ecryptfs-mount-private использует пароль для входа в систему вместо пароля для монтирования в Ubuntu 15.04
Когда я использовал ecryptfs-setup-private на ubuntu 15.04 Меня попросили ввести пароль для входа в систему и установить пароль для монтирования.
~$ ecryptfs-setup-private -f
Enter your login passphrase [******]:
Enter your mount passphrase [leave blank to generate one]:
Enter your mount passphrase (again):
Я предполагаю, что контрольная фраза монтирования будет использоваться в качестве фактической парольной фразы для монтирования Private каталог. Но когда я казнил ecryptfs-mount-private, моя контрольная фраза монтирования возвратила ошибку, в то время как пароль системного логина пользователя прошел успешно. Кто-нибудь знает почему?
~$ ecryptfs-mount-private
Enter your login passphrase:
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
ERROR: Your passphrase is incorrect
Enter your login passphrase:
Inserted auth tok with sig [****************] into the user session keyring
PS: ecryptfs-mount-private использовал маунт-пароль на другой машине, которая имеет ubuntu 14.04 установлен, так что я подозреваю, что это как-то связано с версией Ubuntu.
1 ответ
Так как ecryptfs-utils Пакет поставляется с некоторыми допущениями, такими как:
- Ваши зашифрованные файлы хранятся в
~/.Privateкаталог. - Ваши расшифрованные данные будут смонтированы в
~/Privateкаталог. - Ключи шифрования хранятся в
~/.ecryptfs, - Ключ шифрования - это просто парольная фраза для монтирования (закодированная) с использованием вашей логин-пароля, хранящаяся в
~/.ecryptfs/wrapped-passphrase, - Пользы
AESс16-byteключ шифрования данных.
Таким образом, каждый раз, когда вы пытаетесь смонтировать eCryptfs с помощью ecrypt-utils, он запрашивает ваш пароль для расшифровки wrapped-passphrase файл, чтобы получить фактическую парольную фразу монтирования, затем использует ее для монтирования файловой системы, и это не зря.
Он использует вашу парольную фразу для входа в систему по умолчанию, чтобы вам не приходилось запоминать две разные парольные фразы и, что более важно, автоматически монтировать их при каждом входе в систему, поскольку он использует парольную фразу, которую вы используете для входа в систему, чтобы разблокировать Private данные тоже.
Если вы оставите пустую парольную фразу монтирования, она будет заменена довольно длинной случайной парольной фразой монтирования, которую трудно угадать, что сделает ваш .Private каталог более безопасный, так как хакеры имеют к нему доступ, но не ваш wrapped-passphraseОни должны были бы угадать очень длинную маунтинную парольную фразу, которую вам даже не нужно запоминать. Недостаток этого метода заключается в том, что потеря wrapped-passphrase файл, и вы не знаете настоящую парольную фразу монтирования, даже вы больше не сможете получить доступ к расшифрованным данным.
В вашем случае, ваша пользовательская парольная фраза монтируется в парольную фразу входа в ~/.ecryptfs/wrapped-passphraseи, чтобы смонтировать его, вы вводите свою пароль, но файловая система действительно разблокирована с помощью пароля.
На других машинах, которые не имеют wrapped-passphrase файл, он использует пароль, который вы предоставляете в качестве пароля монтирования напрямую, таким образом, он работает там.
Чтобы зашифровать и расшифровать данные, используя пользовательскую фразу-пароль, у вас есть как минимум два варианта:
Вариант 1. Использование пользовательской парольной фразы
Переходя --nopwcheck в ecryptfs-setup-private при настройке приватного каталога не будет принудительно вводить настоящую парольную фразу входа в качестве парольной фразы обертки, выдавая, таким образом:
$ ecryptfs-setup-private --nopwcheck
примет любую фразу-пароль, которую вы введете после Enter your login passphrase [******]:,
Для парольной фразы монтирования вы можете ввести тот же пароль еще раз или оставить его пустым, чтобы создать его, но если вы боитесь потерять wrapped-passphrase если он генерируется автоматически, вы можете выполнить:
$ ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
Это напечатает вам настоящую парольную фразу, которую вы сможете записать и хранить в безопасном месте в случае чрезвычайной ситуации.
Вариант 2. Использование низкоуровневого монтажа
При низкоуровневом монтаже используется пароль монтирования напрямую. Никакая упаковка не включена. Выдача
# mount -t ecryptfs ~/.Private ~/Private
представит вам интерактивный монтаж. Выберите параметры, совместимые с ecryptfs-utils если вы не знаете, что делаете, и они таковы:
keytype: passphrase, passphrase: введите реальную парольную фразу монтирования (не упаковывая ее), cipher: AES, key bytes: 16, plaintext paththrough: no, filename encryption: yes, fnek signature: оставьте пустым (по умолчанию). Продолжить монтирование и добавить подпись к sig-cache.txt если попросить
Даже если два каталога были пустыми, эта команда может эффективно работать только для настройки нового каталога в этих пользовательских каталогах, но рекомендуется использовать его для настройки нового зашифрованного каталога, чтобы не использовать его со стандартным Private а также .Private каталоги, чтобы не вызывать несовместимости со стандартом ecryptfs-utils автоматический монтаж.
Смотрите также: eCryptfs - ArchWiki