Modifica la passphrase di una directory ecryptfs


9

Voglio avere una directory crittografata (non homedir!) Diciamo / testdata.

Ho usato il seguente comando e parametri per crittografarlo:

root@pc:~# mount -t ecryptfs /testdata/ /testdata/
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 
Enable plaintext passthrough (y/n) [n]: 
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [b9fc92f854a4c85b]: 
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=b9fc92f854a4c85b
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b9fc92f854a4c85b
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [b9fc92f854a4c85b] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : yes
Successfully appended new sig to user sig cache file
Mounted eCryptfs

Questo comando crea questo file:

root@pc:~# cat .ecryptfs/sig-cache.txt 
b9fc92f854a4c85b

Ora voglio cambiare la passphrase che ho usato prima. Ho trovato il ecryptfs-rewrap-passphrasecomando ma non sono sicuro di essere sulla strada giusta:

root@pc:~# ecryptfs-rewrap-passphrase .ecryptfs/sig-cache.txt 
Old wrapping passphrase: 
New wrapping passphrase: 
New wrapping passphrase (again): 
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

/var/log/syslog dice:

Jul 13 13:16:19 pc ecryptfs-rewrap-passphrase: ecryptfs_unwrap_passphrase: PK11_CipherOp() error; SECFailure = [-1]; PORT_GetError() = [-8188]

Ho uno status di principiante per quanto riguarda gli ecryptfs e apprezzerei un po 'di illuminazione qui.

Risposte:


10

Vedo che stai cercando di inserire la password in un file che ha un altro significato.

ecryptfs-rewrap-passphrase /home/.ecryptfs/$USER/.ecryptfs/wrapped-passphrase 

o sicuramente ... ma è meglio cercare manualmente wrapped-passphrasenella .ecryptfsdirectory nascosta:

ecryptfs-rewrap-passphrase /home/$USER/.ecryptfs/wrapped-passphrase

Penso che questo sia il comando giusto per cambiare la password, dov'è il $USERtuo utente

PS: Meglio non essere loggato e con la tua cartella decifrata.


1
Grazie per la risposta Leon. Non ho / desidero un account utente crittografato. Voglio solo una directory crittografata che monterò manualmente quando avrò bisogno dei dati. Sento che ecryptfs-rewrap-passphrasenon è lo strumento giusto per questo lavoro. Non esiste alcuna home/.ecryptfsdirectory poiché non ho un utente con una directory crittografata. C'è un modo per cambiare la passphrase sulla mia directory crittografata manualmente?
Theodotos Andreou,

2

Non è possibile modificare la passphrase al volo poiché ecryptfs crittografa ogni file con quella passphrase singolarmente e tutti i file devono essere riscritti con la nuova passphrase.

Quindi tutto ciò che puoi fare è creare una nuova directory, montarla con la nuova passphrase e copiare tutti i file laggiù.

L'eccezione è quando hai usato Ubuntu per creare un'installazione crittografata / home / all'installazione. Quando Ubuntu è configurato in questo modo, non utilizza direttamente la passphrase per la crittografia dei file, ma genera invece una passphrase casuale in cui viene salvato ~/.ecryptfs/wrapped-passphrase. Tale file viene quindi crittografato con la passphrase personale. La tua frase phassphrase personale può quindi cambiare, la passphrase di crittografia dei file rimane invariata. Potrebbe essere possibile ricreare quel comportamento durante il montaggio manuale, ma per impostazione predefinita non è così e la passphrase personale viene utilizzata direttamente per la crittografia dei file.


0

I passaggi effettivi sono su Ubuntu 12.04 LTS:

Avvio da Ubuntu CD / USB Montare la partizione con Nautilus (modo semplice)

sudo ecryptfs-rewrap-passphrase /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Devi ripristinare la proprietà

sudo chown 1000:root /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Ricomincia

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.