ecryptfs-mount-private 在 ubuntu 15.04 上使用登录密码而不是挂载密码

Question

当我使用时ecryptfs-setup-private，ubuntu 15.04我被要求输入登录密码并设置挂载密码。 ~$ ecryptfs-setup-private -f Enter your login passphrase [******]: Enter your mount passphrase [leave blank to generate one]: Enter your mount passphrase (again):

我假设挂载密码将用作挂载Private目录的实际密码。但是当我执行时ecryptfs-mount-private，我的挂载密码返回错误，而用户的系统登录密码成功。有谁知道为什么？ ~$ ecryptfs-mount-private Enter your login passphrase: Error: Unwrapping passphrase and inserting into the user session keyring failed [-5] Info: Check the system log for more information from libecryptfs ERROR: Your passphrase is incorrect Enter your login passphrase: Inserted auth tok with sig [****************] into the user session keyring

PS：ecryptfs-mount-private在另一台已ubuntu 14.04安装的机器上使用了挂载密码，所以我怀疑它与 ubuntu 版本有关。

Answer 1

因为ecryptfs-utils包是硬编码的，有一些假设，如：

• 您的加密文件存储在~/.Private目录中。
• 您的解密数据将安装在~/Private目录中。
• 加密密钥存储在~/.ecryptfs.
• 加密密钥只是使用您的登录密码包装（编码）的安装密码，存​​储在~/.ecryptfs/wrapped-passphrase.
• 用途AES与16-byte在数据加密密钥加密。

因此，每当您尝试挂载eCryptfsusing 时ecrypt-utils，它都会要求您输入登录密码来解密wrapped-passphrase文件以获取实际挂载密码，然后使用它来挂载文件系统，这是有充分理由的。

它使用您的默认登录密码，这样您就不必记住两个不同的密码，更重要的是，在您登录时自动挂载它，因为它也使用您用于登录的密码来解锁您的Private数据。

如果您将挂载密码留空，它将被一个相当长且难以猜测的随机挂载密码替换，从而使您的.Private目录更加安全，因为黑客可以访问它，但不能访问您的wrapped-passphrase，他们将不得不猜测很长的安装随机密码，您甚至不必记住。这种技术的缺点是丢失wrapped-passphrase文件并且您不知道真正的挂载密码，甚至您将无法再访问解密的数据。

在您的情况下，您的自定义挂载密码与您的登录密码一起包含在~/.ecryptfs/wrapped-passphrase.

在其他没有wrapped-passphrase文件的机器上，它直接使用您提供的密码作为挂载密码，因此它可以在那里工作。

要使用自定义密码加密和解密数据，您至少有两个选择：

选项 1：使用自定义包装密码

设置私有目录时传递--nopwcheck到ecryptfs-setup-private不会强制输入真实的登录密码作为包装密​​码，因此发出：

$ ecryptfs-setup-private --nopwcheck

将接受您在 之后输入的任何密码Enter your login passphrase [******]:。

对于挂载密码，您可以再次输入相同的密码，或者将其留空以生成一个，但是如果您害怕丢失，wrapped-passphrase如果它是自动生成的，您可以发出：

$ ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase

这将打印出真正的安装密码，您可以写下并保存在紧急情况下的安全地方。

选项 2：使用低层安装

低级挂载直接使用挂载密码。不包括包装/拆包。发行

# mount -t ecryptfs ~/.Private ~/Private

将为您呈现交互式安装。ecryptfs-utils除非你知道自己在做什么，否则选择兼容的选项，它们如下：

keytype: passphrase, passphrase: 输入真正的挂载密码（不包装），cipher: AES, key bytes: 16, plaintext paththrough: no, filename encryption: yes, fnek signature: 留空（默认）。sig-cache.txt如果要求，继续安装并添加签名。

即使两个目录都是空的，该命令也只能有效地在那些自定义目录中设置新的目录，但建议在使用它设置新的加密目录时不要将它与标准Private和.Private目录一起使用，以免导致与标准ecryptfs-utils自动安装不兼容。

另见：eCryptfs - ArchWiki