当我在ecryptfs-setup-private
上使用ubuntu 15.04
时,系统会询问我的登录密码并设置挂载密码。
~$ ecryptfs-setup-private -f
Enter your login passphrase [******]:
Enter your mount passphrase [leave blank to generate one]:
Enter your mount passphrase (again):
我假设mount passphrase将用作挂载Private
目录的实际密码。但是当我执行ecryptfs-mount-private
时,我的mount密码会在用户的系统登录密码成功时返回错误。谁知道为什么?
~$ ecryptfs-mount-private
Enter your login passphrase:
Error: Unwrapping passphrase and inserting into the user session keyring failed [-5]
Info: Check the system log for more information from libecryptfs
ERROR: Your passphrase is incorrect
Enter your login passphrase:
Inserted auth tok with sig [****************] into the user session keyring
PS:ecryptfs-mount-private
在安装了ubuntu 14.04
的另一台机器上使用了mount passphrase,所以我怀疑它与ubuntu版本有关。
答案 0 :(得分:1)
因为ecryptfs-utils
包使用某些假设进行了硬编码,因为:
~/.Private
目录中。~/Private
目录中。~/.ecryptfs
。~/.ecryptfs/wrapped-passphrase
。AES
和16-byte
密钥密码。因此,每当您尝试使用eCryptfs
挂载ecrypt-utils
时,它会要求您使用登录密码来解密wrapped-passphrase
文件以获取实际的挂载密码,然后将其用于挂载文件系统,这是有充分理由的。
它使用您的默认登录密码,以便您不必记住两个不同的密码,更重要的是,每次登录时自动挂载它,因为它使用您用来登录的密码来解锁您的{{ 1}}数据也是。
如果您将挂载密码留空,它将替换为难以猜测的相当长的随机挂载密码,从而使您的Private
目录更安全,因为黑客可以访问它,但不能你的.Private
,他们必须猜测你甚至不需要记住的非常长的随机密码。这种技术的缺点是丢失wrapped-passphrase
文件并且您不知道真正的挂载密码,即使您将无法再访问解密数据。
在您的情况下,您的自定义挂载密码将使用wrapped-passphrase
中的登录密码包装,要安装它,请输入您的登录密码,但文件系统确实使用挂载密码解锁。
在没有~/.ecryptfs/wrapped-passphrase
文件的其他计算机上,它直接使用您提供的密码作为挂载密码,因此可以在那里工作。
要使用自定义密码加密和解密数据,您至少有两个选项:
在设置私人目录时将wrapped-passphrase
传递给--nopwcheck
将不会强制输入真正的登录密码作为包装密码,从而发出:
ecryptfs-setup-private
将接受您在$ ecryptfs-setup-private --nopwcheck
之后输入的任何密码。
对于挂载密码,您可以再次输入相同的密码,或将其留空以生成一个,但如果您害怕丢失Enter your login passphrase [******]:
,如果它是自动生成的,您可以发出:< / p>
wrapped-passphrase
将打印出真正的安装密码,您可以记下来并在紧急情况下保存在安全的地方。
低级安装直接使用mount passphrase。不包括包装/展开。发出
$ ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
将为您呈现交互式安装。选择与# mount -t ecryptfs ~/.Private ~/Private
兼容的选项,除非您知道自己在做什么,它们如下:
ecryptfs-utils
:keytype
,passphrase
:输入实际挂载密码(不包装一个),passphrase
:cipher
,AES
:{ {1}},key bytes
:16
,plaintext paththrough
:no
,filename encryption
:留空(默认)。如果被要求,请继续安装并向yes
添加签名。
即使这两个目录都是空的,这个命令也可以有效地在这些自定义目录中设置新目录,但是建议在使用它来设置新的加密目录时不要将它与标准{{1}一起使用}和fnek signature
目录,以免导致与标准sig-cache.txt
自动挂载不兼容。
另请参阅:eCryptfs - ArchWiki