Directory home crittografata non montata automaticamente

10

In qualche modo sono riuscito a interrompere il montaggio automatico per la mia directory home crittografata.

Ogni volta che accedo tramite SSH, vedo questo:

valorin@joshua:~$ ls -la
total 44
dr-x------ 3 valorin valorin  4096 2012-03-17 17:10 .
drwxr-xr-x 7 root    root     4096 2012-03-17 11:45 ..
lrwxrwxrwx 1 valorin valorin    56 2012-03-08 20:37 Access-Your-Private-Data.desktop -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
-rw------- 1 valorin valorin   917 2012-03-17 19:24 .bash_history
drwx------ 3 valorin valorin  4096 2012-03-16 17:58 .cache
lrwxrwxrwx 1 valorin valorin    33 2012-03-08 20:37 .ecryptfs -> /home/.ecryptfs/valorin/.ecryptfs
-rw-r--r-- 1 root    root    21954 2012-03-08 20:35 .face
lrwxrwxrwx 1 valorin valorin    32 2012-03-08 20:37 .Private -> /home/.ecryptfs/valorin/.Private
lrwxrwxrwx 1 valorin valorin    52 2012-03-08 20:37 README.txt -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt
-rw------- 1 root    root      703 2012-03-17 17:10 .viminfo

Qualche idea su cosa ho fatto e come posso risolverlo?

AGGIORNARE:

Ho impostato l'autenticazione con chiave SSH usando il metodo qui , che con il senno di poi è il motivo della home directory crittografata non funzionante.

Quindi, la mia nuova domanda, come ottengo che richieda automaticamente la password dopo aver effettuato l'accesso con la chiave di autenticazione SSH?

ecryptfs  home-directory 
Stephen RC
fonte
Ti viene richiesta la password di accesso quando accedi? Ci sono messaggi eCryptfs in syslog?
Dustin Kirkland,
@DustinKirkland, vedi il mio aggiornamento nella domanda. Mi sono reso conto che è perché ho impostato l'autenticazione della chiave SSH ... quindi non è richiesta la password.
Stephen RC,
aha, beh allora è così ;-) posterò una risposta migliore qui sotto, ora.
Dustin Kirkland,

Risposte:

28

Bene, quindi mentre è possibile utilizzare l'autenticazione con chiave pubblica SSH per accedere al proprio sistema senza inserire una password (anche se la propria directory home è crittografata), non è possibile montare automaticamente la propria directory home crittografata.

Per risolvere questo problema, dovrai aggiungere una riga alla fine del tuo file $ HOME / .profile non montato :

ecryptfs-mount-private

Ciò assicurerà che dopo aver effettuato l'accesso utilizzando l'autenticazione con chiave pubblica SSH, ti verrà richiesta la password e verranno montati i dati crittografati. Se è già montato, questo comando dovrebbe riuscire in silenzio.

Godere!

Informativa completa: sono uno degli autori e manutentori di eCryptfs.

Dustin Kirkland
fonte
1
Fantastico, grazie, fa esattamente quello che voglio :) Ho dovuto aggiungere anche cd /home/$HOMEil file .profile, per aggiornarlo anche se una volta decifrato.
Stephen RC,
1
Solo per dire che se lo stai usando zshdeve essere ~/.zprofileinvece di~/.profile
Timmy O'Mahony il
Forse questo aiuterà gli altri: ho avuto un problema in cui ecryptfs-mount-privatesembrava non fare nulla; nemmeno chiedere una password. Si è scoperto che aveva funzionato e non avevo bisogno di una password perché l'avevo già inserita mentre usavo sudoper qualcos'altro, ma /home/arthurprima di vedere i miei file avevo bisogno di cambiare di nuovo la directory di lavoro corrente .
Arthur Tacca,
Grazie @ TimmyO'Mahony! Non avrei scelto per scelta zshma era una nuova installazione, e ricordo di aver visto che non poteva salvare la mia storia .zsh ...
Auspex,
2

Prova quanto segue:

  1. Assicurarsi che /etc/pam.d/common-sessioncontenga questa riga:

     # Encrypt home
 session    optional    pam_ecryptfs.so unwrap

  2. Assicurarsi che /etc/pam.d/common-authcontenga questa riga:

     auth   optional    pam_ecryptfs.so unwrap

  3. Assicurarsi che /etc/pam.d/sshdcontenga queste righe:

     # Standard Un*x authorization.
 @include common-account

 # Standard Un*x session setup and teardown.
 @include common-session

  4. Se hai cambiato la password del tuo utente di recente, controlla /etc/pam.d/common-password

    Se non contiene questa riga:

     password   optional    pam_ecryptfs.so

    Quindi hai bisogno della tua vecchia password per riconfigurare ecryptfs.

    Il mio suggerimento è di cambiare il tuo account con la tua password precedente usando passwde poi aggiungendo la riga sopra a /etc/pam.d/common-passworde poi cambiando la password con la nuova password.

    In alternativa puoi provare questo:

    ecryptfs-setup-private

    Assicurarsi di inserire la stessa password della password dell'utente quando richiesto.

  5. Se nessuna delle precedenti ecryptfs-setup-privatefunzioni funziona, prova forse a risolvere qualcosa.

  6. Se continua a non funzionare, allora sono a corto di idee, scusa.

d_inevitable
fonte
Tutta quella configurazione sembra buona. Controlla gli aggiornamenti della mia domanda, penso sia dovuto all'autorizzazione della chiave SSH che ho impostato.
Stephen RC,
Provare a cambiare optionala requiredin common-account. L'idea è che pam dovrebbe davvero richiedere la password se non la ottiene. Assicurati di tenere una sessione aperta in modo da non rischiare di bloccarti.
d_inevitable
cosa intendi per "account comune"?
Peter Fleix,
2

Seguendo queste istruzioni che hai citato nel tuo post, l'hai fatto in modo specifico in modo da poter SSH nel tuo account senza che la tua cartella home fosse montata. Se annulli ciò che hai fatto lì e lo riporti a come era prima, allora quando SSH entrerai, sarai costretto a inserire la password se la tua home directory non è già decifrata. (Se la tua directory home è già decifrata a causa di un'altra sessione, la tua chiave SSH funzionerà perfettamente per una connessione senza password!)

Altrimenti, l'alternativa è eseguire ecryptfs-mount-privatedopo aver effettuato l'accesso con la chiave per decrittografare manualmente la cartella principale.

macil
fonte
C'è un modo per essere ecryptfs-mount-privateeseguito automaticamente quando eseguo l'accesso?
Stephen RC,
Sto solo aggiornando il link non funzionante di "queste istruzioni", dato che ho dovuto rintracciarlo sulla macchina Wayback: stephen.rees-carter.net/thought/… Altre considerazioni sull'articolo di riferimento: invece di archiviare authorized_keys come /home/.ssh/ % u, memorizza le chiavi autorizzate in /home/.ssh/%u/authorized_keys dove /home/.ssh/%u/ è di proprietà di% u:% u con 700 permanenti e il file è di proprietà di% u con 600 permanenti.
Jeremy Lyons,
@StephenRC crea un ~ / .profile che esegue ecryptfs-mount-private nella tua home directory non crittografata.
Jeremy Lyons,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.