EncFSGui – macOS上的encfs图形化封装工具

引言

三周前，我发表了一篇关于加密工具的抱怨，特别针对macOS上缺乏点即用、用户友好的基于加密的文件保护工具。我列出了个人对这类工具的功能和技术标准，并得出结论：行业似乎对这些标准有不同的看法。事实上，过去唯一满足我所有标准的工具（BoxCryptor Classic）已不再支持当前操作系统版本，并被基于不同技术的工具取代，移除了我认为重要到值得付费的功能。

我多次在推特上提及这一抱怨，但遗憾的是没有收到任何解决方案。至少没有人指出我的标准列表毫无意义……但鉴于整体缺乏反馈，我不确定这意味着什么。

无论如何，由于我决定在2015年12月重新开始学习C++，我认为自己编写一个易于使用、实现所需功能并在我使用的系统（主要是macOS Yosemite和El Capitan）上运行的工具会是一个有趣的挑战。

今天，我准备展示EncFSGui项目。你可以在https://github.com/corelan/EncFSGui找到项目仓库。仓库包含源代码、Makefile和编译后的二进制文件。它是开源的，但不是免费的。（至少对我来说不是免费的。我花了相当多的时间编写这个应用程序，这需要我在工作、家庭和其他有趣的事情之间做出选择。）总之，没有免费的午餐。欢迎捐赠。（我本可以在App Store上出售这个应用程序……可能对我来说工作量相同。）

是什么？

EncFSGui是一个用C++编写的macOS应用程序。它依赖wxWidgets框架实现GUI部分。EncFSGui依赖于系统中某些二进制文件/工具的存在，并简单地启动这些工具并传递必要的参数，捕获和处理输出。换句话说，它是一个封装器。它本身不实现加密，也不实现文件系统的创建，而是依赖两个默认不在macOS中的工具：encfs和OSXFuse。此外，它还使用标准工具如“mount”、“umount”和“expect”。为了限制你需要自行安装的依赖项数量，EncFSGui静态链接了wxWidgets和libcurl。

对于不熟悉encfs和osxfuse的人：

• encfs是一个基于Fuse的免费加密文件系统。它是基于文件的，这意味着它会透明地加密/解密单个文件。换句话说，如果对单个文件进行了更改，只有该文件会被更改。如果这个encfs加密文件夹同步到云端，只有更改的文件需要更新。它使用一个任意文件夹配置为“encfs”加密源文件夹，并使用osxfuse将其挂载为一个你可以使用的明文版本。这个明文版本的行为就像系统上的一个卷，使其非常易于使用。当encfs和osxfuse安装后，你可以：

  • 使用“encfs”创建一个新的encfs加密文件夹
  • 通过将其挂载为明文卷来解密encfs加密文件夹
  • 与明文版本交互，允许encfs在后台实时加密/解密
  • 当你不再需要访问解密/明文版本时，卸载明文卷

• osxfuse是“用户空间文件系统”的macOS实现。它允许非特权用户创建自己的文件系统，并被encfs用来在encfs加密文件夹的解密版本中提供实际的文件系统。osxfuse是MacFUSE的继任者，后者不再维护。你可以在https://osxfuse.github.io/获取更多关于osxfuse的信息。

由于EncFSGui不提供实际的加密或文件系统功能，你可以启动和停止该工具，而不会改变加密文件夹的挂载状态。尽管我同意封装器不是构建东西的最令人兴奋的硬核方式（因为它的功能依赖于它使用的工具的参数和输出），但它比BoxCryptor Classic和EncFSMP等工具有一个重要优势，因为你不需要保持应用程序运行来保持卷挂载。至少，我发现这在某些情况下非常有用。

安装EncFSGui

在macOS系统上运行EncFSGui是一个四步过程。我会尝试找到一种方法将其变为一步过程，同时不失去不需要保持工具运行即可访问挂载的encfs文件夹的优势。无论如何，目前你需要运行下面列出的四个步骤。

记录一下，我只在macOS Yosemite和El Capitan上尝试了这些步骤。我不知道在旧版本的macOS上程序是否会有所不同。

1. 安装Homebrew

我决定使用Homebrew作为包管理器。在安装包之前，你必须先安装Homebrew本身。如果你已经安装了，可以跳过这一步。（只需确保Homebrew是最新的。）

为了能够使用Homebrew并安装包，你需要gcc编译器。在最近版本的macOS上，当你尝试运行“gcc”时，会提示你安装Xcode命令行工具。如果不是这种情况，你也可以通过App Store安装Xcode，然后自己安装命令行工具。

所以，首先打开一个终端（命令提示符）并运行“gcc”。如果你收到消息“clang: error: no input files”，那么gcc已正确安装。如果提示安装Xcode命令行工具，请安装。如果你没有安装gcc且没有收到提示，你必须先安装Xcode，然后用“xcode-select –install”安装命令行工具。

安装gcc后，你可以继续安装Homebrew。从终端命令提示符运行以下命令：

1
2
3

ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
sudo chown -R $(whoami) /usr/local/lib
brew doctor

2. 安装osxfuse

安装osxfuse要简单得多。转到https://sourceforge.net/projects/osxfuse/files/并下载最新版本。在撰写本文时，2.x分支的最新版本是2.8.3。如果你决定运行3.x版本，我不期望会有重大问题，但我自己没有测试过。

无论如何，下载最新版本（.dmg镜像文件）。打开dmg文件并双击“Install OSXFUSE 2.8.pkg”图标。点击安装过程，完成。

3. 安装encfs

安装Homebrew后，这一步就像运行以下命令一样简单。一次只运行一个命令，以确保在需要时可以输入密码。

1
2
3
4
5
6

brew update
sudo chown -R $USER:admin /usr/local/include
sudo chown -R $USER:admin /usr/local/lib/pkgconfig
brew link xz libtool boost rlog
brew doctor
brew install homebrew/fuse/encfs

要检查encfs是否工作，运行“encfs –version”。你应该得到类似这样的输出：

1
2

corelanc0d3r@~: # encfs --version
encfs version 1.8.1

4. 安装EncFSGui

要获取EncFSGui的最新副本，从https://github.com/corelan/EncFSGui/raw/master/release/EncFSGUI.dmg下载镜像文件。

打开dmg文件，只需将“encfsgui.app”图标拖到“Applications”图标上。这会将.app捆绑包复制到你的本地/Applications文件夹。等待复制完成，你就全部设置好了。

如果你打开Launchpad（或查看已安装应用程序列表），你应该看到EncFSGui应用程序。

由于我不是注册的Apple开发者，应用程序需要你的权限才能运行。当尝试启动EncFSGui时，你（很可能）会收到一个如下所示的警告：

如果你决定信任我预编译的二进制文件（即，如果你不想自己编译源代码），并想推翻限制，启动“系统偏好设置”实用程序并打开“安全与隐私”面板。

在“通用”窗格中，你会看到一个名为“允许从以下位置下载的应用程序”的部分。在该部分中，你应该看到对encfsgui.app的引用和一个“无论如何打开”按钮。

点击按钮。你会得到另一个要求确认的对话框。

点击“打开”。就这样。从这时起，你将能够运行此应用程序而无需提示或警告。请记住每次更新EncFSGui应用程序时都要这样做。

注意：如果你不信任我的二进制文件，请务必检查github仓库页面。它包含了如何设置开发环境的所有详细步骤。我甚至提供了Makefile，所以你可以自己编译源代码。可重现的构建FTW。

EncFSGui技术细节

EncFSGui是一个独立的二进制文件。它将配置存储在~/Library/Preferences中，一个名为“encfsgui Preferences”的文件中。该文件由应用程序创建，并包含一个类似纯文本“ini文件”的结构。尽管很容易读取和操作该文件，但强烈建议不要自行更改此文件。

除了这个永久配置文件外，EncFSGui可能会创建一个名为Tcreateencfs.exp的临时文件（存储在/var/folders///T/下）。该文件包含一个expect脚本，用于自动化创建新encfs文件夹的过程。该文件在创建新encfs文件夹时创建，并在过程完成后删除。

如果expect脚本不包含正确的内容（因为你的encfs二进制文件在输出（问题等）方面与我的看起来不同），可能会导致应用程序挂起。这是反对使用封装器的论点之一。另一方面，由于我自己在使用EncFSGui（并且我计划尽可能保持encfs更新），我可能会自己发现问题并尝试修复它们。（是的，我也接受拉取请求。）

EncFSGui不喜欢带有引号或双引号的密码。（它不会从密码字段中过滤它们，我会尝试找到解决方案。）此外，EncFSGui也会拒绝卷名中的空格、引号和双引号。事实上，EncFSGui会在保存新名称之前从卷名字段中删除这些字符。

启动时，EncFSGui会监控“mount”命令的输出以捕获已挂载的卷。如果其中一个卷与应用程序中配置的卷匹配，它会将它们标记为“已挂载”。运行时，EncFSGui在一个对象数组中记住所有配置卷的挂载状态。

尽管为Linux变体编译EncFSGui相当容易，但它确实包含一些硬编码路径（如对~/Library/Preferences和~/Library/LaunchAgents的引用），以及encfs、mount和umount二进制文件的默认路径（可以通过编辑设置来覆盖）。无论如何，更新源代码并构建操作系统检查以更通用的方式确定位置应该是可行的。

最后，为了允许EncFSGui在启动时启动（这是一个默认禁用的全局选项），一个名为“org.corelan.encfsgui.LaunchAtLogin.plist”的文件将在~/Library/LaunchAgents下创建。这只在你启用选项时发生。当你再次禁用选项时，文件将被删除。

使用EncFSGui

GUI

首次启动EncFSGui时，你会看到两件事：GUI本身和一个任务栏图标。GUI会显得相当空，只有4个按钮激活：“创建”、“打开现有”、“设置”和“退出”。

在窗口底部的状态栏中，你会看到在EncFSGui中配置的卷数。在右侧，你会得到encfs特定信息。如果EncFSGUI无法在/usr/local/bin/encfs找到encfs（这是应用程序中的默认值），所有GUI按钮将被禁用，除了“设置”和“退出”。你可以通过设置更改encfs路径。

当你点击任务栏图标时，你会得到一个包含以下项目的弹出菜单：

设置

让我们先看看设置。在撰写本文时，当前版本包含以下选项：

这些选项大多数是不言自明的。你基本上可以设置/更改一些重要二进制文件的绝对路径。老实说，我可能会保留encfs的那个，但删除mount和umount的那些，因为那些是标准二进制文件（我可以告诉EncFSGui自己找到它们）。这将与目前无法设置“expect”二进制文件的完整路径一致。无论如何，这个区域的事情很快就会更新。

接下来，你可以设置一些启动和退出选项：

• 登录时启动encfsgui：这是一个用户特定的设置，会在你登录时导致encfsgui启动。
• 启动encfsgui作为任务栏图标：这允许你在启动应用程序时隐藏GUI（只在任务栏显示一个图标）。你可以使用任务栏图标弹出菜单中的“启动EncFSGui”菜单项再次使GUI可见。
• 关闭应用程序时自动卸载卷：这允许你在关闭应用程序时卸载所有挂载的卷。可能值得提及的是，你可以按卷覆盖此设置。（换句话说，你可以卸载所有卷，除了那些“受保护”的卷。）
• 退出时不要求确认：如果你是一个效率狂热者，不喜欢关闭应用程序时的额外“你确定吗”消息，那么这个选项就是你需要的。
• 启动时自动检查更新：尽管此时默认仍禁用，我可能会在未来的版本中默认启用此选项。（一旦大量更改减少一点。）

点击“取消”将忽略你做出的任何更改。点击“应用”将保存更改并关闭对话框。

这带我们到应用程序的主要目的：管理加密文件夹。

创建一个新的encfs加密文件夹

创建一个新的encfs文件夹涉及两个空文件夹：

• 一个将被配置为encfs加密文件夹。
• 另一个将被用作挂载点（即加密文件夹的明文/解密版本将被挂载的位置）。这也是你必须与之交互的位置（打开文件、保存文件等）。永远不要直接在加密的encfs文件夹中更改任何文件或文件夹！！

此外，你需要指定一个“卷”名称。这只是一个逻辑名称，但它是一个相当重要的名称：

• 它必须是唯一的
• 当你请求挂载encfs文件夹时，它将用作卷的名称

幸运的是，你可以更改此卷的名称（只要它没有挂载）。不要在此名称中使用空格、引号或双引号。保持简单和相关。

除了指定卷名和两个文件夹位置外，你必须选择一个EncFS配置文件。此配置文件确定将用于此文件夹的加密强度，从而也影响性能。我试图围绕三个预设做出平衡的决定，但如果你不同意我的选择，你总是可以使用“自定义”配置文件设置自己的偏好。请记住，之后你不能更改这些设置。你可以在encfs手册页中找到关于其中一些设置（及其对安全性与性能的影响）的更多细节。

首次打开“创建”功能时，EncFSGui会为你的设备填充支持的文件名编码机制。最常见的是“Stream”、“Block”和“Null”。在某些设备上，你可能还会看到“Block32”。如果你计划在多个系统上共享encfs文件夹（例如通过Dropbox/SugarSync或其他云同步平台），请确保检查文件名编码机制是否在所有系统上都支持。

接下来，你需要为encfs加密文件夹输入一个密码。此密码用于访问用于加密/解密encfs文件夹的密钥。换句话说，你以后可以更改密码（使用“encfsctl”工具），而无需解密和重新加密所有文件。我还没有实现更改encfs文件夹密码的能力，但我会实现。正如你在上面的屏幕截图中所见，你可以选择将密码存储到钥匙串中。EncFSGui使用login.keychain这样做，并将密码存储在“EncFSGUI_”下。如果你用encfsctl更改了encfs文件夹的密码，你可以使用EncFSGui中的“编辑”功能更新钥匙串中的密码。

最后，你可以设置两个与挂载相关的选项。你可以告诉EncFSGui在EncFSGui启动时自动挂载卷（除非卷已经挂载）。你也可以防止此卷在关闭应用程序时自动卸载。如果你设置了全局选项在关闭应用程序时自动卸载卷，并且你想为这个特定卷覆盖该设置，这可能会有帮助。

当你点击“应用”时，EncFSGui将构建一个“expect”脚本并启动该脚本，将密码作为参数传递给它。它将等待“expect”完成，并检查是否在encfs加密文件夹中创建了一个名为.encfs6.xml的文件。此文件包含该文件夹的encfs配置。永远不要自行更改此文件，因为你很可能会破坏东西。请确保在某处保留副本，因为如果文件丢失或损坏，你将无法再挂载encfs文件夹。

如果一切顺利，新的encfs文件夹被创建并添加到EncFSGui中。此时它不会被挂载。

如果你在表中选择一行，其他一些按钮将变得可见：浏览、删除、信息和编辑。

如果你点击“信息”，你可以看到对加密文件夹运行“encfsctl”的输出：

挂载和卸载文件夹

要将encfs文件夹挂载为明文卷，只需在表中选择相应的行，并点击“挂载和暴露”按钮。除非你配置了EncFSGui将密码存储在钥匙串中，否则你会被提示输入密码。EncFSGui然后将构建一个encfs命令，传递密码，尝试挂载选定的文件夹。

当卷挂载时（通过检查“mount”命令的输出确认），表将指示文件夹已挂载。“已挂载”列将指示“是”，行的颜色将变为红色而不是蓝色。

EncFSGui将提示输入密码最多5次然后放弃。添加更多“暴力”保护没有意义，因为通过encfs也可以轻松编写脚本。如果没有篱笆，为什么要关上门。

要卸载，只需选择已挂载卷的行，并使用“卸载和锁定”按钮。确保先关闭任何打开的文件，以避免数据丢失。

注意：你可以直接从任务栏图标弹出菜单挂载和卸载卷。

再次，如解释，除非你配置了EncFSGui在关闭应用程序时自动卸载文件夹，关闭应用程序不会对你的encfs文件夹的挂载状态产生任何影响。如果你再次打开应用程序，它应该通过查看“mount”命令的输出自动获取挂载状态。

将已存在的encfs文件夹添加到EncFSGui

除了创建一个全新的encfs文件夹外，你还可以将已存在的encfs文件夹添加到EncFSGui。例如，这将允许你用EncFSGui打开BoxCryptor Classic文件夹。EncFSGui的当前版本将检查指定的encfs文件夹是否包含.encfs6.xml文件，以确定这是否是一个有效的encfs文件夹，然后再将其添加到EncFSGui中。（当然，文件的存在并不保证文件有效。）

“打开现有”对话框看起来像这样：

如你所见，它看起来与“创建一个新的encfs文件夹”对话框非常相似，除了设置加密设置的能力。毕竟，在encfs文件夹创建后，我们不能更改任何这些设置。其他选项应该是不言自明的（因为它们与“创建一个新的encfs文件夹”对话框中的选项相同）。

点击“应用”不会对挂载状态产生任何改变。

编辑卷

EncFSGui允许你更改与encfs卷相关的一些设置（但不与encfs配置本身相关）。更改某些内容的能力由编辑时卷的挂载状态定义。

对于已挂载的卷，你只能更新钥匙串密码（如果你自己更改了底层encfs密码）。如果设置了钥匙串密码，你可以删除它，或者如果尚未设置，可以将密码添加到钥匙串。此外，你可以更改挂载选项。

对于未挂载的卷，你还可以更改卷名（但它在EncFSGui中必须是唯一的），并更改挂载位置（即encfs加密文件夹的明文版本将被挂载的位置）。

你可以通过“编辑”按钮编辑文件夹。对于未挂载的卷，你也可以双击表中的条目，这将显示“编辑”对话框。

浏览卷

如果你不知道在哪里查找已挂载的（明文）卷，你可以通过“浏览”按钮浏览/打开它。双击表中已挂载的卷将触发相同的事情。

常见问题解答

1. 我的encfs文件夹的密码安全吗？ 嗯，我不知道。EncFSGui不保存密码，但它会处理它，并在你创建新encfs文件夹