特别推荐：企业级加密文件系统 ecryptfs （ubuntu 文件夹加密 ，用起来像正常文件夹）｜附加详细使用说明

[cat650]

谁没有一点特别私密的东西？银行帐号、客户资料、私人照片、和老婆的不雅视频、或者会变为呈堂证供的某些另类收藏（属于绝对要被和谐的东西，近年有电脑被查出这些东西后被判刑的先例［那是徒刑啊，一辈自别想再做好人了］——天朝的事就怕认真，大家还是不要拿自己开玩笑），真到出事时才追悔莫及。

对于商业用户：关系自己前程的vip客户资料、公司私密帐簿、自己的设计企划（这个东西好像经常被同事偷）——在这个举国黑客（使用黑客工具或出钱雇用黑客）的时代，不得不防啊。别遗恨终身～～
如果陈大哥学了我的教程，也不用为 私人照片的问题苦而恼了。
附加一点，ecryptfs 的解密层存在于内存，断电后不会留下任何痕迹（内存不足时可能会被写入硬盘交换文件区，通过特殊方法还是可以还原出这个交换区记录过的文件。如果你的资料特别要命，要么使用大内存，要么使用另一个软件加密交换文件区）。硬盘上面保存的只有加密数据。这样即使硬盘被偷了，使用数据还原软件也不可能得到 解密文件。
不是像普通的加密软件、压缩软件把 解密文件缓存于硬盘上（winrar就是个很好的例子，在windows下使用的是系统临时文件夹［位置是固定的］，linux下好像是/tmp文件夹。只要有点常识找到这些解密数据不成问题）。你即使删除了，使用数据还原软件依然有可能得到 使用过的解密文件。你即使密码复杂到万位，也是白做工

先看看IBM 是怎么说的：http://www.ibm.com/developerworks/cn/li ... -ecryptfs/

使用的最大特点是：用户对加密文件夹的操作是无缝的，就像操作正常的文件夹一样。
其它的，比如加密级别高——即使硬盘被盗，也不会泄密。和系统整合性高，基于内核级，整体安全性高于普通软件。

首先，需要安装一下：

ecryptfs-utils

然后就可以开始使用了。因为很简单使用命令界面就能解决问题，所以没有图形界面。但是不用担心，我会把每一步讲解清楚。
没有图形界面还有一个好处：隐蔽性高

使用举例（这里我是单独加密文件夹，而不是按网上流行的方式：把主文件夹加密。我认为这种操作简单、独立涉及的东西少。效率高，主要是安全。有人反应加密主文件夹后，必须使用其它未加密文件夹才能使用ecryptfs）

1，新建一个测试文件夹：ecryptfs_test
使用这个文件夹存放加密文件
命令：

代码： 全选

sudo mount -t ecryptfs ecryptfs_test ecryptfs_test

mount 是挂载命令。-t 是指定文件类型。ecryptfs 就是我们使用的加密文件类型。

这里换一个命令说明一下

sudo mount -t ecryptfs real_path ecryptfs_mounted_path

real_path 是真实存放数据的地方；ecryptfs_mounted_path 是指你要把文件夹挂载于哪里（具体位置可以随意）
IBM 推荐：ecryptfs_mounted_path 和 真实目录 real_path 不一致，这样非授权用户不能通过原路径访问加密文件。

这里说一下挂载：很多人不理解
所谓挂载，可以理解为超级链接。比如说有两个文件夹 a，b。a中有文件isa，b中有文件isb。
现在我们要把a挂载于b上，命令：mount a b
此时b已经变成了a 的链接。所有对b的访问实际上都指向了a。
比如我们打开b文件夹，看到的文件只有isa，注意isb相当于被临时遮盖了。而打开a文件夹，文件还是isa
我们在b中存放一个新文件 isnew。
好了我们卸载这个挂载（取消这个超链接），命令：umount b
现在查看a文件夹，里面有文件isa isnew
查看b文件夹，里面只有isb

为使么说是超级链接呢，因为有个选项（其它选项我还不会） -t
它的意思是指定 文件夹类型（文件系统类型）。文件系统类型有很多，比如我们使用的ext4、ext3、fat32、ntfs……还有特殊的文件系统，比如 tmpfs（用内存 存文件）、ecryptfs（文件加密格）……
使用-t 就可以以指定文件格式进行“链接”，能查看、操作其它文件格式的文件了。这是普通连接做不到的。

2，mount 需要root权限，我们使用 命令sudo ，来以root身份运行命令
结果如下：
passphrase:
（这是要你输入密码，自己编一个。一定要记住。另外密码是不会有任何显示的，输完回车就行）
select cipher:
（选择加密方式，不选默认是[aes]。最好记住自己的选择）
select key bytes:
（选择加密位数，不选默认是[16]。最好记住自己的选择）
enable plaintext passthrough(y/n) [n]:
（是否允许使用明文，默认是 n）
enable filename encryption (y/n) [n]:
（是否把文件名也进行加密，默认是 n。如果选择y，那么在没有解密 的情况下是无法列出文件夹内部的文件名的。）

如果设置的密码是第一次使用，它会提示你密码被标识为[799d2f922c0f1f26] 。当然，你的密码标识肯定不会是这个。并且告诉你挂载错误，因为/root/.ecryptfs/sig-cache.txt中没有相关记录，你可能输错密码了。开始让你选择：

Would you like to proceed with the mount (yes/no)? :
（你是否希望继续进行挂载。我们输入yes，来完成加密）
Would you like to append sig [799d2f922c0f1f26] to
[/root/.ecryptfs/sig-cache.txt]
in order to avoid this warning in the future (yes/no)?:
（你是否把密码标识加到/root/.ecryptfs/sig-cache.txt中，免得下次再报警。我们输入yes。当然可以输入no，这样你的密码标识就不会被记录，安全性上会更高一点）

3，好了，现在正常操作ecryptfs_test文件夹。
放一些文件来测试。

4，关闭解密
命令：

代码： 全选

sudo umount -t ecryptfs ecryptfs_test

（如果使用的是sudo mount -t ecryptfs real_path ecryptfs_mounted_path
那么对应的命令是sudo umount -t ecryptfs ecryptfs_mounted_path）
这命令是把挂载取消了。这里的作用相当于把解密取消了，毕竟把重要文件长时间解密放着不好。
好了，再看看ecryptfs_test文件夹，里面的文件是不是都无法正确打开了？

＊＊＊＊＊＊＊＊连概念加内容 加操作都说了，就这么点。简单吧

需要解密文件夹时还是用命令：

代码： 全选

sudo mount -t ecryptfs ecryptfs_test ecryptfs_test

（格式还是不变：sudo mount -t ecryptfs real_path ecryptfs_mounted_path
个人建议是不要使用同一位置的同一文件夹，很容易被猜测出文件内容，或者暴露被加密文件位置）
passphrase:
select cipher:
select key bytes:
enable plaintext passthrough(y/n) [n]:
enable filename encryption (y/n) [n]:
上面这几相当初怎么设置的就怎么填，之后文件夹就解密了。

不需要用了，还是用命令解除解密状态

代码： 全选

sudo umount -t ecryptfs ecryptfs_test

这里说一点，mount命令重启就失效了。如果你要关机了，不必使用sudo umount -t ecryptfs ecryptfs_test
命令了。因为再次开机，解密是失效的。必须重新运行命令sudo mount -t ecryptfs ecryptfs_test ecryptfs_test

欢迎讨论：cat650@163.com
*****************************************************
小技巧：让命令变简单

代码： 全选

alias

显示所有别名设置。
要设置一个别名，比如：令dir等同于ls -s
alias dir='ls -s'
取消别名
unalias dir

运用ecryptfs加密
alias topsc='sudo mount -t ecryptfs '
alias untopsc='sudo umount -t ecryptfs '
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
解答：
Would you like to proceed with the mount (yes/no)? : y
Would you like to proceed with the mount (yes/no)? : y
Would you like to proceed with the mount (yes/no)? : y
Would you like to proceed with the mount (yes/no)? : y
Would you like to proceed with the mount (yes/no)? : y
Aborting mount.
有人问这是什么意思：很简单，意思是，你希望继续挂载吗？如果想就输入 yes，看好是yes不是y。不想的话就输入no，不是n。

***************************************************************************
kde环境下，文件管理器右键集成脚本

注意以下命令运行于kde环境，gnome（ubuntu默认环境）请作相应更改

但命令行很不方便，特别是文件夹地址比较复杂时，来回输入命令太痛苦了。

本文的目的是调用一个简单的脚本，在文件夹右键添加按钮，处理加密、解密问题。


2.创建一个脚本，我们放在/bin中。其实放在哪里都可以，只是考虑到安全性还是放在系统文件夹中，以root用户创建。

sudo touch /bin/mountecryptfs.sh


3.编辑脚本

sudo kate /bin/mountecryptfs.sh

拷贝以下内容：

#!/bin/bash
# 本脚本运行由cat650制作，有问题联系cat650@163.com
# 脚本适用于kde环境，请提前安装ecryptfs-utils
count=0 ##初始值
dir="/tmp/mnt/ecryptfs$count" ##初始挂载点
echo "已挂载加密目录有："
while df|grep -q $dir 2>/dev/null ##挂载点 是否使用了
do
echo $dir
let count=$count+1 ##一定要是/bin/bash如是/bin/sh这里就会出错
dir="/tmp/mnt/ecryptfs$count" ###新挂载点
done
echo "新增挂载目录："$dir
echo "等待超级用授权"
if [ ! -d $dir ];then ##判断目录是否存在
sudo mkdir -p $dir ###建立新挂载点目录,选项p，可以创建连续文件夹
fi
echo "授权完成，开始加密……"
echo "请输入加密密码，选择加密方式："
sudo mount -t ecryptfs "$1" $dir
echo "显示加密文件夹"
dolphin $dir
echo $dir"已处于加密状态"
read -p "是否自动卸载加密文件夹(yes?)" yn
if [ "$yn" != "yes" ]; then
echo "请记得手动解除加密"
echo "命令为：sudo umount /tmp/mnt/ecryptfs*"
read -p "回车退出" no
exit 0
fi
echo "去加密……"
sudo umount $dir
sudo rmdir $dir
## 下面删除缓存图片，这个大家自己设置。我把整个文件夹链到了/tmp.普通用户位置是：~/.thumbnails/
rm -r /tmp/large/
rm -r /tmp/normal/
echo "处于加密状态的文件夹有："
df|grep "tmp/mnt"
read -p "请验证是否已解除加密,回车退出" no

4.把这个脚本变为可执行

sudo dolphin /bin

找到脚本，属性改为可执行。


5.用dolphin打开任意文件夹。文件夹右键，属性，类型旁有个小扳手。

添加。选择程序，找到/bin/mountecryptfs.sh

选择并移动到最底。

选择，编辑。应用程序，高级选项：在终端中运行。这步必须有，要不无法进行加密操作。


6.测试

在/tmp文件夹中新建一个文件夹，右键，动作，选择mountecryptfs.sh（或者你自己命名的名字）。

好了，在新跳出的文件管理器中，添加一些文件、写点字。

在终端输入yes,让脚本自动卸载加密。

此时，文件管理器刷新后应该为空且不可编辑。

回到我们新建的文件夹中，那些新添的东西应该无法识别。

((((((((((((((((((((((((gnome环境下脚本(ubuntu默认环境)
#!/bin/bash
# 本脚本运行由cat650制作，有问题联系cat650@163.com
# 脚本适用于gnome环境，请提前安装ecryptfs-utils
count=0 ##初始值
dir="/tmp/mnt/ecryptfs$count" ##初始挂载点
echo "已挂载加密目录有："
while df|grep -q $dir 2>/dev/null ##挂载点 是否使用了
do
echo $dir
let count=$count+1 ##一定要是/bin/bash如是/bin/sh这里就会出错
dir="/tmp/mnt/ecryptfs$count" ###新挂载点
done
echo "新增挂载目录："$dir
echo "等待超级用授权"
if [ ! -d $dir ];then ##判断目录是否存在
sudo mkdir -p $dir ###建立新挂载点目录,选项p，可以创建连续文件夹
fi
echo "授权完成，开始加密……"
echo "请输入加密密码，选择加密方式："
sudo mount -t ecryptfs "$1" $dir
echo "显示加密文件夹"
gnome $dir
echo $dir"已处于加密状态"
read -p "是否自动卸载加密文件夹(yes?)" yn
if [ "$yn" != "yes" ]; then
echo "请记得手动解除加密"
echo "命令为：sudo umount /tmp/mnt/ecryptfs*"
read -p "回车退出" no
exit 0
fi
echo "去加密……"
sudo umount $dir
sudo rmdir $dir
## 下面删除缓存图片，这个大家自己设置。我把整个文件夹链到了/tmp.普通用户位置是：~/.thumbnails/
rm -r /tmp/large/
rm -r /tmp/normal/
echo "处于加密状态的文件夹有："
df|grep "tmp/mnt"
read -p "请验证是否已解除加密,回车退出" no

[Strange]

这个貌似很不错，如果是单linux平台的话，可以淘汰true crypt了

[cat650]

ecryptfs 的深入讨论：
我们知道 ecryptfs 是文件虚拟层，其功能就是 加密/解密。没有密码验证一说
也就是说，它根据密码进行加密/解密。即使密码不正确依旧进行 加密/解密，与数据无关。
那么：
1，可以重复加密。实验证明的确可以。因为 mount 是可以重复挂载的。更别说多次挂载在不同地方。
试验：假设有这么几个文件夹 test a b
mount -t ecryptfs test test
密码设置为 1234
里面放文本文件 one。
好了再次挂载
mount -t ecryptfs test a
密码为4321
放文本 two
再次挂载
mount -t ecryptfs a b
密码0987
放文本 three

好了在文件夹 test a b中均可看见 one two three文件，可是
test中只有 one可以打开，a 中只有two可以打开，b中只有three可以打开。
因为one被密码1234加密，two被密码1234和密码4321加密两次，three呢1234、4321、0987加密三次。
test中文件被1234解密一次，a中文件被密码1234和密码4321解密两次，b中1234、4321、0987解密3次。
所以test中除了one被正确解密，其它的都还在加密状态。
a中，one被1234正确解密却又被4321再次解密，就成了乱码（相当于被加了密）

这样一来，假设test中的文件被加密了2次。
那么别人破解密码就很有一思了（假设他不知道文件被加密了几次）。
如果尝试一个密码，显示的文件夹内容是乱码。那么就有2个可能
要么是密码错了，要么是密码对了还要再解密。

当然，对于密码学而言（直接从密文还原为明文）。使用同一方法重复加密丝毫不能增加安全性，不管重复多少次其效果只等同于加密一次。但是不要忘记，ecryptfs有：
1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
2) blowfish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
种加密方式。如果正确使用，破解难度很大

由此可以得知 ecryptfs 有效重复加密次数只有6次，但是对于非情报人员而言，已经够用了。

2，把普通软件升级为 带有可加密数据的安全软件
这点应用原理很简单。软件在 home/~ 中 大多都有配置，软件数据、用户数据的保存文件夹。
比如：某某通讯录软件 在 ~/xxx/date 中保存用户的数据。而这软件比较普通，使用的明文存储 通讯录。
这意味着，资料外泄。比如里面是 大量客户 ，被竞争对手拿到…… 别觉得不可能，触及钱的东西，被人顾黑客黑都是很有可能的。
此时，使用 ecryptfs 把 date 文件夹 mount 。保证了处于加密状态。正常使用软件就行了。使用完了，umount。
ok，软件有了一个数据库加密的功能。而且是不在影响软件使用的基础上实现的。
想想，rar这类的压缩加密的软件能做到吗？win 下的各类文件夹加密软件可以吗（可是不能任意 mount的）？

微软基于用户的（ntfs文件系统），更是不方便。只要用户登录，加密文件夹就自动解密 直到用户注销。虽然说微软的加密真的很强，可是对于在线入侵，或者软件搞鬼就没办法了。只要用户处于登录状态，加密文件夹就像分开双腿的处女，谁想都行。对于 ecryptfs 可不行，就算你是root，也要输入密码、加密方法、密钥长度。就算你拿到用户的登录密码，也无能为力（比微软全部鸡蛋放一个笼子好的多）。
这里明白我不喜欢 整体加密主文件夹了吧。

3，这里使用 ubuntu one 或者类似工具的朋友，为了你的数据安全。请先使用 ecryptfs mount 存入资料，再umount,之后再 同步文件夹。即使黑客 攻破了 ubuntu one 的服务器，也不会获得你的资料。而且使用上，没有太大差异。

欢迎讨论：forcat650@gmail.com

再说一点。大家也许都想到了：同一文件夹里的文件，可以是不同密码加密的。
推荐一本书《经典密码学与现代密码学》，网络上可以下载pdf 的版本。对于保守机密很有帮助

[jarlyyn]

谁说没有gui的

我记得我在用ub的时候就用用过，现在用debian了，不知道还有没有了

等我找找

[vagrom]

好像不错，不过如果能提供图形界面就更好了。

[ryoohki]

咳...真的没有什么必要非用GUI.... 会用到数据加密的用户电脑技术都是有一定层次的,非要用GUI才能操作软件的用户还不够级别,用用压缩打包加个解压密码基本就够了

[photor]

[ziber]

出错了

cbzh@cbzh-laptop:~$ sudo mount -t ecryptfs jiami jiami
Passphrase:
Select cipher:
1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded)
3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]: aes
Select key bytes:
1) 16
2) 32
3) 24
Selection [16]: 16
Enable plaintext passthrough (y/n) [n]: n
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [fca320a8f790324b]: fca320a8f790324b
Attempting to mount with the following options:
ecryptfs_unlink_sigs
ecryptfs_fnek_sig=fca320a8f790324b
ecryptfs_key_bytes=16
ecryptfs_cipher=aes
ecryptfs_sig=fca320a8f790324b
Mounted eCryptfs
cbzh@cbzh-laptop:~$

到底出了什么事情了。。有人知道吗。。

[nmsfan]

一直用truecrypt
这个赞一个
不知道有没有win版本的，我双系统，有时候win下也要用到同样加密过的文件，truecrypt在win和lin下都可以哦
赞一个

[bugle]

我也出错了，

bugle@bugle-PHD1:~$ sudo mount -t ecryptfs ecryptfs_test ecryptfs_test
Passphrase:
Select cipher:
1) aes: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
2) blowfish: blocksize = 16; min keysize = 16; max keysize = 56 (not loaded)
3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24 (not loaded)
4) twofish: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
5) cast6: blocksize = 16; min keysize = 16; max keysize = 32 (not loaded)
6) cast5: blocksize = 8; min keysize = 5; max keysize = 16 (not loaded)
Selection [aes]:
Select key bytes:
1) 16
2) 32
3) 24
Selection [16]:
Enable plaintext passthrough (y/n) [n]:
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [3327b79ca51d6cac]:
Attempting to mount with the following options:
ecryptfs_unlink_sigs
ecryptfs_fnek_sig=3327b79ca51d6cac
ecryptfs_key_bytes=16
ecryptfs_cipher=aes
ecryptfs_sig=3327b79ca51d6cac
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key
before. This could mean that you have typed your
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [3327b79ca51d6cac] to
[/root/.ecryptfs/sig-cache.txt]
in order to avoid this warning in the future (yes/no)? :
Would you like to append sig [3327b79ca51d6cac] to
[/root/.ecryptfs/sig-cache.txt]
in order to avoid this warning in the future (yes/no)? : no
Not adding sig to user sig cache file; continuing with mount.
Error mounting eCryptfs: [-22] Invalid argument
Check your system logs; visit <http://launchpad.net/ecryptfs>

查看系统日志

Oct 31 00:20:42 bugle-PHD1 sudo: pam_sm_authenticate: username = [bugle]
Oct 31 00:20:42 bugle-PHD1 sudo: pam_sm_authenticate: /home/bugle is already mounted
Oct 31 00:22:56 bugle-PHD1 kernel: [ 2272.512878] Mount on filesystem of type eCryptfs explicitly disallowed due to known incompatibilities
Oct 31 00:22:56 bugle-PHD1 mount.ecryptfs: Failed to perform eCryptfs mount: [Invalid argument]
Oct 31 00:22:56 bugle-PHD1 kernel: [ 2272.537745] Reading sb failed; rc = [-22]

我的系统在安装前已经设置主文件夹加密，是否和这个有冲突？

[bugle]

找到原因了，正如我上面所讲
如果系统安装时已经设置主文件夹加密，就无法再按楼主的方法对系统里的文件夹加密了
换了个没加密的系统就可以按LZ方法操作了

[tonytam]

truecrypt的缺点是存放其实是文件
ecrypt很好

[独孤]

mark

[naqch]

好东西，很合适我

[sysiphysus]

非常好，留贴待查