Criptografar uma pasta individual no Linux MInt

Ferox_Lupinhabilis · Dezembro 19, 2025, 7:13pm

Boa tarde! Eu passei a usar o Ente Auth para autenticação de dois fatores das minhas contas, e ao criar a autenticação de dois fatores os sites me deram códigos de recuperação da conta para caso eu perca o autenticador.
Eu gostaria de colocar esses códigos numa pasta criptografada no meu computador, para evitar que, em caso de invasão, alguém tenha acesso a essa pasta.
Tentei usar o cryptsetup pra transformar a pasta num arquivo .img e montá-lo, mas sempre que tento montar dá erro e a operação é cancelada, e o volume fecha de novo. Qual a maneira mais simples de criar uma pasta criptografada no Linux?

mozertdev · Dezembro 19, 2025, 7:58pm

Boa tarde @Ferox_Lupinhabilis ! Vou tentar te ajudar com o seu problema.

Recomendo que você não deixe esses arquivos no seu computador mesmo que criptografado é um risco desnecessário. Ao invés disso:

Compre 2 pen-drive dual (que tem conexão USB-A “comum” e USB-C "usb de dispositivo móvel). Esses pen-drives serão usados exclusivamente para seus arquivos que precisam de segurança reforçada. Não coloque arquivos aleatórios neles.
Pen Drive SanDisk Ultra Dual Drive SDDDC2-032G-G46, 32GB, cinza/preto | Amazon.com.br
Use o Cryptomator para criar um cofre criptografado dentro de cada um dos pen-drives protegidos por uma senha robusta. (O cryptomator pode ser usado tanto no desktop quanto no celular ou tablet, isso te da mais liberdade caso precise usar um dispositivo que não seja um computador desktop para acessar seus arquivos).
Escreva seus códigos e senhas (dos pen-drives para abrir os cofres no cryptomator), a mão, de forma legível e organizada (identificando do que se trata) em uma folha de papel. Guarde essa folha em um local seguro onde somente você tem acesso.
Salve seus arquivos de recuperação nos cofres dos pen-drives.
Guarde o pen-drive principal em algum local seguro mas que você tenha fácil acesso. O pen-drive secundário, guarde em um lugar diferente e mais seguro que o primeiro (para você ter a garantia que se perder o primeiro por algum motivo, você não vai perder acesso as suas contas).
Todas as vezes que você for salvar algo novo no pen-drive principal, também salve no secundário para que você tenha pen-drives identicos com todas as informações que você precisa.
Confira periódicamente se seus pen-drives estão em perfeito estado de uso, para evitar surpresas indesejadas.

Apesar dessa abordagem ser mais trabalhosa e exigir algum investimento financeiro, ela tem inumeras vantagens:

Imunidade a Ransomware e Invasões: Como os arquivos ficam em pendrives desconectados (offline), nenhum hacker ou vírus que infecte seu PC poderá apagar ou roubar seus códigos de recuperação.
Acesso Universal: Por ser um Dual Drive com Cryptomator, você consegue acessar seus códigos até pelo celular em uma emergência, sem depender de um sistema operacional específico.
Redundância Geográfica: Ter dois pendrives em locais diferentes protege você contra incidentes físicos como incêndios, inundações ou furtos residenciais.
Portabilidade Segura: Se precisar viajar ou se mudar, você leva suas chaves mestre com você de forma compacta e criptografada.

Se você quiser seguir com a abordagem de apenas guardar os arquivos e as senhas no seu computador de forma criptografada, use o Cryptomator ou o VeraCrypt. O Cryptomator vai deixar o backup mais simples e portátil “caso você queira salvar em núvem - não recomendo”, o VeraCrypt já é mais robusto, consegue criar um “volume oculto criptografado” no seu sistema.

Ferox_Lupinhabilis · Dezembro 20, 2025, 11:30am

Obrigado pela resposta!
Eu agradeço muito a dica que me deu para ter mais segurança, mas eu não confio em pen-drives para coisas importantes do tipo. Pen-drives são feitos para serem baratos, e já vi muito pen-drive dar problema do nada.
Mas pode ser que eu aplique essa dica para um CD-RAM (se é que ainda existe pra vender), ou compre um HD externo.
Mas agradeço a dica do Cryptomator, funcionou para criptografar a pasta. Depois vou fazer backups físicos desse cofre e conseguir um HD externo! Depois que eu tiver o HD externo eu excluo o cofre do PC.

Dio · Dezembro 20, 2025, 11:42am

Oi Ferox!

Antigo, mas ainda funcional:

E existem outros no mesmo estilo que facilitam.

Outra opção é deixar essas credenciais num gestor de senhas, menos a do próprio gestor de senhas, claro, que aí poderia até ser anotada em um papel, além ter um backup frio.

Ferox_Lupinhabilis · Dezembro 20, 2025, 11:50am

Obrigado pela resposta! Vou dar uma olhada nessa solução. Eu já usei o cryptomator para criptografar os arquivos gerados pelos serviços que eu coloquei dois fatores, mas vou ver se VeraCrypt é melhor.

O “senhas e chaves” do Linux Mint pode ser usado pra isso?

Capezotte · Dezembro 20, 2025, 8:15pm

Parece que você já está confortável com o terminal, então dou a sugestão de usar o GPG (mesma ferramenta usada para assinar pacotes de distribuições e criptografar as comunicações de email entre os desenvolvedores):

# Criptografar
gpg -c <file_path>
# Imprimir o conteúdo do arquivo para a saída-padrão
gpg -d <file_path>

Pode criptografar um arquivo de texto com os dados que quer armazenar, ou, para realmente ser uma “pasta”, criar um ZIP/TAR.GZ e criptografá-lo assim – se bem que um ZIP pode ser criptografado com mecanismos do próprio formato, não sei se há vantagem em usar o GPG por cima.

Há a versão para Android do GPG também, que é o OpenKeychain.

Sim, ele é à base do Seahorse do GNOME.

Ferox_Lupinhabilis · Dezembro 21, 2025, 1:59pm

De fato, não sou iniciante no Linux. Eu diria que sou um usuário intermediário. Gosto de fazer as coisas da maneira mais prática, seja terminal ou por interface gráfica.
Sobre essa ferramenta, achei interessante, vou dar uma olhada. Mas ela criptografa melhor do que as soluções que me apresentaram anteriormente? ou é tudo a mesma coisa em questão de segurança?

Eu nem lembrei da opção de criar uma pasta compactada com senha, isso é uma criptografia segura? Ou é só uma senha num arquivo?

Entendi, obrigado!

Capezotte · Dezembro 21, 2025, 2:43pm

Todas, até onde sei, são à base do AES-256 e outros padrões bem estabelecidos de criptografia simétrica. Deve ser igualmente difícil descriptografar os arquivos, conservados fatores como conteúdo, senha, etc.

Se quiser ir além e esconder a importância do arquivo, acho que o VeraCrypt e o “pendrive por fora” sugeridos pelo @mozertdev são imbatíveis – uma coisa é ter o arquivo chamado “minhas_chaves.gpg” à vista na pasta Meus Documentos, outra coisa é deixá-lo numa área literalmente não mapeada no gerenciador de partições de um pendrive que fica escondido atrás de um fundo falso num cofre embaixo da pia da cozinha. Mas aí vai do seu grau de paranoia/modelo de ameaça/etc.

Depende da sua definição de segurança. Até onde eu sei, o ZIP/7-Zip são um pouco piores por usarem um modo do AES que é mais vulnerável a tentativas de alterar do arquivo, e que é sujeito a esse ataque, mas nenhum dos dois (pasta compactada ou GPG) permite que um invasor descubra o conteúdo do arquivo sem senha, e em ambos os casos ele pode chutar o balde e deletar o arquivo do seu computador/riscar o HD, etc.

Ferox_Lupinhabilis · Dezembro 21, 2025, 3:12pm

No caso são só chaves de contas de redes sociais, sites de compras, Steam, etc. Pen-drive eu não confio para armazenamento de coisas importantes assim, confiaria mais em NVMe externo, mas devido ao aumento do preço de NANDs, HD externo convencional pra mim faz mais sentido. E é mais confiável que NAND também (excluindo o fato que é mais frágil a impactos).

Em questão de excluir, desde que eu não perca acesso às minhas contas, eu consigo gerar de novo. Meu medo é só usarem essas chaves pra acessar as contas sem depender do autenticador.

Dio · Dezembro 22, 2025, 1:05pm

Tecnicamente, há como, mas ele é um programa pensado para uma finalidade um pouco diferente, ele é mais um “chaveiro” para o sistema, menos para o usuário, no sentido pessoal.

Se ideia for criptografar pastas inteiras e acessar eventualmente, o Veracrypt é mais prático por ter uma interface. O KDE Plasma, você pode usar o Vaults, disponível integrado no sistema também.

Mas tem várias opções mesmo, especialmente se você quiser ferramentas de terminal.

mozertdev · Dezembro 23, 2025, 1:23am

Opa, boa noite @Ferox_Lupinhabilis ! Que bom que a dica do Cryptomator e do VeraCrypt foi útil pra você.

Quanto a dica dos pen-drives, eles são a opção mais barata possível para fazer um backup desse tipo. E com certeza o risco de perda é maior quando comparado com os SSD’s NVME externos e com os HD’s externos. Considerando uma taxa de falha anual comum de 2% para pendrives de entrada, a chance de ambos falharem simultaneamente por causas naturais é de 0,04% (1 em 2.500).

O perigo maior é a Causa Comum. Se for manuseado da forma errada (causando estresse excessivo sobre a estrutura enquanto conecta ou desconecta), armazenado em lugares umidos ou com muita poeira, utilizados em uma porta USB com surto elétrico no mesmo PC ou até mesmo retirado do aparelho sem fazer o procedimento correto a chance de perda de dados é muito grande.

Usando as outras formas de armazenamento você teria melhor resultado, com certeza. Mas como tudo depende do cenário de uso vou deixar dois cenários distintos e você vê se algum deles se encaixa na sua necessidade:

Cenário 1: Uso Diário e Mobilidade (Acesso a Senhas)

Ideal para quem usa KeePassXC e precisa de acesso rápido no PC e Celular para logar nas suas contas usando o banco de senhas.

A Configuração: Pendrive Dual (USB-A/C) + Cryptomator (para criptografia móvel e PC) + HD Externo (Backup Frio em casa).
A Estatística: Combinando um pendrive (falha de ~2%) com um HD externo (falha de ~1%), a probabilidade matemática de falha simultânea cai para 0,02% (1 em 5.000).
Vantagem Estratégica: Como o HD externo fica desconectado e em um local diferente, ele está imune a surtos elétricos do PC e a perdas na rua. Se o pendrive sumir ou queimar, sua vida digital está salva no “frio”.

Cenário 2: O Cofre de Arquivamento (Dados Críticos)

Ideal para fotos, documentos, backups de longo prazo, códigos e senhas que você não acessa todo dia.

A Configuração: SSD NVMe Externo (Drive Principal) + HD Externo (Drive Frio), ambos protegidos com VeraCrypt.
A Estatística: SSDs e HDs externos de boa qualidade têm taxas de falha anuais baixas. A chance de um evento catastrófico atingir ambas as unidades guardadas em locais seguros é estimada em menos de 0,01% (1 em 10.000).
Vantagem Estratégica: O SSD NVMe oferece velocidade excelente para quando você precisa organizar os dados. O HD externo garante a estabilidade do armazenamento magnético para os anos em que o arquivo ficará guardado. O uso do VeraCrypt garante que, mesmo que o dispositivo seja roubado, ninguém acessará seu conteúdo, já que estará encriptado e disposto como um volume oculto.

Dados baseados em taxas médias da indústria NAND e relatórios anuais de confiabilidade de drives (Backblaze AFR).