Ubuntu ZFS 加密 Home 目录

大大的小蜗牛收录于类别代码

2020-09-11 2020-09-11 约 868 字预计阅读 2 分钟条评论

嘀咕：放弃了运营一个 Mastodon 实例的想法了，想加入联邦的人自然会找到很多稳定的实例和感兴趣的社区，自己部署也很方便。倒是手里有几个不错的域名。 [2023-12-04T09:06:04.453Z]
嘀咕：知名作家尼尔·盖曼（Neil Gaiman）在接受冰岛电视台采访时谈及了对互联网和社交媒体现状的看法。他说，“我喜欢写博文，而在微博时代我越来越少的写博文了。”他的博文通常发表在自己的网站 neilgaiman.com 上。他表示怀念那种以理智愉快的方式与世界对话去构建一个社区的时光。他说，有意思的是人们正离开社交网络。Twitter 已经完了，已成为过去，它现在变成了 X。Twitter 的微博替代如 Threads 和 Bluesky 都无法重现 Twitter 往昔的荣光。盖曼认为博客时代可能会重新到来，人们可能会重新通过博文找到你和我。盖曼目前是 Twitter 替代 Bluesky 的狂热用户，至少对他而言，这个时代尚未到来。 https://www.solidot.org/story?sid=76784 [好像有这个趋势，好多年更博客也开始更新了，FreshRSS 里 Blog 这个订阅也多起来了。] [2023-12-03T13:53:45.982Z]
嘀咕：本来不打算公布这个顺丰 ID 的。（但想到平时应该也不会用到这个 ID [2023-12-02T14:04:58.769Z]
嘀咕：到处都在修路，到处都堵。 [2023-12-02T04:07:40.264Z]
嘀咕：#TIL 500-20%=400 https://www.google.com/search?q=500-20%25 [2023-11-30T13:31:29.127Z]
嘀咕：血槽姐可能还觉得自己创造了生命的奇迹呢。 [2023-11-30T12:34:33.412Z]
嘀咕：感谢爱国贼，现在越来越多的路人知道了蛋炒饭。 [2023-11-28T07:33:35.384Z]
嘀咕：中国主要科技与互联网公司市值三年变化。不看不知道，一看吓一跳。特别是阿里，阿里本来是中国唯一有希望的企业，可是最近连达摩院都拆了。 [2023-11-27T05:55:51.115Z]
嘀咕：给文明世界一点小小的中国震撼。 [2023-11-24T22:37:13.903Z]
嘀咕：博客新文章：《部署动态生成 OG Image 的 API》 https://eallion.com/og-image-api/ [2023-11-23T11:24:39.678Z]

前言

Ubuntu 20.04 的安装镜像支持 ZFS 文件系统：

/assets/images/posts/2020/09/install.png

本文是 安装后 加密 ZFS Home 目录的备忘教程。
另外有 安装前 加密 ZFS Root 文件系统的备忘教程。链接：《Ubuntu ZFS 原生全盘加密》

步骤

1、安装时创建一个随意的临时账号，或者安装完成后，新建一个临时管理员用户，暂且把这个账号叫做：tempuser，并把它设置为自动登录，此账号必须为管理员账号。
后面的步骤均在此临时账号下进行。

2、注销或重启后，登录 tempuser 账号，重新创建一个长期使用的用户，比如我的账号叫：eallion

3、查看 ZFS 数据集

1
sudo zfs list -r rpool

记录下你要用到的用户名的数据集名称，每个人的快照名字都不一样。
比如我的：eallion_c1doe6
返回值如图所示：

/assets/images/posts/2020/09/rpoollist.png

4、取消挂载新用户 eallion 的数据集

1
sudo zfs set mountpoint=none rpool/USERDATA/<yourdatasetname>

例如：

1
sudo zfs set mountpoint=none rpool/USERDATA/eallion_c1doe6

如果这一步遇到错误，如：target is busy，需要自行排错。比如我遇到的就是挂载了其他硬盘，导致不能取消数据集的挂载。

5、给新用户 eallion 创建一个新的加密数据集

1
sudo zfs create -o encryption=on -o keyformat=passphrase rpool/USERDATA/<yourusername>_encrypt

例如：

1
sudo zfs create -o encryption=on -o keyformat=passphrase rpool/USERDATA/eallion_encrypt

输入密码短语，回车。（一定要记住此密码。）

6、挂载这个加密数据集到新用户目录

1
sudo zfs set mountpoint=/home/<yourusername>  rpool/USERDATA/<yourusername>_encrypt

例如：

1
sudo zfs set mountpoint=/home/eallion  rpool/USERDATA/eallion_encrypt

7、检测一下是否配置正确（如果没有返回什么，就代表配置成功了）

1
sudo mount -a

8、检查一下加密是否成功（加密数据卷应该会有密码方式，如：aes-256-gcm）

1
sudo zfs list -r rpool -o name,encryption

如图：
我用的是全盘加密，所以全部返回 aes-256-gcm，
如果只加密了 Home 目录，则其他目录返回的是 None。

/assets/images/posts/2020/09/encryption.png

9、让加密目录用上 ZFS 的自动快照功能，Grub 引导项中也能选择快照历史恢复系统。

1
sudo zfs set com.ubuntu.zsys:bootfs-datasets=rpool/ROOT/<nameofdataset> rpool/USERDATA/<yourusername>_encrypt

例如：（注意：你的数据集不一定叫 ubuntu_rroyp0，通过第 3 步可以查看。）

1
sudo zfs set com.ubuntu.zsys:bootfs-datasets=rpool/ROOT/ubuntu_rroyp0 rpool/USERDATA/eallion_encrypt

10、请确保 Home 目录的权限

1
sudo chown <yourusername>:<yourusername> /home/<yourusername>

例如：

1
sudo chown -R eallion:eallion /home/eallion

11、安装 ecryptfs-utils 加密交换空间 Swap

1
2
sudo apt install ecryptfs-utils
sudo ecryptfs-setup-swap

此时出现的一些错误提示例如 swapon: cannot open /dev/mapper/cryptswap1: No such file or device 可忽略。

12、查看一下是否成功

1
2
cat /etc/fstab
cat /etc/crypttab

PS、如果有多余的用户目录数据集占用空间，比如使用一段时间后才想起来想加密 Home 目录，老的数据集可以通过命令销毁，不过一定要记得备份重要数据。

1
sudo zfs destroy eallion1_123abc

Reference:
https://medium.com/@steinarlbergmyrvang/ubuntu-20-04-with-encrypted-home-f5ce490333cc

本文 AI 总结

这篇文章介绍了如何在Ubuntu操作系统中使用ZFS文件系统加密Home目录。作者提供了详细的步骤指南，包括创建临时账号、查看ZFS数据集、取消挂载和创建加密数据集等。文章还介绍了如何检测和检查加密是否成功，以及如何使用ZFS的自动快照功能和Grub引导项。最后还提到了安装加密交换空间Swap的步骤和销毁旧的数据集的方法。