EncFS в Windows. Автоматическое монтирование.

Аватар пользователя VA
Автор: Виталий,
(0)
()
Опубликовано в:

EncFS в Windows. Автоматическое монтирование.

Свободное ПО. Dokan, encfs4win.

 

Этой темой занимался много месяцев тому назад. Многие подробности забыты, причин(н?)о-следственные связи тоже. (Это относится и цепочке команд для монтирования. Выкладываю почти без объяснения то, что работает не один год под Windows XP). Прошу извинить, если в чём-то окажусь неправ и поправить.
Описание настроек предоставляется безо всяких гарантий на работоспособность. По принципу AS-IS. Впрочем, по этому принципу надо относиться ко всему здесь мною сказанному. Субъективные суждения человека, хотя и сделавшего подобное, но который не даёт советы, а только предоставляет информацию.
Решать, что с ней делать – только Вам.
Несколько раз проверьте работоспособность в тестовом режиме. Если она Вас устроит – можно использовать.

Не забывайте о своевременном создании архивов с важными данными – для их беспроблемного восстановления в случае потери оригинала.
!!с обязательной проверкой этапа восстановления!!

 

Удобства общения с облачными хранилищами многие уже оценили. О возможных проблемах, при хранении напрямую своей информации в облаках многие (действительно заинтересованные в безопасном её сохранении), также знают.

Описаний прелестей EncFS при работе с “облаками” много, могу предложить, взятое почти наугад одно из них - http://s.chervach.com/encfs-zashhita-informatsii-v-ubuntu-linux/

Как  для большинства нормальных людей, после решения использовать EncFS, захотелось облегчить себе жизнь. Решение нашлось  – BoxCryptor, который сначала мне показался самым удобным для использования EncFS.

Он же, после размышлений, стал поводом для разворота к Dokan + encfs4win.

Потому, что -

  1. Программа нероссийской разработки. Предназначена для продажи.

Ну, а продажное в этой теме…( и не только в этой). Всегда имеет свои, как я слышал, особенности. Включая лицензирование, сертификацию. С вытекающими последствиями.

  1. Напрягло то, что имя файла обязано быть .encfs6.xml
  2. Оч-чень напрягло то, что файл .encfs6.xml обязан лежать в определённом месте.

У некоторых людей есть склонность к стремлению к идеалу, к вылизыванию до блеска какого-то способа решения. Что при поклейке обоев, что при копании грядок. Применительно к нашей сегодняшней жизни, это, наверное, дурная черта характера. Сложно таким фантазёрам соблюсти разумный баланс между трудозатратами и требуемым качеством продукта. Тянет избавиться от всех недостатков и вложить в продукт всё возможное, что в данный момент совсем и не нужно. Но, тем не менее…

Далее следуют пример конфигурации свободного, бесплатного ПО.

- который позволяет переименовать название файла .encfs6.xml
- который позволяет хранить его в любом доступном для программы преобразования месте
- который позволяет автоматически монтировать файловую систему. Небезопасно, т.к. пароль в этом случае хранится в открытом виде. Но, в некоторых случаях, удобство перевешивает здравый смысл. Особенно когда хочется иметь сразу готовый к употреблению каталог с файлами. Особенно когда есть защита в виде ПАРОЛЯ НА HDD, которая действует сразу после включения компьютера (многие модели такое предоставляют). Читал об утверждениях, что она более серъёзна, чем пароль в BIOS’e на загрузку и тем более пароли для учётных записей OS Windows.

Подсказка для начала, для некоторых, например – encfs.exe c:\1 c:\2
Выполнить надо, перейдя в каталог, куда распакованы файлы архива encfs.zip
Перед Вами откроется масса дополнительных интересных возможностей выбора установок.
От простых до параноидальных. После ответа на вопросы создаётся файл “.encfs6.xml”
Для начала тестирования можно ввести парольное слово - password

Файл для изменения - encfs_mount.cmd
Четыре строки помечены “!!” Восклицательные знаки надо убрать.
В третьей отмеченной строке указывается местоположение созданного “.encfs6.xml”, которому можно дать произвольное имя. Пусть имя будет… нейтральным  -  image.jpg
В четвёртой указывается пароль, который Вы выбрали при создании “.encfs6.xml”.

!!При таком способе ввода пароля действуют некоторые ограничения для использования некоторых служебных символов в парольном слове!!


@echo off

rem Batch file for mounting encfs encrypted folders

title encfs: Mount an encrypted folder to a decrypted one

 

rem Check if Windows XP or Windows 7

rem XP: C:\Documents and Settings (or language specific folder)

rem 7: C:\Users

 

set oprsystem=%appdata:~3,5%

if %oprsystem%==Users (

  set ops=win7

) else (

  set ops=winxp

)

 

 

set ininumber=1

rem An ini file will be created for future access

if not exist encfs.ini goto firsttime

set ininumber=0

 

rem List existing encrypted / decrypted folder pairs

echo Already existing encrypted / decrypted folder pairs:

echo.

for /F "tokens=1,2,3,4 delims=µ" %%i in (encfs.ini) do (

  echo No.: %%i         Name:             %%j

  echo Encrypted folder: %%k

  echo Decrypted folder: %%l

  echo.

)

echo.

echo Choose which pair should be mounted.

echo Type the corresponding number and press ENTER

echo Just press ENTER if you want to create a new pair.

echo.

 

set /p ininumber=Type number:

 

 

set new=yes

for /F "tokens=1,2,3,4 delims=µ" %%i in (encfs.ini) do (

  if %%i==%ininumber% (

    set crypt=%%k

    set decrypt=%%l

    set pair=%%j

    set new=no

  )

  set number=%%i

)

 

 

if %new%==no goto mount

rem Increment ininumber for new folder pair

set /a ininumber= %number% + 1

 

 

 

:firsttime

rem First time use

rem Ask for folder locations

 

cls

echo Please enter the location for the folder

echo that will contain the encrypted files and press ENTER:

echo [e.g. d:\crypt - don't use a trailing backslash]

echo.

 

rem set /p crypt=

!! set crypt=d:\КаталогСизменённымиФайлами

 

echo.

if %ops%==win7 echo Please enter the location for the drive

if %ops%==winxp echo Please enter the location for the folder

echo where you want to be able to access the decrypted files and press ENTER.

if %ops%==win7 echo [e.g. x: - don't use a trailing backslash]

if %ops%==winxp echo [e.g. d:\plain or x: - don't use a trailing backslash]

echo.

 

rem set /p decrypt=

!! set decrypt=c:\КаталогСфайламиКоторыеНадоСкрыть

 

echo.

echo Please enter a name for the encrypted / decrypted folder pair and press ENTER

echo [e.g. Secret Files]

echo.

 

rem set /p pair=

set pair=12

 

echo.

echo.

echo.

 

echo %ininumber%µ%pair%µ%crypt%µ%decrypt%>>encfs.ini

 

 

 

:mount

cls

echo Mount   "%crypt%"   to   "%decrypt%"

if not exist "%crypt%" md "%crypt%"

rem If decrypt folder is a drive and encfs is on its first run decrypt folder is set to a temp folder

set lastchar=%decrypt:~-1%

if "%lastchar%"==":" (

  if not exist "%crypt%\.encfs6.xml" (

    set decrypt="%temp%\decrypttemp"

    if not exist "%temp%\decrypttemp" md "%temp%\decrypttemp"

    echo.

    echo IMPORTANT

    echo After initialising encfs for the first time

    echo please close this window and start "encfs_mount" again

    echo.

    pause

    echo.

  )

) else (

  if not exist "%decrypt%" md "%decrypt%"

)

 

 

rem Mount encfs

echo.

!! set ENCFS6_CONFIG=d:\КаталогДляПереименованного_.encfs6.xml_в_ image.jpg \ image.jpg

rem encfs --public

!! echo password| encfs -S "%crypt%" "%decrypt%"

 

pause


Цепочку из 3StartZim.bat, 2.lnk, 1.cmd пришлось делать для того, чтобы не работать в Windows XP с каталогами из-под администратора.

Лучшего придумать тогда ничего не смог. Но – работает!

Сначала стартует encfs_mount.cmd, затем создаётся сетевой диск для доступа с правами обычного пользователя.
(При уже каком-нибудь действующем сетевом подключении).

 

3StartZim.bat

start d:\ Docs\Home\2.lnk

ping -n 3 localhost > null

start d:\ Docs\Home\1.cmd

2.lnk – Это созданная ссылка с "C:\Program Files\encfs4win\encfs_mount.cmd"

1.cmd

Rem отключаем вывод сообщений

rem @Echo Off

cmdextversion

Rem получаем доступ к ErrorLevel

SetLocal EnableExtensions EnableDelayedExpansion

Rem Удаляем существующие сетевые подключения

net use /delete * /yes

Rem пытаемся получить ответ от сервера - иначе сетевой диск недоступен

Rem our_server_name заменить на имя компьютера или IP-адрес

:Loop

Ping -n 1 -l 1 -w 1000 AsusWin

If Not "!ErrorLevel!"=="0" GoTo :Loop

 

Rem собственно подключаем сетевой диск

Rem следует указать верные данные!

Rem NET USE O: \\AsusWin\3 /PERSISTENT:NO /User:KIGALI\User Password

NET USE M: \\AsusWin\3\All /PERSISTENT:NO

Rem завершаем bat-файл, закрываем окно CMD

Exit

 

После удачной конфигурации должны получить в пользование защищённый каталог, предназначенный для, например, синхронизации с облаком, который монтируется автоматом, при помещении 3StartZim.bat в Автозагрузку. Либо вручную, одним щелчком запуская его же.

 

Некоторые бездоказательные мысли вслух.

Облачное хранение, удобнейшая вещь. А многие ли из обычных пользователей задумывались над тем, что Dropbox, Wuala, Megasync и прочие требуют административных привилегий для установки?

Соответственно, с возможным полным доступом ко всей информации на ПК.

Некоторые программы, после отказа на admin установку, соглашаются устроиться в каталоге "Application Data" текущего пользователя с ограниченными правами (если таковой ещё есть!). Но хрен редьки не слаще. Хотя доступ к системным файлам уже ограничен,
но самое важное - ВСЯ ИНФОРМАЦИЯ текущего пользователя, возможно, будет доступна такой программе.

Бесплатный сыр…
Предоставление огромных объёмов (http://yunpan.360.cn до 36TB!) у уважаемых китайцев за так...
И предоставление меньших у других, тоже не вкладывая ничего...
Наводит на размышления…
 Мои, по этому поводу, упомянуты в – http://bis-expert.ru/blog/8135/45486

Выход, решение, которое, как мне кажется, может быть, поможет в таких ситуациях - разграничение прав на доступ к каталогам и установка определённых прав для пользователя, из-под которого запускается программа для облачного хранения.
И сокрытие важного в облаке.

Т.е. на ПК должно быть минимум три учётные записи

  1. admin
  2. ограниченная, для повседневнего использования
  3. ограниченная, для запуска сервиса облачных программ (может и других, которым нужна связь с Инетом) с урезанными правами для чтения дисков, файлов 2-й уч. записи. Тут можно учесть права группы, создаваемой по умолчанию. Чтобы они не пересекались в ненужных местах с правами 2-й учётной записи.

Чтение и запись должны быть доступны только в специально выделенные для этого каталоги.

От всего, конечно, не упасёшься, но стараться свести к минимуму каналы утечек ведь нужно?

Оцените материал:
Total votes: 300
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.