La modifica della password crittograferà nuovamente la mia directory home?

26

Devo cambiare la mia password utente. Devo adottare ulteriori misure affinché la mia home directory crittografata diventi inaccessibile con la mia vecchia password e accessibile solo con la mia nuova password?

encryption  password  ecryptfs 
Septagram
fonte

Risposte:

38

Non è necessario crittografare nuovamente la directory principale e non è necessario eseguire ulteriori passaggi.

La tua home directory non è direttamente crittografata con la tua password. Invece, la passphrase utilizzata per crittografare la home directory viene crittografata con la tua password.

Quando si modifica la password, la passphrase della home directory viene nuovamente crittografata con la nuova password, pertanto è necessario avere accesso continuo ai file con la nuova password.

Questo viene gestito tramite PAM (Pluggable Authentication Modules), quindi dovrebbe funzionare con qualsiasi strumento di modifica della password. L'eccezione è la modifica della password amministrativa in cui non viene fornita la password originale. Tuttavia, questo è un comportamento previsto: se l'amministratore potesse decrittografare i file senza conoscere la password, non ci sarebbe protezione effettiva.

Nel caso in cui si esegua una modifica della password amministrativa, dopo aver montato la propria directory home con

ecryptfs-mount-private

e la tua vecchia password, problema

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

per cambiare la password da scartare in modo che corrisponda a quella nuova. In questo modo la tua home directory verrà montata automaticamente all'accesso, proprio come una volta.

James Henstridge
fonte
Va bene. Inoltre, passwd da bash lo farà correttamente o devo usare gli strumenti della GUI?
Septagram,
3
Sì. Il sistema di directory home crittografato è collegato tramite PAM (Pluggable Authentication Modules), quindi qualsiasi strumento che utilizza PAM (come lo passwdstrumento da riga di comando ) dovrebbe funzionare.
James Henstridge,
8
Un'altra nota che potrebbe non essere immediatamente ovvia: se si utilizza un tipo di reimpostazione della password di gestione in cui non viene fornita la password originale, non sarà possibile ricodificare la passphrase della home directory. È possibile recuperare da questa situazione se si conosce la vecchia password, ma è qualcosa da tenere a mente.
James Henstridge,
Modificando la tua risposta dovresti aggiungere i tuoi commenti lì per renderlo fantastico.
Takkat,
Nel caso in cui si esegua una modifica della password amministrativa, dopo aver montato la propria directory home con ecryptfs-mount-privatee la vecchia password, ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphraseeseguire il problema per modificare la password non utilizzata per adattarla a quella nuova.
zakkak,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.