标签: ecryptfs

如何防止用户在不删除相应软件包的情况下加密我们公司内部服务器上的主文件夹？

我可以启用任何策略来防止这种情况发生吗？

编辑：原因是员工离开时不应在这台机器上留下加密形式的数据。他们有机会在某种程度上在他们的个人工作站上使用加密。这些用户没有超级用户权力。

在 Ubuntu Server 12.04 LTS 上，ecryptfs 设置在我的 /home/user/.private 目录在我登录时解密的位置。然后我可以访问我在 /home/user/private 中的文件。

但是，如果我没有登录服务器，而是使用 SSH 从 Ubuntu 桌面访问 Nautilus 中的服务器，则 Private 文件夹仍然是加密的，因此我无法查看文件。

有没有办法当通过 Nautilus 使用 SSHFS 并挂载 SSH 共享时，服务器将解密 .private 目录？

或者，只要打开服务器就可以一直解密吗？如果服务器关闭（即硬盘被盗），我只对加密感兴趣。

我已经使用 Ubuntu 的加密主文件夹系统有一段时间了，除了两个特定情况外，并没有真正注意到任何减速。

1. 当我du -s在我的主文件夹中运行时，它比在未加密分区上的相同数据上运行所需的时间长几倍。
2. 在 Krusader 中输入包含超过 1000 张图像的文件夹时，Krusader 需要 10-20 秒才能显示文件（在此期间完全没有响应）。

两者似乎都与访问数千个文件有关，而没有真正读取它们的任何数据，这似乎意味着系统将不得不遍历大量的 inode。我不明白为什么在 ecryptfs 上这会比不使用加密时慢，因为即使 inode 全部加密，这仍然应该是 IO 绑定而不是 CPU 绑定。

有没有人有任何想法？

我已将 sshauthorized_keys 移至 /etc/ssh/ 子文件夹，因此我可以使用 pubkeys 登录并让 root 控制 ssh 访问，但还剩下 2 个问题。

它不会自动挂载我的用户 ecryptfs，当我手动挂载它时，我的终端设置不会加载，例如别名和路径。我怎样才能在 sshlogin 上实现这一点？

我安装了带有加密主目录的 Ubuntu 12.04。当我第一次启动时，我可以选择将密钥文件存储到一些闪存驱动器 (USB) 或任何东西，并且有一个提示，以后如何做。我想稍后再做，但现在在任何文档中都找不到在哪里或如何生成密钥文件。

那么命令是什么，文件在哪里？Ecryptfs-manger 只让我生成一个新对。

非常感谢提前

我的目标是我想要一个 Xubuntu/Ubuntu 双启动，但有一个问题 - 我希望使用 dm-crypt （本机提供）整个磁盘加密来完全加密磁盘。现在我知道，开箱即用的 ubuntu 安装程序不会让这对我来说变得简单，也许这是不可行的，因为我不确定我最终能否欺骗这些工具为每个根文件系统创建两个不同的 initrd 配置。

所以问题：

1. 以前有人这样做过吗？我是否缺少一种简单的方法来做到这一点？

2. 给定 (1) 是负数... 我应该为每个安装（xubuntu/ubuntu）创建单独的基本加密卷，还是应该只创建 1 个加密卷并在其中单独安装分区？我倾向于后者以使过程更简单。但是我不确定引导加载程序将如何处理这个问题。

b. 一旦我安装了第一个发行版，如果我使用 1 个加密卷，我如何解密它并安装第二个发行版（并正确更新引导加载程序、initrd 等）？

我询问了 Security Stack Exchange 的安全方面的问题。

我使用以下方法更改了我的 ubuntu 用户密码：

$ sudo passwd

现在，当我重新启动并使用新密码登录时，会显示以下警告：

Signature not found in user keyring
perhaps try the interactive 'ecrypt-mount-private'

还

$ ls command 

仅显示这两个目录：Access-your-private-data.desktop和README.txt

我尝试使用以下方法启动图形界面：

$ startx

但收到以下错误：

timeout in accessing locking authority file /home/my_username(aman)/.Xauthority

我记得我的旧密码和新密码，但忘记了密码，所以使用以下方法检索它：

$ ecryptfs-unwrap-passphrase /home/aman/.ecryptfs/wrapped-passphrase

在此之后，我无法弄清楚如何在图形界面中继续并登录到我的家庭文件夹。

我的主目录使用 Ecrypfts (AFAIK) 加密。我正在使用在后台运行的 Dropbox 服务将本地文件与云同步。从 18 年 11 月开始，dropbox 将仅支持使用 LUKS 加密的 ext4 分区。

我想从 Ecrypfts 切换到 LUKS。这是 blkid 的输出。

 /dev/nvme0n1p6: UUID="b49f5039-2524-4e7a-ba28-96f935367c7e" TYPE="ext4" PARTUUID="9124511d-c89a-4944-b346-c1f30a98801d"
 /dev/nvme0n1p7: UUID="e26b7783-5a36-4855-8a30-56bb21e4d310" TYPE="swap" PARTUUID="25ab9b40-5886-4a0a-b631-fced0caa0869"
 /dev/mapper/cryptswap1: UUID="f442df5d-5420-48f5-966a-d3d264ab9bfa" TYPE="swap"

我还没有找到任何关于如何做到这一点的文章。有没有安全的方法在这两种加密类型之间切换？

编辑：

/etc/crypttab

cryptswap1 UUID=e26b7783-5a36-4855-8a30-56bb21e4d310 /dev/urandom swap,offset=1024,cipher=aes-xts-plain64

ls -l /dev/mapper

crw------- 1 root root 10, 236 Aug 26 11:18 control
lrwxrwxrwx 1 root root       7 Aug 26 11:18 cryptswap1 -> ../dm-0

就像标题一样，

boywithaxe@Xerxes:~$ sudo ecryptfs-migrate-home -u test
[sudo] password for boywithaxe: 
sudo: ecryptfs-migrate-home: command not found
boywithaxe@Xerxes:~$

我意识到这可能是一个非常愚蠢的问题，但谷歌搜索字符串没有返回任何内容。有任何想法吗？

我的问题：在安装 Ubuntu 12.04 期间选择加密时：/home 中的所有内容是否都已加密，还是只是进行安装的用户的主目录？

具体来说，我在安装过程中启用了我的主目录的加密。现在我需要一个目录（让我们将其命名为“外部”），其中没有加密将处于活动状态以实现最大硬盘性能（录音）。'mkdir /home/outside' 或更好的 'mkdir /outside'（后跟适当的 chown 和 chmod）是否足够？

我正在运行 Ubuntu 18.04.1 LTS，但在安装ecrypt-utils应用程序时遇到问题。请参阅下面的输出：

ubuntu@ubuntu:~$ sudo apt install  ecryptfs-utils
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Package ecryptfs-utils is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source

E: Package 'ecryptfs-utils' has no installation candidate

任何帮助深表感谢。

我只想更改具有加密主目录的用户的用户名。有没有一种简单的方法来代替建议的恢复等？

• 如何将加密的主目录移动到另一个分区？
• 如何将加密的 /home 移至新计算机？

/proc/1/mountinfo 文件的用途是什么？当询问时它说它是空的

/proc/1$ file mountinfo
mountinfo: empty

当使用“less mountinfo”打开时，它显示这种类型的条目（最后 2 个条目）

219 28 0:51 / /home/isa rw,nosuid,nodev,relatime shared:280 - ecryptfs /home/isa/.Private rw,ecryptfs_fnek_sig=dc471b2a4b622179,ecryptfs_sig=1b0c19aa8a93a0cb,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs
223 308 0:49 / /run/user/1000/gvfs rw,nosuid,nodev,relatime shared:287 - fuse.gvfsd-fuse gvfsd-fuse rw,user_id=1000,group_id=1000