Ubuntu One bestanden beveiligen

[testcees]

Ubuntu One slaat bestanden zonder versleuteling (leesbaar) op. Iemand die, rechtmatig of onrechtmatig, toegang heeft tot je Ubuntu One opslag bij Canonical kan je bestanden lezen. Het is daarom beter Ubuntu One niet te gebruiken voor persoonlijke bestanden tenzij je zelf zorgt voor de nodige versleuteling.

Naar aanleiding van een tip in een computerblad heb ik met Truecrypt een container in Ubuntu One aangemaakt. Dat werkt maar niet helemaal lekker. De Treucrypt container is 1 groot bestand en bij een wijziging in een los bestand moeten hele blokken met gegevens worden ge-upload. Versleuteling per bestand werkt beter. Dit kan met ecryptfs.

p.s. voor wie tijdens de installatie van Ubuntu niet gekozen heeft voor versleutelde opslag moet hiervoor eerst de ecryptfs hulpmiddelen installeren:

Code: [Selecteer]

sudo apt-get install ecryptfs-utils
Ik heb een map gemaakt voor de versleutelde bestanden (deze map wordt gesynchroniseerd met Ubuntu One):

Code: [Selecteer]

mkdir ~/Ubuntu\ One\versleuteld
En een map voor de leesbare bestanden:

Code: [Selecteer]

mkdir ~/One_leesbaar
Beide mappen heb ik aan elkaar gekoppeld met ecryptfs:

Code: [Selecteer]

sudo mount -t ecryptfs ~/Ubuntu\ One/versleuteld ~/One_leesbaar
Een goede wachtwoordzin (Passphrase) gebruikt en bij de andere vragen het standaard antwoord gekozen. Alleen bij 'filename encryption' heb ik 'y' geantwoord.

Bestanden in de map ~/One_leesbaar worden in de achtergrond versleuteld opgeslagen. Zowel op de eigen computer maar ook bij Canonical.

Automatiseren
Om de versleutelde map automatisch te koppelen heb ik een regel aan /etc/fstab toegevoegd. Daarbij ben ik uitgegaan van wat in mtab staat:

Code: [Selecteer]

cat /etc/mtab | grep ecryptfs
/home/naam/Ubuntu\040One/versleuteld /home/naam/One_leesbaar ecryptfs rw,noexec,nosuid,nodev,no_sig_cache,ecryptfs_sig=################,ecryptfs_unlink_sigs,ecryptfs_fnek_sig=################,ecryptfs_cipher=aes,ecryptfs_key_bytes=16 0 0
naam = gebruikersnaam
################ = unieke sleutel

Deze regel toegevoegd aan /etc/fstab, aangevuld met de volgende opties:

 * users,noauto – voor gebruikers en niet tijdens het opstarten
 * no_sig_cache – voor interactief gebruik
 * ecryptfs_passthrough=n

De sleutel toegevoegd:

Code: [Selecteer]

ecryptfs-add-passphrase --fnek
Passphrase: DitIsGeenGoedeWachtwoordzin@2013
Inserted auth tok with sig [################] into the user session keyring
Nu kan de versleutelde map worden aangekoppeld met een (1) opdracht die kan worden ge-script als opstarttoepassing:

Code: [Selecteer]

mount -i ~/One_leesbaarp.s. Als dit niet werkt zonder sudo is hiervoor mogelijk eenmalig een extra opdracht nodig:

Code: [Selecteer]

sudo chmod +s /sbin/mount.ecryptfs
Maar na een reboot werkt de mount-opdracht niet meer. Dan zie  ik in /var/log/syslog:

Code: [Selecteer]

Could not find valid key in user session keyring for sig specified in mount option: [################]
Opnieuw met ecryptfs-add-passphrase de sleutel toevoegen lost het op maar is natuurlijk niet mijn bedoeling. Hoe kan ik voorkomen dat na iedere reboot ecryptfs-add-passphrase nodig is?

[testcees]

No, your files are not stored on the server encrypted.

Bump. Ubuntu One is geschikt voor het delen van bestanden en muziek maar blijkbaar niet (eenvoudig/automatisch) als back-up voor persoonlijke (voor anderen onleesbare) bestanden.