我想要的主要想法是运行 rsync 的备份脚本将我的 /home/.Private/user 目录复制到另一台服务器。这将允许备份脚本不知道数据,但意味着远程备份将是安全的。这样我就不用担心他们会发生什么。我希望可以通过在新机器上重新创建具有相同 UID 的用户然后将数据复制回来来恢复机器。
我只是想知道是否需要一些隐藏的东西......或者我是否因为它的简单而天真!
我将 ecryptfs 用于加密的主目录。我想在我的加密主目录上尝试安装选项“ecryptfs_xattr”,因为它可能会提高性能。我可以在某处指定此选项,并在我登录时仍然解密家庭吗?(我假设我必须重新创建加密的主目录,那没问题)
与使用普通用户安装相比,使用 root 权限安装时是否存在任何安全相关风险?
我有一个脚本,它使用非 root 权限(按设计)执行一些 ecryptfs 挂载,但它在所有必需的 Linux 系统上都不能按预期工作,所以我想知道切换到以 root 身份挂载是否是个好主意。
任何帮助是极大的赞赏。
我想在我的笔记本电脑上进行完整的系统加密。但是我有两个用户,一个是家庭用户,一个是工作用户,并且希望对两者进行单独的加密。当然,我可以使用 dm-crypt 进行全盘加密,并使用带有 ecryptfs 的第二个加密层来加密主目录。但是,出于性能原因,这似乎不是一个好主意。那么我如何设置一个系统,以便:
如果这很重要,我想使用 ubuntu 作为发行版。
我的假设(似乎不正确)是 ecryptfs(一般为 FUSE 文件系统)使用以下堆栈机制:
read()但是,比较加密和非加密文件系统上相同操作的“sys”时间,似乎缓存中唯一的缓冲区是加密的,而 ecryptfs 在每个read(). FUSE主页上的图表没有提到缓冲区缓存,但似乎表明操作发生在系统调用级别,而不是块级别。
熟悉 ecryptfs(Dustin?)或 FUSE 内部结构的人可以回答这个问题吗?
我的 Synology NAS DS413(使用 ecryptfs)上有一个加密的共享文件夹。我可以使用 Synology GUI 手动挂载加密文件夹并毫无问题地读取解密文件。出于某种原因,我一直无法使用我的密码挂载加密文件夹。但是我总是可以通过使用 ecryptfs 设置期间生成的私钥来做到这一点。
所以我一直在做一些关于在没有 Synology 的情况下解密加密文件的研究(例如,如果这个东西着火或被盗,我需要从备份中恢复)。我已经阅读了几个关于使用 linux 和 encryptfs-utils 解密 Synology/ecryptfs 加密共享的线程和方法。但是 howto 总是告诉您提供密码短语,而从不提及使用密钥进行解密。所以我的问题是如何使用密钥进行解密(它可以使用 Synology 的软件进行安装和解密)?我拥有的密钥是 80 个字节并且是二进制的。前 16 个字节仅为整数,其余字节似乎是随机十六进制。
感谢您提供任何提示!
我正在尝试了解 linux 内核密钥环(作为使用 ecryptfs 的背景)。内核密钥环是否将密钥存储在磁盘上的某个位置,还是每次系统启动时都以编程方式重新初始化?
我查看了有关加密的手册页和 archlinux 文档,但没有找到答案。如果有关于内核密钥环的其他文档,我想知道。
如果内核密钥环确实将密钥存储在磁盘上,那么它将文件放在哪里?
在我的 QNAP 设备出现问题之后,我不得不对数据进行大量手动恢复,并且只能获取我的加密数据。
似乎 QNAP 使用 eCryptFS 来做到这一点。我设法设置了密码短语(使用ecryptfs-add-passphrase --fnek)并使用以下命令安装了文件系统:
mount /mnt/md3/.__eN__securedocs/ /mnt/md3/documents/Secure/ -t ecryptfs \
-o rw,ecryptfs_sig=b04b010ba4c32521,ecryptfs_fnek_sig=4f23065f483e5b1c,ecryptfs_unlink_sigs,relatime,ecryptfs_cipher=aes,ecryptfs_key_bytes=32
我可以看到我的文件,但权限处于我以前从未见过的状态,使它们无法与之交互,甚至不足以复制:
[~] # ll /mnt/md3/documents/Secure/
/bin/ls: cannot access /mnt/md3/documents/Secure/battle.net.txt: No such file or directory
/bin/ls: cannot access /mnt/md3/documents/Secure/steam.txt: No such file or directory
/bin/ls: cannot access /mnt/md3/documents/Secure/Work: No such file or directory
/bin/ls: cannot access /mnt/md3/documents/Secure/Passport Application Declaration.pdf: No such file or directory
/bin/ls: cannot access /mnt/md3/documents/Secure/Bills: No such file or directory
/bin/ls: cannot access /mnt/md3/documents/Secure/Car: No such file or directory …我有一个带有多个分区的 SSD 磁盘。其中之一是有一个 btrfs 卷,安装为/home,其中包含一个 ecryptfs 主目录。
当我修剪卷时,似乎 fstrim 不会修剪此类卷上的数据块 - 为什么?您可以在下面看到有关设置的所有信息,以及我遵循的步骤,以及注释。
$ cat /etc/fstab:
UUID=xxx / ext4 errors=remount-ro 0 1
UUID=yyy /media/vfio ext4 defaults 0 2
UUID=zzz /home btrfs defaults 0 2
$ mount | grep sda:
/dev/sda5 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)
/dev/sda1 on /media/vfio type ext4 (rw,relatime,stripe=32721,data=ordered)
/dev/sda2 on /home type btrfs (rw,relatime,ssd,space_cache,subvolid=5,subvol=/)
$ ls -la /home /home/myuser/.Private # summary:
/home:
.ecryptfs
myuser
/home/myuser/.Private -> /home/.ecryptfs/myuser/.Private
$ df -h:
Filesystem Size …我正在使用 ext4 加密。 https://wiki.archlinux.org/index.php/Ext4#Using_file-based_encryption
在解密目录之前,我可以在其中看到许多加密的文件名。
我想复制加密的文件,以便我可以在不同的机器上解密它们。
我可以用 ecryptfs 做到这一点。我如何使用 ext4 加密来做到这一点。
我可以从脚本解密 ecryptfs 私有目录吗?
我对此类活动的基本用例是进行远程备份。想象一下,您有一台机器(称为 privatebox),其中有一个加密的私有目录,用于存储您的照片(或其他一些敏感信息)。它仅在登录时解密。假设您希望能够在远程机器上编写一个脚本,该脚本将登录到 privatebox,解密目录以添加照片,然后重新加密并注销。所有这些都不需要用户交互步骤(也许它从 cron 运行)。请注意,私人邮箱的密码不会以纯文本或任何形式存储在私人邮箱中。而且由于它会被加密(更新期间除外),如果有人获得了 SD 卡等,它将受到保护。
这样的脚本会像这样工作(在我看来):
似乎 ecryptfs 专门设计为不允许这样做(即使使用 SSH 密钥技巧,您仍然必须手动挂载您的私有目录)。
基本上,我正在寻找的是“ecryptfs-mount-private”的非交互式版本或类似的东西,如果有人知道解决方案的话。就像是:
% ecryptfs-mount-private -p $PASSPHRASE
在那里我可以传递密码,而不必输入它。
如果 ecryptfs 不能做到这一点,有人知道替代方案吗?谢谢!
我最近在 VPS 主机上安装了 Ubuntu 12.04 LTS(最小虚拟机)。我已经加密了虚拟磁盘并加密了我的主用户帐户的主目录,我用它来通过 SSH(使用公钥身份验证)访问安装。到现在为止还挺好。
问题是:我无法弄清楚究竟是什么操作使我的隐藏文件出现并处于活动状态(这样我才能使用别名,例如ll)。
当我最初使用 SSH 登录并发出问题时ls -al,我看到的是:
dr-x------ 2 username username 4096 Feb 10 01:10 .
drwxr-xr-x 4 root root 4096 Feb 10 01:10 ..
lrwxrwxrwx 1 username username 56 Feb 10 01:10 Access-Your-Private-Data.desktop -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
lrwxrwxrwx 1 username username 34 Feb 10 01:10 .ecryptfs -> /home/.ecryptfs/username/.ecryptfs
lrwxrwxrwx 1 username username 33 Feb 10 01:10 .Private -> /home/.ecryptfs/username/.Private
lrwxrwxrwx 1 username username 52 Feb 10 01:10 README.txt -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt
(作为一个过客:为什么lrwxrwxrwx …