ecryptfs-mount-private在ubuntu 15.04上使用login passphrase而不是mount passphrase

时间:2015-05-13 05:29:29

标签: ubuntu ecryptfs

当我在ecryptfs-setup-private上使用ubuntu 15.04时,系统会询问我的登录密码并设置挂载密码。 ~$ ecryptfs-setup-private -f Enter your login passphrase [******]: Enter your mount passphrase [leave blank to generate one]: Enter your mount passphrase (again):

我假设mount passphrase将用作挂载Private目录的实际密码。但是当我执行ecryptfs-mount-private时,我的mount密码会在用户的系统登录密码成功时返回错误。谁知道为什么? ~$ ecryptfs-mount-private Enter your login passphrase: Error: Unwrapping passphrase and inserting into the user session keyring failed [-5] Info: Check the system log for more information from libecryptfs ERROR: Your passphrase is incorrect Enter your login passphrase: Inserted auth tok with sig [****************] into the user session keyring

PS:ecryptfs-mount-private在安装了ubuntu 14.04的另一台机器上使用了mount passphrase,所以我怀疑它与ubuntu版本有关。

1 个答案:

答案 0 :(得分:1)

因为ecryptfs-utils包使用某些假设进行了硬编码,因为:

  • 您的加密文件存储在~/.Private目录中。
  • 您的解密数据将安装在~/Private目录中。
  • 加密密钥存储在~/.ecryptfs
  • 加密密钥只是使用您的登录密码包装(编码)的密码密码,存储在~/.ecryptfs/wrapped-passphrase
  • 在加密数据时使用AES16-byte密钥密码。

因此,每当您尝试使用eCryptfs挂载ecrypt-utils时,它会要求您使用登录密码来解密wrapped-passphrase文件以获取实际的挂载密码,然后将其用于挂载文件系统,这是有充分理由的。

它使用您的默认登录密码,以便您不必记住两个不同的密码,更重要的是,每次登录时自动挂载它,因为它使用您用来登录的密码来解锁您的{{ 1}}数据也是。

如果您将挂载密码留空,它将替换为难以猜测的相当长的随机挂载密码,从而使您的Private目录更安全,因为黑客可以访问它,但不能你的.Private,他们必须猜测你甚至不需要记住的非常长的随机密码。这种技术的缺点是丢失wrapped-passphrase文件并且您不知道真正的挂载密码,即使您将无法再访问解密数据。

在您的情况下,您的自定义挂载密码将使用wrapped-passphrase中的登录密码包装,要安装它,请输入您的登录密码,但文件系统确实使用挂载密码解锁。

在没有~/.ecryptfs/wrapped-passphrase文件的其他计算机上,它直接使用您提供的密码作为挂载密码,因此可以在那里工作。

要使用自定义密码加密和解密数据,您至少有两个选项:

选项1:使用自定义包装密码短语

在设置私人目录时将wrapped-passphrase传递给--nopwcheck将不会强制输入真正的登录密码作为包装密​​码,从而发出:

ecryptfs-setup-private

将接受您在$ ecryptfs-setup-private --nopwcheck之后输入的任何密码。

对于挂载密码,您可以再次输入相同的密码,或将其留空以生成一个,但如果您害怕丢失Enter your login passphrase [******]:,如果它是自动生成的,您可以发出:< / p>

wrapped-passphrase

将打印出真正的安装密码,您可以记下来并在紧急情况下保存在安全的地方。

选项2:使用低级安装

低级安装直接使用mount passphrase。不包括包装/展开。发出

$ ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase

将为您呈现交互式安装。选择与# mount -t ecryptfs ~/.Private ~/Private兼容的选项,除非您知道自己在做什么,它们如下:

ecryptfs-utilskeytypepassphrase:输入实际挂载密码(不包装一个),passphrasecipherAES:{ {1}},key bytes16plaintext paththroughnofilename encryption:留空(默认)。如果被要求,请继续安装并向yes添加签名。

即使这两个目录都是空的,这个命令也可以有效地在这些自定义目录中设置新目录,但是建议在使用它来设置新的加密目录时不要将它与标准{{1}一起使用}和fnek signature目录,以免导致与标准sig-cache.txt自动挂载不兼容。

另请参阅:eCryptfs - ArchWiki

相关问题
最新问题