ecryptfs-mount-private 在 ubuntu 15.04 上使用登录密码而不是挂载密码

lin*_*iao 2 ubuntu ecryptfs

当我使用时ecryptfs-setup-privateubuntu 15.04我被要求输入登录密码并设置挂载密码。 ~$ ecryptfs-setup-private -f Enter your login passphrase [******]: Enter your mount passphrase [leave blank to generate one]: Enter your mount passphrase (again):

我假设挂载密码将用作挂载Private目录的实际密码。但是当我执行时ecryptfs-mount-private,我的挂载密码返回错误,而用户的系统登录密码成功。有谁知道为什么? ~$ ecryptfs-mount-private Enter your login passphrase: Error: Unwrapping passphrase and inserting into the user session keyring failed [-5] Info: Check the system log for more information from libecryptfs ERROR: Your passphrase is incorrect Enter your login passphrase: Inserted auth tok with sig [****************] into the user session keyring

PS:ecryptfs-mount-private在另一台已ubuntu 14.04安装的机器上使用了挂载密码,所以我怀疑它与 ubuntu 版本有关。

小智 5

因为ecryptfs-utils包是硬编码的,有一些假设,如:

  • 您的加密文件存储在~/.Private目录中。
  • 您的解密数据将安装在~/Private目录中。
  • 加密密钥存储在~/.ecryptfs.
  • 加密密钥只是使用您的登录密码包装(编码)的安装密码,存​​储在~/.ecryptfs/wrapped-passphrase.
  • 用途AES16-byte在数据加密密钥加密。

因此,每当您尝试挂载eCryptfsusing 时ecrypt-utils,它都会要求您输入登录密码来解密wrapped-passphrase文件以获取实际挂载密码,然后使用它来挂载文件系统,这是有充分理由的。

它使用您的默认登录密码,这样您就不必记住两个不同的密码,更重要的是,在您登录时自动挂载它,因为它也使用您用于登录的密码来解锁您的Private数据。

如果您将挂载密码留空,它将被一个相当长且难以猜测的随机挂载密码替换,从而使您的.Private目录更加安全,因为黑客可以访问它,但不能访问您的wrapped-passphrase,他们将不得不猜测很长的安装随机密码,您甚至不必记住。这种技术的缺点是丢失wrapped-passphrase文件并且您不知道真正的挂载密码,甚至您将无法再访问解密的数据。

在您的情况下,您的自定义挂载密码与您的登录密码一起包含在~/.ecryptfs/wrapped-passphrase.

在其他没有wrapped-passphrase文件的机器上,它直接使用您提供的密码作为挂载密码,因此它可以在那里工作。

要使用自定义密码加密和解密数据,您至少有两个选择:

选项 1:使用自定义包装密码

设置私有目录时传递--nopwcheckecryptfs-setup-private不会强制输入真实的登录密码作为包装密​​码,因此发出:

$ ecryptfs-setup-private --nopwcheck

将接受您在 之后输入的任何密码Enter your login passphrase [******]:

对于挂载密码,您可以再次输入相同的密码,或者将其留空以生成一个,但是如果您害怕丢失,wrapped-passphrase如果它是自动生成的,您可以发出:

$ ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase

这将打印出真正的安装密码,您可以写下并保存在紧急情况下的安全地方。

选项 2:使用低层安装

低级挂载直接使用挂载密码。不包括包装/拆包。发行

# mount -t ecryptfs ~/.Private ~/Private

将为您呈现交互式安装。ecryptfs-utils除非你知道自己在做什么,否则选择兼容的选项,它们如下:

keytype: passphrase, passphrase: 输入真正的挂载密码(不包装),cipher: AES, key bytes: 16, plaintext paththrough: no, filename encryption: yes, fnek signature: 留空(默认)。sig-cache.txt如果要求,继续安装并添加签名。

即使两个目录都是空的,该命令也只能有效地在那些自定义目录中设置新的目录,但建议在使用它设置新的加密目录时不要将它与标准Private.Private目录一起使用,以免导致与标准ecryptfs-utils自动安装不兼容。

另见:eCryptfs - ArchWiki