ("''Filename encryption key''"), o '''fnek'''.<br />
* La firma digitale della chiave (o delle chiavi) sarà salvata in /root/.ecryptfs/sig-cache.txt<br />
<br />
Il setup è adesso completato e la cartella risulterà montata. E' ora possibile salvare qualunque dato nella cartella ~/Private, che sarà subito crittografato. Prima di proseguire è bene ispezionare il file '''/etc/mtab''', in particolare la voce relativa ad ecryptfs (l'importanza di ciò sarà trattata a breve).<br />
<br />
Per verificare se il setup è stato correttamente eseguito, basta copiare alcuni file nella cartella privata e poi smontarla: dovrebbero apparire illeggibili, cioè cifrati. Per riportarli alla normalità dobbiamo rieseguire il montaggio della cartella:<br />
<br />
== Montare la cartella ==<br />
Quando si rende necessario accedere ai file protetti basta ripetere la precedente operazione di montaggio utilizzando la stessa ''passphrase'' e le stesse opzioni se si vuole accedere ai file precedentemente cifrati oppure utilizzare una ''passphrase'' differente (e volendo anche opzioni diverse) se per qualche ragione si vuole avere differenti chiavi a protezione di differenti dati (un possibile scenario è quello in cui un'unica cartella è condivisa da più utenti, i quali salvano i propri file utilizzando ognuno la propria chiave).<br />
<br />
In ogni caso il dover ogni volta ripetere questa procedura può risultare alla fine un po' noioso. La prima soluzione è quella di fornire tutte le opzioni al comando ''mount'' (a questo punto entra in gioco il file '''mtab''' che è stato esaminato in precedenza), eccezion fatta per la ''passphrase'', che sarà inserita su richiesta:<br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
La seconda soluzione è quella di inserire nel file '''/etc/fstab''' il punto di montaggio della cartella privata:<br />
<br />
# eCryptfs mount points<br />
/home/''username''/Private /home/''username''/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXXXXXXXXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Alcune precisazioni:<br />
* l'opzione ''user'' è stata inserita per permettere all'utente di poter montare la cartella privata;<br />
* nell'opzione '''ecryptfs_sig''' va sostituito il valore "XXXXXXXXXX" con la firma digitale della propria chiave, ricavabile dal file '''mtab''' (come detto precedentemente) oppure dal file '''sig-cache.txt'''.<br />
<br />
C'è un solo "problema" riguardo a questa soluzione: la ''passphrase''. Quando la cartella privata viene smontata, la chiave viene cancellata dal portachiavi del kernel, per cui per poter eseguire un successivo montaggio bisogna inserirla in detto portachiavi un'altra volta. Per far ciò si può utilizzare una fra le utility '''ecryptfs-add-passphrase''' e '''ecryptfs-manager''' (contenute nel pacchetto ecryptfs-utils), che si appoggiano a loro volta all'utility '''keyctl''' contenuta nel pacchetto ''keyutils'', installato come dipendenza.<br />
<br />
Una volta che la chiave è stata inserita nel portachiavi, si può effettuare il montaggio della cartella:<br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/''username''/Private<br />
<br />
Da notare che questa volta è stata utilizzata l'opzione "'''-i'''", che disattiva il richiamo dell'helper del comando mount. L'uso dell'opzione -i monta la cartella con le seguenti opzioni predefinite: '''nosuid, noexec''' e '''nodev'''. Per avere i file eseguibili all'interno della cartella privata occorre aggiungere l'opzione '''exec''' al punto di montaggio relativo alla cartella privata nel file /etc/fstab.<br />
<br />
== Rimozione dei file e della cartella ==<br />
Se si vuole spostare un file dalla cartella privata ad un'altra cartella, basta muoverlo nella sua nuova destinazione mentre ~/Private risulta montata. <br />
<br />
Per rimuovere la cartella privata, basta accertarsi che risulti smontata e cancellarla, compresi tutti i file in essa contenuti.<br />
<br />
= Auto-mount al login =<br />
eCryptfs ha una interessante caratteristica, sfruttata in alcune distribuzioni: quella di poter effettuare in automatico il montaggio della cartella privata al login dell'utente. Questa funzionalità non è molto documentata perché potrebbe esporre i propri dati personali a potenziali vulnerabilità: l'auto-mount decifra i file al login dell'utente ed essi rimangono accessibili ("in chiaro") fino al successivo logout dell'utente stesso. E' bene quindi utilizzare questa caratteristica solo in determinati casi, ad esempio quando si è certi che il proprio computer non sia accessibile da altri durante l'utilizzo. Risulta però comoda perché non obbliga tutte le volte ad inserire una lunga e complessa ''passphrase'': basta la propria password di login. eCryptfs si interfaccia infatti con PAM ed usa la password di login dell'utente per decifrare la ''passphrase'' che viene utilizzata poi per sbloccare la cartella privata. In questo modo la ''passphrase'' "emerge" solo dopo che l'utente ha eseguito con successo il login. <br />
<br />
Installato ecryptfs-utils, va caricato il modulo ecryptfs nel kernel con<br />
# modprobe ecryptfs<br />
<br />
Il resto del processo sarà eseguito direttamente dallo script '''ecryptfs-setup-private''' (contenuto sempre in ecryptfs-utils), lanciato come utente normale. Questo script esegue diverse operazioni in automatico, tra cui creare le 2 cartelle ''~/Private'' (che conterrà il mount "in chiaro" dei dati cifrati) e ''~/'''.'''Private'' (la cartella nascosta che conterrà i dati cifrati), dopodiché provvederà a richiedere la password di login e la ''passphrase'' utilizzata per la cifratura vera e propria, che sarà cifrata con la prima. Ai fini della sicurezza, è bene che la ''passphrase'' sia lunga e composta da lettere minuscole, maniuscole, numeri, segni di punteggiatura e quant'altro. E' anche possibile lasciare allo script il compito di crearne una semplicemente premendo "invio" alla richiesta di inserimento.<br />
<br />
Infine inserirà la ''passphrase'' nel portachiavi del kernel, in modo che al successivo login essa possa essere recuperata dal portachiavi e decifrata con la chiave di login dell'utente.<br />
<br />
E' doveroso segnalare che ecryptfs-setup-private tenta, alla fine del processo, di eseguire alcune operazioni di test sulla nuova cartella cifrata ma su Arch questa operazione terminerà con un errore, anche se il processo è stato completato correttamente: si tratta solo di un problema nel tentativo di montaggio/smontaggio della cartella cifrata per cui non date peso al messaggio di errore e proseguite tranquillamente.<br />
<br />
A questo punto bisogna editare il file relativo al tipo di login che l'utente effettua quando si collega al sistema: '''/etc/pam.d/gdm''' per Gnome, '''/etc/pam.d/kde''' per KDE o '''/etc/pam.d/login''' per il terminale. Ecco un esempio di modifica:<br />
#%PAM-1.0<br />
auth requisite pam_nologin.so<br />
auth required pam_env.so<br />
auth required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''auth required pam_ecryptfs.so unwrap'''<br />
auth optional pam_gnome_keyring.so<br />
account required pam_unix.so<br />
session required pam_limits.so<br />
session required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''session required pam_ecryptfs.so unwrap'''<br />
session optional pam_gnome_keyring.so auto_start<br />
password required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''password required pam_ecryptfs.so'''<br />
<br />
Le linee da aggiungere sono quelle in grassetto. <br />
<br />
'''Attenzione''': è importante inserirle esattamente nei punti indicati altrimenti il processo di recupero della password non funzionerà in automatico.<br />
<br />
Infine va modificato anche il file '''/etc/rc.conf''' inserendo il modulo ''ecryptfs'' in MODULES, la lista dei moduli da caricare all'avvio.<br />
<br />
Fatto questo, basta chiudere la propria sessione ed eseguire nuovamente il login. Se tutto è stato eseguito correttamente, la cartella ~/Private risulterà accessibile in chiaro come qualunque altra cartella del sistema mentre la cartella ~/.Private, che è il luogo dove materialmente saranno salvati, conterrà gli stessi file ma in forma cifrata.<br />
<br />
= Nozioni avanzate =<br />
Questo articolo ha analizzato le nozioni di base necessarie a creare una cartella cifrata personale. C'è anche un altro articolo sull'uso di eCryptfs con Arch Linux, articolo che tratta della ''cifratura dell'intera cartella $HOME'' e della ''cifratura dello spazio di swap senza compromettere l'ibernazione (sospensione su disco)''. Esso analizza molti altri punti (ad esempio l'utilizzo dei moduli PAM ed il montaggio automatico) e l'autore ha deciso di non replicarlo qui perché non c'è solo un solo modo "giusto" di fare le cose. L'autore propone molte soluzioni e discute delle implicazioni che esse hanno sulla sicurezza, ma esse sono le sue soluzioni e potrebbero non essere le migliori né sono approvate dal progetto eCryptfs in alcun modo.<br />
<br />
E' possibile leggere l'articolo qui: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
L'articolo citato nel precedente paragrafo utilizza un profilo per montare la cartella $HOME. Lo stesso può essere fatto utilizzando '''pam_mount''', con il beneficio che la cartella $HOME viene smontata quando tutte le sessioni vengono chiuse. Dato che eCryptfs necessita dell'opzione -i, le impostazioni di lclmount devono essere modificate aggiungendo al file '''pam_mount.conf.xml''' quanto segue:<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
<br />
Per evitare di sprecare tempo inutilmente ad effettuare l'operazione di recupero della chiave è possibile creare uno script che controlla pmvarrun per vedere il numero di sessioni aperte:<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
<br />
Va anche aggiunta la seguente linea prima del modulo ''unwrap'' nel file '''/etc/pam.d/login''':<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
<br />
Questa modifica deve però essere aggiunta ad ogni file di login contenuto in /etc/pam.d che viene usato (ad esempio /etc/pam.d/kde o /etc.pam.d/gdm).<br />
<br />
[[Category:Security (Italiano)]]<br />
[[Category:File systems (Italiano)]]<br />
[[Category:HOWTOs (Italiano)]]</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs_(Italiano)&diff=69767ECryptfs (Italiano)2009-05-31T22:05:40Z<p>Leo72: </p>
<hr />
<div>=Introduzione=<br />
Questo articolo descrive l'utilizzo di base di [https://launchpad.net/ecryptfs eCryptfs] e guiderà attraverso il processo di creazione di una cartella privata, cifrata e sicura, in ''$HOME'', dove sarà possibile salvare tutti i dati sensibili. Se la domanda è "''Perché dovrei usare la crittografia?''" allora è bene iniziare leggendo l'articolo su [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] che risponde alle domande di base sulla sicurezza.<br />
<br />
A livello di implementazione eCryptfs differisce da dm-crypt: questo fornisce un layer virtuale cifrato su un dispositivo a blocchi, mentre eCryptfs è un filesystem a tutti gli effetti, per l'esattezza un filesystem con [http://en.wikipedia.org/wiki/Cryptographic_filesystems cifratura a livello di filesystem stesso]. Questa [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare tabella] compara i due sistemi.<br />
<br />
In sintesi eCryptfs permette di non doversi preoccupare di pre-allocare spazio su disco per memorizzare i propri file, come ad esempio il dover creare partizioni separate: è possibile montare eCryptfs sopra a qualunque cartella per proteggerla. Sono incluse, ad esempio, l'intera $HOME di un utente oppure filesystem di rete (avendo condivisioni NFS cifrati). Tutti i metadata crittografici sono memorizzati negli header dei file così che i dati cifrati possono essere spostati o salvati per backup e poi recuperati senza problemi. Ci sono altri vantaggi, ma anche degli inconvenienti: eCryptfs non può cifrare intere partizioni per cui non può essere utilizzato per proteggere lo spazio di swap (per far ciò può essere però utilizzato congiuntamente con dm-crypt).<br />
<br />
= Nozioni di base =<br />
eCryptfs fa parte di Linux fin dalla versione 2.6.19, ma per poterlo utilizzare sono richiesti gli strumenti per gestire lo spazio utente: va perciò installato il pacchetto [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] che a sua volta richiede il pacchetto [http://aur.archlinux.org/packages.php?ID=6895 keyutils] (che contiene gli strumenti per gestire le chiavi di cifratura del portachiavi del kernel). Entrambi i pacchetti sono presenti in '''AUR'''.<br />
<br />
Dopo l'installazione di questi pacchetti, potete caricare il modulo ecryptfs e continuare con il setup:<br />
# modprobe ecryptfs<br />
<br />
Il pacchetto ecryptgs-utils è distribuito con alcuni script che aiutano con la gestione della chiave ed altri compiti simili. Alcunu sono stati scritti per automatizzare l'intero processo di setup delle cartelle cifrate (''ecryptfs-setup-private'') o per aiutare a combinare ecryptfs con dm-crypt per proteggere lo spazio di swap (''ecryptfs-setup-swap''). Questa guida però non li utilizzerà descrivendo invece come procedere a livello manuale così da capire per bene come le cose vengono gestite.<br />
<br />
Prima di procedere è bene consultare la documentazione di eCryptfs: questo tool è distribuito infatti con un completo e ben fatto insieme di pagine esplicative.<br />
<br />
== Setup ==<br />
La prima cosa da fare è creare la cartella privata. Nell'esempio che segue è stata chiamata per comodità ''Private'':<br />
<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
(chmod 700 serve ad assegnare i permessi di accesso al solo proprietario).<br />
Adesso eCryptfs può essere montato sopra ad essa con<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
eCryptfs chiederà di rispondere ad alcune domande e di fornire una ''passphrase'', cioè una frase di cifratura che sarà utilizzata per montare la cartella in futuro. E' comunque possibile avere differenti chiavi di cifratura per crittare differenti dati (per ulteriori informazioni si legga più sotto): per comodità questa guida si limiterà ad esaminare il caso di una unica chiave e di una unica ''passphrase''. Ecco un esempio di primo montaggio con ecryptfs:<br />
Key type: passphrase<br />
Passphrase: FraseDiCifraturaCortaEMoltoDebole<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Analizziamo le varie voci:<br />
* La ''passphrase'' è la '''passphrase di montaggio''' che sarà combinata con un ''salt'' (un valore, il più delle volte casuale, che in crittografia viene aggiunto alla chiave per aumentare la robustezza della stessa): del risultato ottenuto verrà calcolato l'hash e quest'ultimo sarà poi inserito nel portachiavi del kernel.<br />
** In ambito eCryptfs, il risultato del precedente passaggio è definito come "chiave di cifratura", o '''fekek'''.<br />
* eCryptfs supporta alcuni cifrari: AES, Blowfish, Twofish... E' possibile informarsi su di essi sulla Wikipedia.<br />
* "''Plaintext passtrough''" permette di salvare nella cartella cifrata file ''non cifrati''.<br />
* La cifratura dei nomi dei file ("''Filename encryption''") è disponibile dal kernel Linux 2.6.29 e permette di rendere illeggibili anche i nomi dei file, non solo il loro contenuto.<br />
** In ambito eCryptfs, la chiave utilizzata per proteggere i nomi dei file è nota come "chiave di cifratura dei nomi dei file" ("''Filename encryption key''"), o '''fnek'''.<br />
* La firma digitale della chiave (o delle chiavi) sarà salvata in /root/.ecryptfs/sig-cache.txt<br />
<br />
Il setup è adesso completato e la cartella risulterà montata. E' ora possibile salvare qualunque dato nella cartella ~/Private, che sarà subito crittografato. Prima di proseguire è bene ispezionare il file '''/etc/mtab''', in particolare la voce relativa ad ecryptfs (l'importanza di ciò sarà trattata a breve).<br />
<br />
Per verificare se il setup è stato correttamente eseguito, basta copiare alcuni file nella cartella privata e poi smontarla: dovrebbero apparire illeggibili, cioè cifrati. Per riportarli alla normalità dobbiamo rieseguire il montaggio della cartella:<br />
<br />
== Montare la cartella ==<br />
Quando si rende necessario accedere ai file protetti basta ripetere la precedente operazione di montaggio utilizzando la stessa ''passphrase'' e le stesse opzioni se si vuole accedere ai file precedentemente cifrati oppure utilizzare una ''passphrase'' differente (e volendo anche opzioni diverse) se per qualche ragione si vuole avere differenti chiavi a protezione di differenti dati (un possibile scenario è quello in cui un'unica cartella è condivisa da più utenti, i quali salvano i propri file utilizzando ognuno la propria chiave).<br />
<br />
In ogni caso il dover ogni volta ripetere questa procedura può risultare alla fine un po' noioso. La prima soluzione è quella di fornire tutte le opzioni al comando ''mount'' (a questo punto entra in gioco il file '''mtab''' che è stato esaminato in precedenza), eccezion fatta per la ''passphrase'', che sarà inserita su richiesta:<br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
La seconda soluzione è quella di inserire nel file '''/etc/fstab''' il punto di montaggio della cartella privata:<br />
<br />
# eCryptfs mount points<br />
/home/''username''/Private /home/''username''/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXXXXXXXXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Alcune precisazioni:<br />
* l'opzione ''user'' è stata inserita per permettere all'utente di poter montare la cartella privata;<br />
* nell'opzione '''ecryptfs_sig''' va sostituito il valore "XXXXXXXXXX" con la firma digitale della propria chiave, ricavabile dal file '''mtab''' (come detto precedentemente) oppure dal file '''sig-cache.txt'''.<br />
<br />
C'è un solo "problema" riguardo a questa soluzione: la ''passphrase''. Quando la cartella privata viene smontata, la chiave viene cancellata dal portachiavi del kernel, per cui per poter eseguire un successivo montaggio bisogna inserirla in detto portachiavi un'altra volta. Per far ciò si può utilizzare una fra le utility '''ecryptfs-add-passphrase''' e '''ecryptfs-manager''' (contenute nel pacchetto ecryptfs-utils), che si appoggiano a loro volta all'utility '''keyctl''' contenuta nel pacchetto ''keyutils'', installato come dipendenza.<br />
<br />
Una volta che la chiave è stata inserita nel portachiavi, si può effettuare il montaggio della cartella:<br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/''username''/Private<br />
<br />
Da notare che questa volta è stata utilizzata l'opzione "'''-i'''", che disattiva il richiamo dell'helper del comando mount. L'uso dell'opzione -i monta la cartella con le seguenti opzioni predefinite: '''nosuid, noexec''' e '''nodev'''. Per avere i file eseguibili all'interno della cartella privata occorre aggiungere l'opzione '''exec''' al punto di montaggio relativo alla cartella privata nel file /etc/fstab.<br />
<br />
== Rimozione dei file e della cartella ==<br />
Se si vuole spostare un file dalla cartella privata ad un'altra cartella, basta muoverlo nella sua nuova destinazione mentre ~/Private risulta montata. <br />
<br />
Per rimuovere la cartella privata, basta accertarsi che risulti smontata e cancellarla, compresi tutti i file in essa contenuti.<br />
<br />
= Auto-mount al login =<br />
eCryptfs ha una interessante caratteristica, sfruttata in alcune distribuzioni: quella di poter effettuare in automatico il montaggio della cartella privata al login dell'utente. Questa funzionalità non è molto documentata perché potrebbe esporre i propri dati personali a potenziali vulnerabilità: l'auto-mount decifra i file al login dell'utente ed essi rimangono accessibili ("in chiaro") fino al successivo logout dell'utente stesso. E' bene quindi utilizzare questa caratteristica solo in determinati casi, ad esempio quando si è certi che il proprio computer non sia accessibile da altri durante l'utilizzo. Risulta però comoda perché non obbliga tutte le volte ad inserire una lunga e complessa ''passphrase'': basta la propria password di login. eCryptfs si interfaccia infatti con PAM ed usa la password dilogin dell'utente per decifrare la ''passphrase'' che viene utilizzata poi per sbloccare la cartella privata. In questo modo la ''passphrase'' "emerge" solo dopo che l'utente ha eseguito con successo il login. <br />
<br />
Installato ecryptfs-utils, va caricato il modulo ecryptfs nel kernel con<br />
# modprobe ecryptfs<br />
<br />
Il resto del processo sarà eseguito direttamente dallo script '''ecryptfs-setup-private''' (contenuto sempre in ecryptfs-utils), lanciato come utente normale. Questo script esegue diverse operazioni in automatico, tra cui creare le 2 cartelle ''~/Private'' (che conterrà il mount "in chiaro" dei dati cifrati) e ''~/'''.'''Private'' (la cartella nascosta che conterrà i dati cifrati), dopodiché provvederà a richiedere la password di login e la ''passphrase'' utilizzata per la cifratura vera e propria, che sarà cifrata con la prima. Ai fini della sicurezza, è bene che la ''passphrase'' sia lunga e composta da lettere minuscole, maniuscole, numeri, segni di punteggiatura e quant'altro. E' anche possibile lasciare allo script il compito di crearne una semplicemente premendo "invio" alla richiesta di inserimento.<br />
<br />
Infine inserirà la ''passphrase'' nel portachiavi del kernel, in modo che al successivo login essa possa essere recuperata dal portachiavi e decifrata con la chiave di login dell'utente.<br />
<br />
E' doveroso segnalare che ecryptfs-setup-private tenta, alla fine del processo, di eseguire alcune operazioni di test sulla nuova cartella cifrata ma su Arch questa operazione terminerà con un errore, anche se il processo è stato completato correttamente: si tratta solo di un problema nel tentativo di montaggio/smontaggio della cartella cifrata.<br />
<br />
A questo punto bisogna editare il file relativo al tipo di login che l'utente effettua quando si collega al sistema: '''/etc/pam.d/gdm''' per Gnome, '''/etc/pam.d/kde''' per KDE o '''/etc/pam.d/login''' per il terminale. Ecco un esempio di modifica:<br />
#%PAM-1.0<br />
auth requisite pam_nologin.so<br />
auth required pam_env.so<br />
auth required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''auth required pam_ecryptfs.so unwrap'''<br />
auth optional pam_gnome_keyring.so<br />
account required pam_unix.so<br />
session required pam_limits.so<br />
session required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''session required pam_ecryptfs.so unwrap'''<br />
session optional pam_gnome_keyring.so auto_start<br />
password required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''password required pam_ecryptfs.so[/code]'''<br />
<br />
Le linee da aggiungere sono quelle in grassetto. '''Attenzione''': è importante inserirle esattamente nei punti indicati altrimenti il processo di recupero della password non funzionerà in automatico.<br />
<br />
Infine va modificato anche il file '''/etc/rc.conf''' inserendo il modulo ''ecryptfs'' nella lista dei moduli da caricare all'avvio contenuta in MODULES. <br />
<br />
Fatto questo, basta chiudere la propria sessione ed eseguire nuovamente il login. Se tutto è stato eseguito correttamente, la cartella ~/Private risulterà accessibile in chiaro come qualunque altra cartella del sistema mentre la cartella ~/.Private, che è il luogo dove materialmente saranno salvati, conterrà gli stessi file ma in forma cifrata. <br />
<br />
= Nozioni avanzate =<br />
Questo articolo ha analizzato le nozioni di base necessarie a creare una cartella cifrata personale. C'è anche un altro articolo sull'uso di eCryptfs con Arch Linux, articolo che tratta della ''cifratura dell'intera cartella $HOME'' e della ''cifratura dello spazio di swap senza compromettere l'ibernazione (sospensione su disco)''. Esso analizza molti altri punti (ad esempio l'utilizzo dei moduli PAM ed il montaggio automatico) e l'autore ha deciso di non replicarlo qui perché non c'è solo un solo modo "giusto" di fare le cose. L'autore propone molte soluzioni e discute delle implicazioni che esse hanno sulla sicurezza, ma esse sono le sue soluzioni e potrebbero non essere le migliori né sono approvate dal progetto eCryptfs in alcun modo.<br />
<br />
E' possibile leggere l'articolo qui: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
L'articolo citato nel precedente paragrafo utilizza un profilo per montare la cartella $HOME. Lo stesso può essere fatto utilizzando '''pam_mount''', con il beneficio che la cartella $HOME viene smontata quando tutte le sessioni vengono chiuse. Dato che eCryptfs necessita dell'opzione -i, le impostazioni di lclmount devono essere modificate aggiungendo al file '''pam_mount.conf.xml''' quanto segue:<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
<br />
Per evitare di sprecare tempo inutilmente ad effettuare l'operazione di recupero della chiave è possibile creare uno script che controlla pmvarrun per vedere il numero di sessioni aperte:<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
<br />
Va anche aggiunta la seguente linea prima del modulo ''unwrap'' nel file '''/etc/pam.d/login''':<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
<br />
Questa modifica deve però essere aggiunta ad ogni file di login contenuto in /etc/pam.d che viene usato (ad esempio /etc/pam.d/kde o /etc.pam.d/gdm).<br />
<br />
[[Category:Security (Italiano)]]<br />
[[Category:File systems (Italiano)]]<br />
[[Category:HOWTOs (Italiano)]]</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs_(Italiano)&diff=69766ECryptfs (Italiano)2009-05-31T22:05:24Z<p>Leo72: </p>
<hr />
<div>{{translateme}}<br />
=Introduzione=<br />
Questo articolo descrive l'utilizzo di base di [https://launchpad.net/ecryptfs eCryptfs] e guiderà attraverso il processo di creazione di una cartella privata, cifrata e sicura, in ''$HOME'', dove sarà possibile salvare tutti i dati sensibili. Se la domanda è "''Perché dovrei usare la crittografia?''" allora è bene iniziare leggendo l'articolo su [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] che risponde alle domande di base sulla sicurezza.<br />
<br />
A livello di implementazione eCryptfs differisce da dm-crypt: questo fornisce un layer virtuale cifrato su un dispositivo a blocchi, mentre eCryptfs è un filesystem a tutti gli effetti, per l'esattezza un filesystem con [http://en.wikipedia.org/wiki/Cryptographic_filesystems cifratura a livello di filesystem stesso]. Questa [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare tabella] compara i due sistemi.<br />
<br />
In sintesi eCryptfs permette di non doversi preoccupare di pre-allocare spazio su disco per memorizzare i propri file, come ad esempio il dover creare partizioni separate: è possibile montare eCryptfs sopra a qualunque cartella per proteggerla. Sono incluse, ad esempio, l'intera $HOME di un utente oppure filesystem di rete (avendo condivisioni NFS cifrati). Tutti i metadata crittografici sono memorizzati negli header dei file così che i dati cifrati possono essere spostati o salvati per backup e poi recuperati senza problemi. Ci sono altri vantaggi, ma anche degli inconvenienti: eCryptfs non può cifrare intere partizioni per cui non può essere utilizzato per proteggere lo spazio di swap (per far ciò può essere però utilizzato congiuntamente con dm-crypt).<br />
<br />
= Nozioni di base =<br />
eCryptfs fa parte di Linux fin dalla versione 2.6.19, ma per poterlo utilizzare sono richiesti gli strumenti per gestire lo spazio utente: va perciò installato il pacchetto [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] che a sua volta richiede il pacchetto [http://aur.archlinux.org/packages.php?ID=6895 keyutils] (che contiene gli strumenti per gestire le chiavi di cifratura del portachiavi del kernel). Entrambi i pacchetti sono presenti in '''AUR'''.<br />
<br />
Dopo l'installazione di questi pacchetti, potete caricare il modulo ecryptfs e continuare con il setup:<br />
# modprobe ecryptfs<br />
<br />
Il pacchetto ecryptgs-utils è distribuito con alcuni script che aiutano con la gestione della chiave ed altri compiti simili. Alcunu sono stati scritti per automatizzare l'intero processo di setup delle cartelle cifrate (''ecryptfs-setup-private'') o per aiutare a combinare ecryptfs con dm-crypt per proteggere lo spazio di swap (''ecryptfs-setup-swap''). Questa guida però non li utilizzerà descrivendo invece come procedere a livello manuale così da capire per bene come le cose vengono gestite.<br />
<br />
Prima di procedere è bene consultare la documentazione di eCryptfs: questo tool è distribuito infatti con un completo e ben fatto insieme di pagine esplicative.<br />
<br />
== Setup ==<br />
La prima cosa da fare è creare la cartella privata. Nell'esempio che segue è stata chiamata per comodità ''Private'':<br />
<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
(chmod 700 serve ad assegnare i permessi di accesso al solo proprietario).<br />
Adesso eCryptfs può essere montato sopra ad essa con<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
eCryptfs chiederà di rispondere ad alcune domande e di fornire una ''passphrase'', cioè una frase di cifratura che sarà utilizzata per montare la cartella in futuro. E' comunque possibile avere differenti chiavi di cifratura per crittare differenti dati (per ulteriori informazioni si legga più sotto): per comodità questa guida si limiterà ad esaminare il caso di una unica chiave e di una unica ''passphrase''. Ecco un esempio di primo montaggio con ecryptfs:<br />
Key type: passphrase<br />
Passphrase: FraseDiCifraturaCortaEMoltoDebole<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Analizziamo le varie voci:<br />
* La ''passphrase'' è la '''passphrase di montaggio''' che sarà combinata con un ''salt'' (un valore, il più delle volte casuale, che in crittografia viene aggiunto alla chiave per aumentare la robustezza della stessa): del risultato ottenuto verrà calcolato l'hash e quest'ultimo sarà poi inserito nel portachiavi del kernel.<br />
** In ambito eCryptfs, il risultato del precedente passaggio è definito come "chiave di cifratura", o '''fekek'''.<br />
* eCryptfs supporta alcuni cifrari: AES, Blowfish, Twofish... E' possibile informarsi su di essi sulla Wikipedia.<br />
* "''Plaintext passtrough''" permette di salvare nella cartella cifrata file ''non cifrati''.<br />
* La cifratura dei nomi dei file ("''Filename encryption''") è disponibile dal kernel Linux 2.6.29 e permette di rendere illeggibili anche i nomi dei file, non solo il loro contenuto.<br />
** In ambito eCryptfs, la chiave utilizzata per proteggere i nomi dei file è nota come "chiave di cifratura dei nomi dei file" ("''Filename encryption key''"), o '''fnek'''.<br />
* La firma digitale della chiave (o delle chiavi) sarà salvata in /root/.ecryptfs/sig-cache.txt<br />
<br />
Il setup è adesso completato e la cartella risulterà montata. E' ora possibile salvare qualunque dato nella cartella ~/Private, che sarà subito crittografato. Prima di proseguire è bene ispezionare il file '''/etc/mtab''', in particolare la voce relativa ad ecryptfs (l'importanza di ciò sarà trattata a breve).<br />
<br />
Per verificare se il setup è stato correttamente eseguito, basta copiare alcuni file nella cartella privata e poi smontarla: dovrebbero apparire illeggibili, cioè cifrati. Per riportarli alla normalità dobbiamo rieseguire il montaggio della cartella:<br />
<br />
== Montare la cartella ==<br />
Quando si rende necessario accedere ai file protetti basta ripetere la precedente operazione di montaggio utilizzando la stessa ''passphrase'' e le stesse opzioni se si vuole accedere ai file precedentemente cifrati oppure utilizzare una ''passphrase'' differente (e volendo anche opzioni diverse) se per qualche ragione si vuole avere differenti chiavi a protezione di differenti dati (un possibile scenario è quello in cui un'unica cartella è condivisa da più utenti, i quali salvano i propri file utilizzando ognuno la propria chiave).<br />
<br />
In ogni caso il dover ogni volta ripetere questa procedura può risultare alla fine un po' noioso. La prima soluzione è quella di fornire tutte le opzioni al comando ''mount'' (a questo punto entra in gioco il file '''mtab''' che è stato esaminato in precedenza), eccezion fatta per la ''passphrase'', che sarà inserita su richiesta:<br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
La seconda soluzione è quella di inserire nel file '''/etc/fstab''' il punto di montaggio della cartella privata:<br />
<br />
# eCryptfs mount points<br />
/home/''username''/Private /home/''username''/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXXXXXXXXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Alcune precisazioni:<br />
* l'opzione ''user'' è stata inserita per permettere all'utente di poter montare la cartella privata;<br />
* nell'opzione '''ecryptfs_sig''' va sostituito il valore "XXXXXXXXXX" con la firma digitale della propria chiave, ricavabile dal file '''mtab''' (come detto precedentemente) oppure dal file '''sig-cache.txt'''.<br />
<br />
C'è un solo "problema" riguardo a questa soluzione: la ''passphrase''. Quando la cartella privata viene smontata, la chiave viene cancellata dal portachiavi del kernel, per cui per poter eseguire un successivo montaggio bisogna inserirla in detto portachiavi un'altra volta. Per far ciò si può utilizzare una fra le utility '''ecryptfs-add-passphrase''' e '''ecryptfs-manager''' (contenute nel pacchetto ecryptfs-utils), che si appoggiano a loro volta all'utility '''keyctl''' contenuta nel pacchetto ''keyutils'', installato come dipendenza.<br />
<br />
Una volta che la chiave è stata inserita nel portachiavi, si può effettuare il montaggio della cartella:<br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/''username''/Private<br />
<br />
Da notare che questa volta è stata utilizzata l'opzione "'''-i'''", che disattiva il richiamo dell'helper del comando mount. L'uso dell'opzione -i monta la cartella con le seguenti opzioni predefinite: '''nosuid, noexec''' e '''nodev'''. Per avere i file eseguibili all'interno della cartella privata occorre aggiungere l'opzione '''exec''' al punto di montaggio relativo alla cartella privata nel file /etc/fstab.<br />
<br />
== Rimozione dei file e della cartella ==<br />
Se si vuole spostare un file dalla cartella privata ad un'altra cartella, basta muoverlo nella sua nuova destinazione mentre ~/Private risulta montata. <br />
<br />
Per rimuovere la cartella privata, basta accertarsi che risulti smontata e cancellarla, compresi tutti i file in essa contenuti.<br />
<br />
= Auto-mount al login =<br />
eCryptfs ha una interessante caratteristica, sfruttata in alcune distribuzioni: quella di poter effettuare in automatico il montaggio della cartella privata al login dell'utente. Questa funzionalità non è molto documentata perché potrebbe esporre i propri dati personali a potenziali vulnerabilità: l'auto-mount decifra i file al login dell'utente ed essi rimangono accessibili ("in chiaro") fino al successivo logout dell'utente stesso. E' bene quindi utilizzare questa caratteristica solo in determinati casi, ad esempio quando si è certi che il proprio computer non sia accessibile da altri durante l'utilizzo. Risulta però comoda perché non obbliga tutte le volte ad inserire una lunga e complessa ''passphrase'': basta la propria password di login. eCryptfs si interfaccia infatti con PAM ed usa la password dilogin dell'utente per decifrare la ''passphrase'' che viene utilizzata poi per sbloccare la cartella privata. In questo modo la ''passphrase'' "emerge" solo dopo che l'utente ha eseguito con successo il login. <br />
<br />
Installato ecryptfs-utils, va caricato il modulo ecryptfs nel kernel con<br />
# modprobe ecryptfs<br />
<br />
Il resto del processo sarà eseguito direttamente dallo script '''ecryptfs-setup-private''' (contenuto sempre in ecryptfs-utils), lanciato come utente normale. Questo script esegue diverse operazioni in automatico, tra cui creare le 2 cartelle ''~/Private'' (che conterrà il mount "in chiaro" dei dati cifrati) e ''~/'''.'''Private'' (la cartella nascosta che conterrà i dati cifrati), dopodiché provvederà a richiedere la password di login e la ''passphrase'' utilizzata per la cifratura vera e propria, che sarà cifrata con la prima. Ai fini della sicurezza, è bene che la ''passphrase'' sia lunga e composta da lettere minuscole, maniuscole, numeri, segni di punteggiatura e quant'altro. E' anche possibile lasciare allo script il compito di crearne una semplicemente premendo "invio" alla richiesta di inserimento.<br />
<br />
Infine inserirà la ''passphrase'' nel portachiavi del kernel, in modo che al successivo login essa possa essere recuperata dal portachiavi e decifrata con la chiave di login dell'utente.<br />
<br />
E' doveroso segnalare che ecryptfs-setup-private tenta, alla fine del processo, di eseguire alcune operazioni di test sulla nuova cartella cifrata ma su Arch questa operazione terminerà con un errore, anche se il processo è stato completato correttamente: si tratta solo di un problema nel tentativo di montaggio/smontaggio della cartella cifrata.<br />
<br />
A questo punto bisogna editare il file relativo al tipo di login che l'utente effettua quando si collega al sistema: '''/etc/pam.d/gdm''' per Gnome, '''/etc/pam.d/kde''' per KDE o '''/etc/pam.d/login''' per il terminale. Ecco un esempio di modifica:<br />
#%PAM-1.0<br />
auth requisite pam_nologin.so<br />
auth required pam_env.so<br />
auth required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''auth required pam_ecryptfs.so unwrap'''<br />
auth optional pam_gnome_keyring.so<br />
account required pam_unix.so<br />
session required pam_limits.so<br />
session required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''session required pam_ecryptfs.so unwrap'''<br />
session optional pam_gnome_keyring.so auto_start<br />
password required pam_unix.so<br />
#la linea seguente è stata aggiunta<br />
'''password required pam_ecryptfs.so[/code]'''<br />
<br />
Le linee da aggiungere sono quelle in grassetto. '''Attenzione''': è importante inserirle esattamente nei punti indicati altrimenti il processo di recupero della password non funzionerà in automatico.<br />
<br />
Infine va modificato anche il file '''/etc/rc.conf''' inserendo il modulo ''ecryptfs'' nella lista dei moduli da caricare all'avvio contenuta in MODULES. <br />
<br />
Fatto questo, basta chiudere la propria sessione ed eseguire nuovamente il login. Se tutto è stato eseguito correttamente, la cartella ~/Private risulterà accessibile in chiaro come qualunque altra cartella del sistema mentre la cartella ~/.Private, che è il luogo dove materialmente saranno salvati, conterrà gli stessi file ma in forma cifrata. <br />
<br />
= Nozioni avanzate =<br />
Questo articolo ha analizzato le nozioni di base necessarie a creare una cartella cifrata personale. C'è anche un altro articolo sull'uso di eCryptfs con Arch Linux, articolo che tratta della ''cifratura dell'intera cartella $HOME'' e della ''cifratura dello spazio di swap senza compromettere l'ibernazione (sospensione su disco)''. Esso analizza molti altri punti (ad esempio l'utilizzo dei moduli PAM ed il montaggio automatico) e l'autore ha deciso di non replicarlo qui perché non c'è solo un solo modo "giusto" di fare le cose. L'autore propone molte soluzioni e discute delle implicazioni che esse hanno sulla sicurezza, ma esse sono le sue soluzioni e potrebbero non essere le migliori né sono approvate dal progetto eCryptfs in alcun modo.<br />
<br />
E' possibile leggere l'articolo qui: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
L'articolo citato nel precedente paragrafo utilizza un profilo per montare la cartella $HOME. Lo stesso può essere fatto utilizzando '''pam_mount''', con il beneficio che la cartella $HOME viene smontata quando tutte le sessioni vengono chiuse. Dato che eCryptfs necessita dell'opzione -i, le impostazioni di lclmount devono essere modificate aggiungendo al file '''pam_mount.conf.xml''' quanto segue:<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
<br />
Per evitare di sprecare tempo inutilmente ad effettuare l'operazione di recupero della chiave è possibile creare uno script che controlla pmvarrun per vedere il numero di sessioni aperte:<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
<br />
Va anche aggiunta la seguente linea prima del modulo ''unwrap'' nel file '''/etc/pam.d/login''':<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
<br />
Questa modifica deve però essere aggiunta ad ogni file di login contenuto in /etc/pam.d che viene usato (ad esempio /etc/pam.d/kde o /etc.pam.d/gdm).<br />
<br />
[[Category:Security (Italiano)]]<br />
[[Category:File systems (Italiano)]]<br />
[[Category:HOWTOs (Italiano)]]</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs_(Italiano)&diff=69765ECryptfs (Italiano)2009-05-31T21:24:10Z<p>Leo72: </p>
<hr />
<div>{{translateme}}<br />
=Introduzione=<br />
Questo articolo descrive l'utilizzo di base di [https://launchpad.net/ecryptfs eCryptfs] e guiderà attraverso il processo di creazione di una cartella privata, cifrata e sicura, in ''$HOME'', dove sarà possibile salvare tutti i dati sensibili. Se la domanda è "''Perché dovrei usare la crittografia?''" allora è bene iniziare leggendo l'articolo su [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] che risponde alle domande di base sulla sicurezza.<br />
<br />
A livello di implementazione eCryptfs differisce da dm-crypt: questo fornisce un layer virtuale cifrato su un dispositivo a blocchi, mentre eCryptfs è un filesystem a tutti gli effetti, per l'esattezza un filesystem con [http://en.wikipedia.org/wiki/Cryptographic_filesystems cifratura a livello di filesystem stesso]. Questa [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare tabella] compara i due sistemi.<br />
<br />
In sintesi eCryptfs permette di non doversi preoccupare di pre-allocare spazio su disco per memorizzare i propri file, come ad esempio il dover creare partizioni separate: è possibile montare eCryptfs sopra a qualunque cartella per proteggerla. Sono incluse, ad esempio, l'intera $HOME di un utente oppure filesystem di rete (avendo condivisioni NFS cifrati). Tutti i metadata crittografici sono memorizzati negli header dei file così che i dati cifrati possono essere spostati o salvati per backup e poi recuperati senza problemi. Ci sono altri vantaggi, ma anche degli inconvenienti: eCryptfs non può cifrare intere partizioni per cui non può essere utilizzato per proteggere lo spazio di swap (per far ciò può essere però utilizzato congiuntamente con dm-crypt).<br />
<br />
= Nozioni di base =<br />
eCryptfs fa parte di Linux fin dalla versione 2.6.19, ma per poterlo utilizzare sono richiesti gli strumenti per gestire lo spazio utente: va perciò installato il pacchetto [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] che a sua volta richiede il pacchetto [http://aur.archlinux.org/packages.php?ID=6895 keyutils] (che contiene gli strumenti per gestire le chiavi di cifratura del portachiavi del kernel). Entrambi i pacchetti sono presenti in '''AUR'''.<br />
<br />
Dopo l'installazione di questi pacchetti, potete caricare il modulo ecryptfs e continuare con il setup:<br />
# modprobe ecryptfs<br />
<br />
Il pacchetto ecryptgs-utils è distribuito con alcuni script che aiutano con la gestione della chiave ed altri compiti simili. Alcunu sono stati scritti per automatizzare l'intero processo di setup delle cartelle cifrate (''ecryptfs-setup-private'') o per aiutare a combinare ecryptfs con dm-crypt per proteggere lo spazio di swap (''ecryptfs-setup-swap''). Questa guida però non li utilizzerà descrivendo invece come procedere a livello manuale così da capire per bene come le cose vengono gestite.<br />
<br />
Prima di procedere è bene consultare la documentazione di eCryptfs: questo tool è distribuito infatti con un completo e ben fatto insieme di pagine esplicative.<br />
<br />
== Setup ==<br />
La prima cosa da fare è creare la cartella privata. Nell'esempio che segue è stata chiamata per comodità ''Private'':<br />
<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
(chmod 700 serve ad assegnare i permessi di accesso al solo proprietario).<br />
Adesso eCryptfs può essere montato sopra ad essa con<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
eCryptfs chiederà di rispondere ad alcune domande e di fornire una ''passphrase'', cioè una frase di cifratura che sarà utilizzata per montare la cartella in futuro. E' comunque possibile avere differenti chiavi di cifratura per crittare differenti dati (per ulteriori informazioni si legga più sotto): per comodità questa guida si limiterà ad esaminare il caso di una unica chiave e di una unica ''passphrase''. Ecco un esempio di primo montaggio con ecryptfs:<br />
Key type: passphrase<br />
Passphrase: FraseDiCifraturaCortaEMoltoDebole<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Analizziamo le varie voci:<br />
* La ''passphrase'' è la '''passphrase di montaggio''' che sarà combinata con un ''salt'' (un valore, il più delle volte casuale, che in crittografia viene aggiunto alla chiave per aumentare la robustezza della stessa): del risultato ottenuto verrà calcolato l'hash e quest'ultimo sarà poi inserito nel portachiavi del kernel.<br />
** In ambito eCryptfs, il risultato del precedente passaggio è definito come "chiave di cifratura", o '''fekek'''.<br />
* eCryptfs supporta alcuni cifrari: AES, Blowfish, Twofish... E' possibile informarsi su di essi sulla Wikipedia.<br />
* "''Plaintext passtrough''" permette di salvare nella cartella cifrata file ''non cifrati''.<br />
* La cifratura dei nomi dei file ("''Filename encryption''") è disponibile dal kernel Linux 2.6.29 e permette di rendere illeggibili anche i nomi dei file, non solo il loro contenuto.<br />
** In ambito eCryptfs, la chiave utilizzata per proteggere i nomi dei file è nota come "chiave di cifratura dei nomi dei file" ("''Filename encryption key''"), o '''fnek'''.<br />
* La firma digitale della chiave (o delle chiavi) sarà salvata in /root/.ecryptfs/sig-cache.txt<br />
<br />
Il setup è adesso completato e la cartella risulterà montata. E' ora possibile salvare qualunque dato nella cartella ~/Private, che sarà subito crittografato. Prima di proseguire è bene ispezionare il file '''/etc/mtab''', in particolare la voce relativa ad ecryptfs (l'importanza di ciò sarà trattata a breve).<br />
<br />
Per verificare se il setup è stato correttamente eseguito, basta copiare alcuni file nella cartella privata e poi smontarla: dovrebbero apparire illeggibili, cioè cifrati. Per riportarli alla normalità dobbiamo rieseguire il montaggio della cartella:<br />
<br />
== Montare la cartella ==<br />
Quando si rende necessario accedere ai file protetti basta ripetere la precedente operazione di montaggio utilizzando la stessa ''passphrase'' e le stesse opzioni se si vuole accedere ai file precedentemente cifrati oppure utilizzare una ''passphrase'' differente (e volendo anche opzioni diverse) se per qualche ragione si vuole avere differenti chiavi a protezione di differenti dati (un possibile scenario è quello in cui un'unica cartella è condivisa da più utenti, i quali salvano i propri file utilizzando ognuno la propria chiave).<br />
<br />
In ogni caso il dover ogni volta ripetere questa procedura può risultare alla fine un po' noioso. La prima soluzione è quella di fornire tutte le opzioni al comando ''mount'' (a questo punto entra in gioco il file '''mtab''' che è stato esaminato in precedenza), eccezion fatta per la ''passphrase'', che sarà inserita su richiesta:<br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
La seconda soluzione è quella di inserire nel file '''/etc/fstab''' il punto di montaggio della cartella privata:<br />
<br />
# eCryptfs mount points<br />
/home/''username''/Private /home/''username''/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXXXXXXXXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Alcune precisazioni:<br />
* l'opzione ''user'' è stata inserita per permettere all'utente di poter montare la cartella privata;<br />
* nell'opzione '''ecryptfs_sig''' va sostituito il valore "XXXXXXXXXX" con la firma digitale della propria chiave, ricavabile dal file '''mtab''' (come detto precedentemente) oppure dal file '''sig-cache.txt'''.<br />
<br />
C'è un solo "problema" riguardo a questa soluzione: la ''passphrase''. Quando la cartella privata viene smontata, la chiave viene cancellata dal portachiavi del kernel, per cui per poter eseguire un successivo montaggio bisogna inserirla in detto portachiavi un'altra volta. Per far ciò si può utilizzare una fra le utility '''ecryptfs-add-passphrase''' e '''ecryptfs-manager''' (contenute nel pacchetto ecryptfs-utils), che si appoggiano a loro volta all'utility '''keyctl''' contenuta nel pacchetto ''keyutils'', installato come dipendenza.<br />
<br />
Una volta che la chiave è stata inserita nel portachiavi, si può effettuare il montaggio della cartella:<br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/''username''/Private<br />
<br />
Da notare che questa volta è stata utilizzata l'opzione "'''-i'''", che disattiva il richiamo dell'helper del comando mount. L'uso dell'opzione -i monta la cartella con le seguenti opzioni predefinite: '''nosuid, noexec''' e '''nodev'''. Per avere i file eseguibili all'interno della cartella privata occorre aggiungere l'opzione '''exec''' al punto di montaggio relativo alla cartella privata nel file /etc/fstab.<br />
<br />
== Rimozione dei file e della cartella ==<br />
Se si vuole spostare un file dalla cartella privata ad un'altra cartella, basta muoverlo nella sua nuova destinazione mentre ~/Private risulta montata. <br />
<br />
Per rimuovere la cartella privata, basta accertarsi che risulti smontata e cancellarla, compresi tutti i file in essa contenuti.<br />
<br />
= Nozioni avanzate =<br />
Questo articolo ha analizzato le nozioni di base necessarie a creare una cartella cifrata personale. C'è anche un altro articolo sull'uso di eCryptfs con Arch Linux, articolo che tratta della ''cifratura dell'intera cartella $HOME'' e della ''cifratura dello spazio di swap senza compromettere l'ibernazione (sospensione su disco)''. Esso analizza molti altri punti (ad esempio l'utilizzo dei moduli PAM ed il montaggio automatico) e l'autore ha deciso di non replicarlo qui perché non c'è solo un solo modo "giusto" di fare le cose. L'autore propone molte soluzioni e discute delle implicazioni che esse hanno sulla sicurezza, ma esse sono le sue soluzioni e potrebbero non essere le migliori né sono approvate dal progetto eCryptfs in alcun modo.<br />
<br />
E' possibile leggere l'articolo qui: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
L'articolo citato nel precedente paragrafo utilizza un profilo per montare la cartella $HOME. Lo stesso può essere fatto utilizzando '''pam_mount''', con il beneficio che la cartella $HOME viene smontata quando tutte le sessioni vengono chiuse. Dato che eCryptfs necessita dell'opzione -i, le impostazioni di lclmount devono essere modificate aggiungendo al file '''pam_mount.conf.xml''' quanto segue:<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
<br />
Per evitare di sprecare tempo inutilmente ad effettuare l'operazione di recupero della chiave è possibile creare uno script che controlla pmvarrun per vedere il numero di sessioni aperte:<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
<br />
Va anche aggiunta la seguente linea prima del modulo ''unwrap'' nel file '''/etc/pam.d/login''':<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
<br />
Questa modifica deve però essere aggiunta ad ogni file di login contenuto in /etc/pam.d che viene usato (ad esempio /etc/pam.d/kde o /etc.pam.d/gdm).<br />
<br />
[[Category:Security (Italiano)]]<br />
[[Category:File systems (Italiano)]]<br />
[[Category:HOWTOs (Italiano)]]</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs_(Italiano)&diff=69763ECryptfs (Italiano)2009-05-31T20:59:04Z<p>Leo72: </p>
<hr />
<div>{{translateme}}<br />
=Introduzione=<br />
Questo articolo descrive l'utilizzo di base di [https://launchpad.net/ecryptfs eCryptfs] e guiderà attraverso il processo di creazione di una cartella privata, cifrata e sicura, in ''$HOME'', dove sarà possibile salvare tutti i dati sensibili. Se la domanda è "''Perché dovrei usare la crittografia?''" allora è bene iniziare leggendo l'articolo su [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] che risponde alle domande di base sulla sicurezza.<br />
<br />
A livello di implementazione eCryptfs differisce da dm-crypt: questo fornisce un layer virtuale cifrato su un dispositivo a blocchi, mentre eCryptfs è un filesystem a tutti gli effetti, per l'esattezza un filesystem con [http://en.wikipedia.org/wiki/Cryptographic_filesystems cifratura a livello di filesystem stesso]. Questa [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare tabella] compara i due sistemi.<br />
<br />
In sintesi eCryptfs permette di non doversi preoccupare di pre-allocare spazio su disco per memorizzare i propri file, come ad esempio il dover creare partizioni separate: è possibile montare eCryptfs sopra a qualunque cartella per proteggerla. Sono incluse, ad esempio, l'intera $HOME di un utente oppure filesystem di rete (avendo condivisioni NFS cifrati). Tutti i metadata crittografici sono memorizzati negli header dei file così che i dati cifrati possono essere spostati o salvati per backup e poi recuperati senza problemi. Ci sono altri vantaggi, ma anche degli inconvenienti: eCryptfs non può cifrare intere partizioni per cui non può essere utilizzato per proteggere lo spazio di swap (per far ciò può essere però utilizzato congiuntamente con dm-crypt).<br />
<br />
= Nozioni di base =<br />
eCryptfs fa parte di Linux fin dalla versione 2.6.19, ma per poterlo utilizzare sono richiesti gli strumenti per gestire lo spazio utente: va perciò installato il pacchetto [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] che a sua volta richiede il pacchetto [http://aur.archlinux.org/packages.php?ID=6895 keyutils] (che contiene gli strumenti per gestire le chiavi di cifratura del portachiavi del kernel). Entrambi i pacchetti sono presenti in '''AUR'''.<br />
<br />
Dopo l'installazione di questi pacchetti, potete caricare il modulo ecryptfs e continuare con il setup:<br />
# modprobe ecryptfs<br />
<br />
Il pacchetto ecryptgs-utils è distribuito con alcuni script che aiutano con la gestione della chiave ed altri compiti simili. Alcunu sono stati scritti per automatizzare l'intero processo di setup delle cartelle cifrate (''ecryptfs-setup-private'') o per aiutare a combinare ecryptfs con dm-crypt per proteggere lo spazio di swap (''ecryptfs-setup-swap''). Questa guida però non li utilizzerà descrivendo invece come procedere a livello manuale così da capire per bene come le cose vengono gestite.<br />
<br />
Prima di procedere è bene consultare la documentazione di eCryptfs: questo tool è distribuito infatti con un completo e ben fatto insieme di pagine esplicative.<br />
<br />
== Setup ==<br />
La prima cosa da fare è creare la cartella privata. Nell'esempio che segue è stata chiamata per comodità ''Private'':<br />
<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
(chmod 700 serve ad assegnare i permessi di accesso al solo proprietario).<br />
Adesso eCryptfs può essere montato sopra ad essa con<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
eCryptfs chiederà di rispondere ad alcune domande e di fornire una ''passphrase'', cioè una frase di cifratura che sarà utilizzata per montare la cartella in futuro. E' comunque possibile avere differenti chiavi di cifratura per crittare differenti dati (per ulteriori informazioni si legga più sotto): per comodità questa guida si limiterà ad esaminare il caso di una unica chiave e di una unica ''passphrase''. Ecco un esempio di primo montaggio con ecryptfs:<br />
Key type: passphrase<br />
Passphrase: FraseDiCifraturaCortaEMoltoDebole<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Analizziamo le varie voci:<br />
* La ''passphrase'' è la '''passphrase di montaggio''' che sarà combinata con un ''salt'' (un valore, il più delle volte casuale, che in crittografia viene aggiunto alla chiave per aumentare la robustezza della stessa): del risultato ottenuto verrà calcolato l'hash e quest'ultimo sarà poi inserito nel portachiavi del kernel.<br />
** In ambito eCryptfs, il risultato del precedente passaggio è definito come "chiave di cifratura", o '''fekek'''.<br />
* eCryptfs supporta alcuni cifrari: AES, Blowfish, Twofish... E' possibile informarsi su di essi sulla Wikipedia.<br />
* "''Plaintext passtrough''" permette di salvare nella cartella cifrata file ''non cifrati''.<br />
* La cifratura dei nomi dei file ("''Filename encryption''") è disponibile dal kernel Linux 2.6.29 e permette di rendere illeggibili anche i nomi dei file, non solo il loro contenuto.<br />
** In ambito eCryptfs, la chiave utilizzata per proteggere i nomi dei file è nota come "chiave di cifratura dei nomi dei file" ("''Filename encryption key''"), o '''fnek'''.<br />
* La firma digitale della chiave (o delle chiavi) sarà salvata in /root/.ecryptfs/sig-cache.txt<br />
<br />
Il setup è adesso completato e la cartella risulterà montata. E' ora possibile salvare qualunque dato nella cartella ~/Private, che sarà subito crittografato. Prima di proseguire è bene ispezionare il file '''/etc/mtab''', in particolare la voce relativa ad ecryptfs (l'importanza di ciò sarà trattata a breve).<br />
<br />
Per verificare se il setup è stato correttamente eseguito, basta copiare alcuni file nella cartella privata e poi smontarla: dovrebbero apparire illeggibili, cioè cifrati. Per riportarli alla normalità dobbiamo rieseguire il montaggio della cartella:<br />
<br />
== Montare la cartella ==<br />
Quando si rende necessario accedere ai file protetti basta ripetere la precedente operazione di montaggio utilizzando la stessa ''passphrase'' e le stesse opzioni se si vuole accedere ai file precedentemente cifrati oppure utilizzare una ''passphrase'' differente (e volendo anche opzioni diverse) se per qualche ragione si vuole avere differenti chiavi a protezione di differenti dati (un possibile scenario è quello in cui un'unica cartella è condivisa da più utenti, i quali salvano i propri file utilizzando ognuno la propria chiave).<br />
<br />
In ogni caso il dover ogni volta ripetere questa procedura può risultare alla fine un po' noioso. La prima soluzione è quella di fornire tutte le opzioni al comando ''mount'' (a questo punto entra in gioco il file '''mtab''' che è stato esaminato in precedenza), eccezion fatta per la ''passphrase'', che sarà inserita su richiesta:<br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
La seconda soluzione è quella di inserire nel file '''/etc/fstab''' il punto di montaggio della cartella privata:<br />
<br />
# eCryptfs mount points<br />
/home/''username''/Private /home/''username''/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXXXXXXXXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Alcune precisazioni:<br />
* l'opzione ''user'' è stata inserita per permettere all'utente di poter montare la cartella privata;<br />
* nell'opzione '''ecryptfs_sig''' va sostituito il valore "XXXXXXXXXX" con la firma digitale della propria chiave, ricavabile dal file '''mtab''' (come detto precedentemente) oppure dal file '''sig-cache.txt'''.<br />
<br />
C'è un solo "problema" riguardo a questa soluzione: la ''passphrase''. Quando la cartella privata viene smontata, la chiave viene cancellata dal portachiavi del kernel, per cui per poter eseguire un successivo montaggio bisogna inserirla in detto portachiavi un'altra volta. Per far ciò si può utilizzare una fra le utility '''ecryptfs-add-passphrase''' e '''ecryptfs-manager''' (contenute nel pacchetto ecryptfs-utils), che si appoggiano a loro volta all'utility '''keyctl''' contenuta nel pacchetto ''keyutils'', installato come dipendenza.<br />
<br />
Una volta che la chiave è stata inserita nel portachiavi, si può effettuare il montaggio della cartella:<br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/''username''/Private<br />
<br />
You will notice that we used the "'''-i'''" option this time. It disables invoking the mount helper. Speaking of which, using "'''-i'''" by default mounts with: '''nosuid, noexec''' and '''nodev'''. If you want to have at least executable files in your private directory you can add the '''exec''' option to the fstab line.<br />
<br />
== Removing ==<br />
If you want to move a file out of the private directory just move it to it's new destination while ~/Private is mounted. Also note that there are no special steps involved if you want to remove your private directory. Make sure it is un-mounted and delete it, along with all the files. <br />
<br />
= Advanced =<br />
This covers the basic setup of a private encrypted directory. There is another article on eCryptfs and Arch Linux that covers ''encryption of your entire $HOME'' and ''encrypting swap space without breaking hibernation (suspend to disk)''. It includes many more steps (i.e. using PAM modules and automatic mounting) and the author decided not to replicate it here because there is just no single "right" way to do it. The author proposes some solutions and discusses the security implications, but they are his solutions and as such might not be the best nor are they endorsed by the eCryptfs project in any way.<br />
<br />
You can read the article here: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
The above article uses a profile to mount the home directory. The same can be done using pam_mount with the benefit that home is unmounted when all sessions are logged out. As eCryptfs needs the -i switch, the lclmount setting will need to be changed. I use the following in pam_mount.conf.xml<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
To avoid wasting time needlessly unwrapping the passphrase you can create a script that will check pmvarrun to see the number of open sessions.<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
With the following line added before the unwrap module<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
The article suggests adding these to /etc/pam.d/login, but the changes will need to be added to all other places you login, such as /etc/pam.d/kde<br />
<br />
<br />
[[Category:Security (English)]]<br />
[[Category:File systems (English)]]<br />
[[Category:HOWTOs (English)]]</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs_(Italiano)&diff=69737ECryptfs (Italiano)2009-05-31T15:20:19Z<p>Leo72: Created page with '{{translateme}} =Introduzione= Questo articolo descrive l'utilizzo di base di [https://launchpad.net/ecryptfs eCryptfs] e guiderà attraverso il processo di creazione di una cart...'</p>
<hr />
<div>{{translateme}}<br />
=Introduzione=<br />
Questo articolo descrive l'utilizzo di base di [https://launchpad.net/ecryptfs eCryptfs] e guiderà attraverso il processo di creazione di una cartella privata, cifrata e sicura, in ''$HOME'', dove sarà possibile salvare tutti i dati sensibili. Se la domanda è "''Perché dovrei usare la crittografia?''" allora è bene iniziare leggendo l'articolo su [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] che risponde alle domande di base sulla sicurezza.<br />
<br />
A livello di implementazione eCryptfs differisce da dm-crypt: questo fornisce un layer virtuale cifrato su un dispositivo a blocchi, mentre eCryptfs è un filesystem a tutti gli effetti, per l'esattezza un filesystem con [http://en.wikipedia.org/wiki/Cryptographic_filesystems cifratura a livello di filesystem stesso]. Questa [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare tabella] compara i due sistemi.<br />
<br />
In sintesi eCryptfs permette di non doversi preoccupare di pre-allocare spazio su disco per memorizzare i propri file, come ad esempio il dover creare partizioni separate: è possibile montare eCryptfs sopra a qualunque cartella per proteggerla. Sono incluse, ad esempio, l'intera $HOME di un utente oppure filesystem di rete (avendo condivisioni NFS cifrati). Tutti i metadata crittografici sono memorizzati negli header dei file così che i dati cifrati possono essere spostati o salvati per backup e poi recuperati senza problemi. Ci sono altri vantaggi, ma anche degli inconvenienti: eCryptfs non può cifrare intere partizioni per cui non può essere utilizzato per proteggere lo spazio di swap (per far ciò può essere però utilizzato congiuntamente con dm-crypt).<br />
<br />
= Nozioni di base =<br />
eCryptfs fa parte di Linux fin dalla versione 2.6.19, ma per poterlo utilizzare sono richiesti gli strumenti per gestire lo spazio utente: va perciò installato il pacchetto [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] che a sua volta richiede il pacchetto [http://aur.archlinux.org/packages.php?ID=6895 keyutils] (che contiene gli strumenti per gestire le chiavi di cifratura del portafoglio del kernel). Entrambi i pacchetti sono presenti in '''AUR'''.<br />
<br />
Dopo l'installazione di questi pacchetti, potete caricare il modulo ecryptfs e continuare con il setup:<br />
# modprobe ecryptfs<br />
<br />
Il pacchetto ecryptgs-utils è distribuito con alcuni script che aiutano con la gestione della chiave ed altri compiti simili. Alcunu sono stati scritti per automatizzare l'intero processo di setup delle cartelle cifrate (''ecryptfs-setup-private'') o per aiutare a combinare ecryptfs con dm-crypt per proteggere lo spazio di swap (''ecryptfs-setup-swap''). Questa guida però non li utilizzerà descrivendo invece come procedere a livello manuale così da capire per bene come le cose vengono gestite.<br />
<br />
Prima di procedere è bene consultare la documentazione di eCryptfs: questo tool è distribuito infatti con un completo e ben fatto insieme di pagine esplicative.<br />
<br />
== Setup ==<br />
La prima cosa da fare è creare la cartella privata. Nell'esempio che segue è stata chiamata per comodità ''Private'':<br />
<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
(chmod 700 serve ad assegnare i permessi di accesso al solo proprietario).<br />
Adesso eCryptfs può essere montato sopra ad essa con<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
La prima volta che monteremo la cartella, ecryptfs chiederà di rispondere ad alcune domande e di fornire una ''passphrase'', una frase di cifratura che sarà utilizzata per montare la cartella in futuro. E' comunque possibile avere differenti chiavi di cifrature per crittare differenti dati (per ulteriori informazioni si legga più sotto): per comodità questa guida si limiterà ad esaminare il caso di una unica chiave e di una unica ''passphrase''. Ecco un esempio:<br />
Key type: passphrase<br />
Passphrase: FraseDiCifraturaCortaEMoltoDebole<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Analizziamo le varie voci:<br />
* La ''passphrase'' è la '''passphrase di montaggio''' che sarà combinata con un ''salt'', hashed and loaded into the kernel keyring.<br />
** In eCryptfs terms, this salted, hashed passphrase is your "file encryption key, encryption key", or '''fekek'''.<br />
* eCryptfs supports a few different cyphers (AES, blowfish, twofish...). You can read about them on Wikipedia.<br />
* Plaintext passtrough enables you to store and work with '''un-encrypted''' files stored in the same directory.<br />
* Filename encryption is available since Linux 2.6.29<br />
** In eCryptfs terms the key used to protect filenames is known as "filename encryption key", or '''fnek'''.<br />
* The signature of the key(s) will be stored in /root/.ecryptfs/sig-cache.txt<br />
<br />
Your setup is now complete and directory is mounted. You can place any file in the ~/Private directory and it will get encrypted. Before you do anything else you should inspect your '''/etc/mtab''' file, the ecryptfs entry in particular - we will discuss the importance of it a few lines below.<br />
<br />
Now copy a few files to your new private directory, and then un-mount it. If you inspect the files you will see that they are unreadable - encrypted. That was cool you say, but how do I get them back... and that brings us to:<br />
<br />
== Mounting ==<br />
When ever you need your files available you can repeat the above mount procedure, using the same passphrase and options if you want to access your previously encrypted files or using a different passphrase (and possibly options) if for some reason you want to have different keys protecting different data (imagine having a publicly shared directory where different data is encrypted by different users (and their keys)).<br />
<br />
In any case going trough those questions every time could be a bit tedious. First solution is that you provide all the options to the mount command (this is where the '''mtab''' line comes in) except for your passphrase for which you will be prompted: <br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
Or you can create an entry in the '''/etc/fstab''' file for this mount point: <br />
<br />
# eCryptfs mount points<br />
/home/username/Private /home/username/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Let's summarize <br />
* You will notice that we defined the '''user''' option, it enables you to mount the directory as a user<br />
* Notice the '''ecryptfs_sig''' option, replace ''XXX'' with your own key signature (as seen in the '''mtab''' line earlier or in sig-cache.txt)<br />
<br />
There is just one "problem" with this solution. The passphrase. When you un-mounted the directory your key was deleted from the kernel keyring, and in order to mount it you need to insert it into the keyring again. You can use the '''ecryptfs-add-passphrase''' utility or the '''ecryptfs-manager''' to do it. This would be a good place to also mention the '''keyctl''' utility from the (earlier installed) ''keyutils'' package, it can be used for any advanced key management tasks. <br />
<br />
When the key is inserted you can mount the directory: <br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/username/Private<br />
<br />
You will notice that we used the "'''-i'''" option this time. It disables invoking the mount helper. Speaking of which, using "'''-i'''" by default mounts with: '''nosuid, noexec''' and '''nodev'''. If you want to have at least executable files in your private directory you can add the '''exec''' option to the fstab line.<br />
<br />
== Removing ==<br />
If you want to move a file out of the private directory just move it to it's new destination while ~/Private is mounted. Also note that there are no special steps involved if you want to remove your private directory. Make sure it is un-mounted and delete it, along with all the files. <br />
<br />
= Advanced =<br />
This covers the basic setup of a private encrypted directory. There is another article on eCryptfs and Arch Linux that covers ''encryption of your entire $HOME'' and ''encrypting swap space without breaking hibernation (suspend to disk)''. It includes many more steps (i.e. using PAM modules and automatic mounting) and the author decided not to replicate it here because there is just no single "right" way to do it. The author proposes some solutions and discusses the security implications, but they are his solutions and as such might not be the best nor are they endorsed by the eCryptfs project in any way.<br />
<br />
You can read the article here: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
The above article uses a profile to mount the home directory. The same can be done using pam_mount with the benefit that home is unmounted when all sessions are logged out. As eCryptfs needs the -i switch, the lclmount setting will need to be changed. I use the following in pam_mount.conf.xml<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
To avoid wasting time needlessly unwrapping the passphrase you can create a script that will check pmvarrun to see the number of open sessions.<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
With the following line added before the unwrap module<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
The article suggests adding these to /etc/pam.d/login, but the changes will need to be added to all other places you login, such as /etc/pam.d/kde<br />
<br />
<br />
[[Category:Security (English)]]<br />
[[Category:File systems (English)]]<br />
[[Category:HOWTOs (English)]]</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs&diff=69733ECryptfs2009-05-31T14:16:06Z<p>Leo72: </p>
<hr />
<div>{{i18n_links_start}}<br />
{{i18n_entry|Italiano|Cifratura del sistema con eCryptfs}}<br />
{{i18n_links_end}}<br />
<br />
= Introduction =<br />
This article describes basic usage of [https://launchpad.net/ecryptfs eCryptfs]. It guides you trough the process of creating a private and secure encrypted directory in your ''$HOME'' where you can store all your sensitive files. If you are wondering "''Why should I use encryption?''" then start with the [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] article which answers some basic questions on theory and security. <br />
<br />
In implementation eCryptfs differs from dm-crypt, which provides a ''block device encryption layer'', while eCryptfs is an actual file-system - a [http://en.wikipedia.org/wiki/Cryptographic_filesystems stacked cryptographic file system] to be exact. For comparison of the two you can refer to [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare this table ]. <br />
<br />
The summary is that it doesn't require special on-disk storage allocation effort, such as separate partitions, you can mount eCryptfs on top of any single directory to protect it. That includes i.e. your entire $HOME and network file systems (i.e. having encrypted NFS shares). All cryptographic metadata is stored in the headers of files, so encrypted data can be easily moved, stored for backup and recovered. There are other advantages, but there are also drawbacks, for instance eCryptfs is not suitable for encrypting complete partitions which also means you can't protect your swap space with it (instead you can combine it with dm-crypt).<br />
<br />
= Basics =<br />
eCryptfs is a part of Linux since version 2.6.19. But to work with it you will need the userspace tools: [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] package which in turn requires the [http://aur.archlinux.org/packages.php?ID=6895 keyutils] package - tools for the kernel key management system. Both packages are available in the '''AUR'''.<br />
<br />
Once you install those packages you can load the ecryptfs module and continue with the setup:<br />
# modprobe ecryptfs<br />
<br />
The ecryptfs-utils package is distributed with a few helper scripts which will help you with key management and similar tasks. Some were written to automate this whole process of setting up encrypted directories (''ecryptfs-setup-private'') or help you combine ecryptfs with dm-crypt to protect swap space (''ecryptfs-setup-swap''). Despite those scripts we will go trough the process manually so you get a better understanding of what is really being done.<br />
<br />
Before we say anything else it's advised that you check the eCryptfs documentation. It is distributed with a very good and complete set of manual pages.<br />
<br />
== Setup ==<br />
First create your private directory, in this example we will call it exactly that: Private<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
eCryptfs can now be mounted on top of it. This is called an overlay mount.<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
You will need to answer a few questions and provide a passphrase which should be used to mount this directory in the future. However you can also have different keys encrypting different data (more about this below). For convenience we will limit this guide to only one key and passphrase. Let's see an example:<br />
Key type: passphrase<br />
Passphrase: ThisIsAVeryWeakAndShortPassphrase<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Let's summarize<br />
* The passphrase is your '''mount passphrase''' which will be salted, hashed and loaded into the kernel keyring.<br />
** In eCryptfs terms, this salted, hashed passphrase is your "file encryption key, encryption key", or '''fekek'''.<br />
* eCryptfs supports a few different cyphers (AES, blowfish, twofish...). You can read about them on Wikipedia.<br />
* Plaintext passtrough enables you to store and work with '''un-encrypted''' files stored in the same directory.<br />
* Filename encryption is available since Linux 2.6.29<br />
** In eCryptfs terms the key used to protect filenames is known as "filename encryption key", or '''fnek'''.<br />
* The signature of the key(s) will be stored in /root/.ecryptfs/sig-cache.txt<br />
<br />
Your setup is now complete and directory is mounted. You can place any file in the ~/Private directory and it will get encrypted. Before you do anything else you should inspect your '''/etc/mtab''' file, the ecryptfs entry in particular - we will discuss the importance of it a few lines below.<br />
<br />
Now copy a few files to your new private directory, and then un-mount it. If you inspect the files you will see that they are unreadable - encrypted. That was cool you say, but how do I get them back... and that brings us to:<br />
<br />
== Mounting ==<br />
When ever you need your files available you can repeat the above mount procedure, using the same passphrase and options if you want to access your previously encrypted files or using a different passphrase (and possibly options) if for some reason you want to have different keys protecting different data (imagine having a publicly shared directory where different data is encrypted by different users (and their keys)).<br />
<br />
In any case going trough those questions every time could be a bit tedious. First solution is that you provide all the options to the mount command (this is where the '''mtab''' line comes in) except for your passphrase for which you will be prompted: <br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
Or you can create an entry in the '''/etc/fstab''' file for this mount point: <br />
<br />
# eCryptfs mount points<br />
/home/username/Private /home/username/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Let's summarize <br />
* You will notice that we defined the '''user''' option, it enables you to mount the directory as a user<br />
* Notice the '''ecryptfs_sig''' option, replace ''XXX'' with your own key signature (as seen in the '''mtab''' line earlier or in sig-cache.txt)<br />
<br />
There is just one "problem" with this solution. The passphrase. When you un-mounted the directory your key was deleted from the kernel keyring, and in order to mount it you need to insert it into the keyring again. You can use the '''ecryptfs-add-passphrase''' utility or the '''ecryptfs-manager''' to do it. This would be a good place to also mention the '''keyctl''' utility from the (earlier installed) ''keyutils'' package, it can be used for any advanced key management tasks. <br />
<br />
When the key is inserted you can mount the directory: <br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/username/Private<br />
<br />
You will notice that we used the "'''-i'''" option this time. It disables invoking the mount helper. Speaking of which, using "'''-i'''" by default mounts with: '''nosuid, noexec''' and '''nodev'''. If you want to have at least executable files in your private directory you can add the '''exec''' option to the fstab line.<br />
<br />
== Removing ==<br />
If you want to move a file out of the private directory just move it to it's new destination while ~/Private is mounted. Also note that there are no special steps involved if you want to remove your private directory. Make sure it is un-mounted and delete it, along with all the files. <br />
<br />
= Advanced =<br />
This covers the basic setup of a private encrypted directory. There is another article on eCryptfs and Arch Linux that covers ''encryption of your entire $HOME'' and ''encrypting swap space without breaking hibernation (suspend to disk)''. It includes many more steps (i.e. using PAM modules and automatic mounting) and the author decided not to replicate it here because there is just no single "right" way to do it. The author proposes some solutions and discusses the security implications, but they are his solutions and as such might not be the best nor are they endorsed by the eCryptfs project in any way.<br />
<br />
You can read the article here: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
The above article uses a profile to mount the home directory. The same can be done using pam_mount with the benefit that home is unmounted when all sessions are logged out. As eCryptfs needs the -i switch, the lclmount setting will need to be changed. I use the following in pam_mount.conf.xml<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
To avoid wasting time needlessly unwrapping the passphrase you can create a script that will check pmvarrun to see the number of open sessions.<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
With the following line added before the unwrap module<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
The article suggests adding these to /etc/pam.d/login, but the changes will need to be added to all other places you login, such as /etc/pam.d/kde<br />
<br />
<br />
[[Category:Security (English)]]<br />
[[Category:File systems (English)]]<br />
[[Category:HOWTOs (English)]]</div>Leo72https://wiki.archlinux.org/index.php?title=ECryptfs&diff=69732ECryptfs2009-05-31T14:15:28Z<p>Leo72: </p>
<hr />
<div>{{i18n_links_start}}<br />
{{i18n_entry|Italian|Cifratura del sistema con eCryptfs}}<br />
{{i18n_links_end}}<br />
<br />
= Introduction =<br />
This article describes basic usage of [https://launchpad.net/ecryptfs eCryptfs]. It guides you trough the process of creating a private and secure encrypted directory in your ''$HOME'' where you can store all your sensitive files. If you are wondering "''Why should I use encryption?''" then start with the [[System_Encryption_with_LUKS_for_dm-crypt|dm-crypt]] article which answers some basic questions on theory and security. <br />
<br />
In implementation eCryptfs differs from dm-crypt, which provides a ''block device encryption layer'', while eCryptfs is an actual file-system - a [http://en.wikipedia.org/wiki/Cryptographic_filesystems stacked cryptographic file system] to be exact. For comparison of the two you can refer to [http://ecryptfs.sourceforge.net/ecryptfs-faq.html#compare this table ]. <br />
<br />
The summary is that it doesn't require special on-disk storage allocation effort, such as separate partitions, you can mount eCryptfs on top of any single directory to protect it. That includes i.e. your entire $HOME and network file systems (i.e. having encrypted NFS shares). All cryptographic metadata is stored in the headers of files, so encrypted data can be easily moved, stored for backup and recovered. There are other advantages, but there are also drawbacks, for instance eCryptfs is not suitable for encrypting complete partitions which also means you can't protect your swap space with it (instead you can combine it with dm-crypt).<br />
<br />
= Basics =<br />
eCryptfs is a part of Linux since version 2.6.19. But to work with it you will need the userspace tools: [http://aur.archlinux.org/packages.php?ID=8397 ecryptfs-utils] package which in turn requires the [http://aur.archlinux.org/packages.php?ID=6895 keyutils] package - tools for the kernel key management system. Both packages are available in the '''AUR'''.<br />
<br />
Once you install those packages you can load the ecryptfs module and continue with the setup:<br />
# modprobe ecryptfs<br />
<br />
The ecryptfs-utils package is distributed with a few helper scripts which will help you with key management and similar tasks. Some were written to automate this whole process of setting up encrypted directories (''ecryptfs-setup-private'') or help you combine ecryptfs with dm-crypt to protect swap space (''ecryptfs-setup-swap''). Despite those scripts we will go trough the process manually so you get a better understanding of what is really being done.<br />
<br />
Before we say anything else it's advised that you check the eCryptfs documentation. It is distributed with a very good and complete set of manual pages.<br />
<br />
== Setup ==<br />
First create your private directory, in this example we will call it exactly that: Private<br />
$ mkdir ~/Private<br />
$ chmod 700 ~/Private<br />
<br />
eCryptfs can now be mounted on top of it. This is called an overlay mount.<br />
$ sudo mount -t ecryptfs ~/Private ~/Private<br />
<br />
You will need to answer a few questions and provide a passphrase which should be used to mount this directory in the future. However you can also have different keys encrypting different data (more about this below). For convenience we will limit this guide to only one key and passphrase. Let's see an example:<br />
Key type: passphrase<br />
Passphrase: ThisIsAVeryWeakAndShortPassphrase<br />
Cypher: aes<br />
Key byte: 16<br />
Plaintext passtrough: no<br />
Filename encryption: no<br />
Add signature to cache: yes <br />
<br />
Let's summarize<br />
* The passphrase is your '''mount passphrase''' which will be salted, hashed and loaded into the kernel keyring.<br />
** In eCryptfs terms, this salted, hashed passphrase is your "file encryption key, encryption key", or '''fekek'''.<br />
* eCryptfs supports a few different cyphers (AES, blowfish, twofish...). You can read about them on Wikipedia.<br />
* Plaintext passtrough enables you to store and work with '''un-encrypted''' files stored in the same directory.<br />
* Filename encryption is available since Linux 2.6.29<br />
** In eCryptfs terms the key used to protect filenames is known as "filename encryption key", or '''fnek'''.<br />
* The signature of the key(s) will be stored in /root/.ecryptfs/sig-cache.txt<br />
<br />
Your setup is now complete and directory is mounted. You can place any file in the ~/Private directory and it will get encrypted. Before you do anything else you should inspect your '''/etc/mtab''' file, the ecryptfs entry in particular - we will discuss the importance of it a few lines below.<br />
<br />
Now copy a few files to your new private directory, and then un-mount it. If you inspect the files you will see that they are unreadable - encrypted. That was cool you say, but how do I get them back... and that brings us to:<br />
<br />
== Mounting ==<br />
When ever you need your files available you can repeat the above mount procedure, using the same passphrase and options if you want to access your previously encrypted files or using a different passphrase (and possibly options) if for some reason you want to have different keys protecting different data (imagine having a publicly shared directory where different data is encrypted by different users (and their keys)).<br />
<br />
In any case going trough those questions every time could be a bit tedious. First solution is that you provide all the options to the mount command (this is where the '''mtab''' line comes in) except for your passphrase for which you will be prompted: <br />
<br />
$ sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,key=passphrase,ecryptfs_unlink_sigs,ecryptfs_passthrough=no,ecryptfs_enable_filename_crypto=no<br />
<br />
Or you can create an entry in the '''/etc/fstab''' file for this mount point: <br />
<br />
# eCryptfs mount points<br />
/home/username/Private /home/username/Private ecryptfs rw,user,noauto,ecryptfs_sig=XXX,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs 0 0<br />
<br />
Let's summarize <br />
* You will notice that we defined the '''user''' option, it enables you to mount the directory as a user<br />
* Notice the '''ecryptfs_sig''' option, replace ''XXX'' with your own key signature (as seen in the '''mtab''' line earlier or in sig-cache.txt)<br />
<br />
There is just one "problem" with this solution. The passphrase. When you un-mounted the directory your key was deleted from the kernel keyring, and in order to mount it you need to insert it into the keyring again. You can use the '''ecryptfs-add-passphrase''' utility or the '''ecryptfs-manager''' to do it. This would be a good place to also mention the '''keyctl''' utility from the (earlier installed) ''keyutils'' package, it can be used for any advanced key management tasks. <br />
<br />
When the key is inserted you can mount the directory: <br />
$ ecryptfs-add-passphrase<br />
Passphrase: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br />
<br />
$ mount -i /home/username/Private<br />
<br />
You will notice that we used the "'''-i'''" option this time. It disables invoking the mount helper. Speaking of which, using "'''-i'''" by default mounts with: '''nosuid, noexec''' and '''nodev'''. If you want to have at least executable files in your private directory you can add the '''exec''' option to the fstab line.<br />
<br />
== Removing ==<br />
If you want to move a file out of the private directory just move it to it's new destination while ~/Private is mounted. Also note that there are no special steps involved if you want to remove your private directory. Make sure it is un-mounted and delete it, along with all the files. <br />
<br />
= Advanced =<br />
This covers the basic setup of a private encrypted directory. There is another article on eCryptfs and Arch Linux that covers ''encryption of your entire $HOME'' and ''encrypting swap space without breaking hibernation (suspend to disk)''. It includes many more steps (i.e. using PAM modules and automatic mounting) and the author decided not to replicate it here because there is just no single "right" way to do it. The author proposes some solutions and discusses the security implications, but they are his solutions and as such might not be the best nor are they endorsed by the eCryptfs project in any way.<br />
<br />
You can read the article here: [http://sysphere.org/~anrxc/j/articles/ecryptfs/index.html eCryptfs and $HOME]<br />
<br />
== PAM_Mount ==<br />
The above article uses a profile to mount the home directory. The same can be done using pam_mount with the benefit that home is unmounted when all sessions are logged out. As eCryptfs needs the -i switch, the lclmount setting will need to be changed. I use the following in pam_mount.conf.xml<br />
<lclmount>mount -i %(VOLUME) "%(before=\"-o\" OPTIONS)"</lclmount><br />
To avoid wasting time needlessly unwrapping the passphrase you can create a script that will check pmvarrun to see the number of open sessions.<br />
#!/bin/sh<br />
#/usr/bin/doecryptfs<br />
exit $(/usr/sbin/pmvarrun -u$PAM_USER -o0)<br />
With the following line added before the unwrap module<br />
auth [success=ignore default=1] pam_exec.so quiet /usr/bin/doecryptfs<br />
auth required pam_ecryptfs.so unwrap<br />
The article suggests adding these to /etc/pam.d/login, but the changes will need to be added to all other places you login, such as /etc/pam.d/kde<br />
<br />
<br />
[[Category:Security (English)]]<br />
[[Category:File systems (English)]]<br />
[[Category:HOWTOs (English)]]</div>Leo72