Похоже, что вы ищете не способ шифрования и дешифрования каталогов, а способ прозрачной работы с зашифрованным хранилищем. Обратите внимание, что предложенная вами схема с фактическим массовым дешифрованием и шифрованием не очень безопасна: она оставляет незашифрованные вещи, если вы не выходите из системы нормально (сбой питания, сбой системы, украденный ноутбук ...); и он оставляет следы ваших конфиденциальных данных, которые может найти решительный злоумышленник (данные из удаленных файлов все еще находятся на диске, их трудно найти).
Современные системы Linux предлагают несколько способов достижения прозрачного шифрования. Вы можете зашифровать весь том с помощью dm-crypt или одной из его альтернатив. Есть несколько инструментов, доступных для шифрования определенного дерева каталогов, включая ecryptfs (который работает на уровне ядра) и encfs (который работает исключительно в пользовательской среде через fuse). (Три, о которых я упоминаю, доступны в Debian lenny и должны предлагаться всеми вашими дистрибутивами.)
Вы можете настроить зашифрованные каталоги для монтирования при входе в систему либо через PAM ( libpam-mount
пакет; рекомендуемая опция для ecryptfs), либо через скрипты вашего профиля (рекомендуемая опция для encfs). Обратите внимание, что с «забыванием шифрования вручную» проблем не возникает, поскольку на диск ничего не записывается в незашифрованном виде.
Для лучшей защиты вы должны шифровать не только ваши конфиденциальные файлы, но и другие места, где конфиденциальные данные могут храниться программами. По крайней мере, вы должны зашифровать свой раздел подкачки. Другие места для просмотра включают /tmp
(лучше всего решить, сделав это tmpfs
), /var/spool/cups
если вы печатаете конфиденциальные документы, и файлы для приложений в вашем домашнем каталоге, такие как веб-кеши / истории (например ~/.mozilla
).