Zmień hasło w katalogu ecryptfs

9

Chcę mieć zaszyfrowany katalog (nie homedir!), Powiedzmy / testdata.

Użyłem następującego polecenia i parametrów, aby go zaszyfrować:

root@pc:~# mount -t ecryptfs /testdata/ /testdata/
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 
Enable plaintext passthrough (y/n) [n]: 
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [b9fc92f854a4c85b]: 
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=b9fc92f854a4c85b
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b9fc92f854a4c85b
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [b9fc92f854a4c85b] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : yes
Successfully appended new sig to user sig cache file
Mounted eCryptfs

To polecenie tworzy ten plik:

root@pc:~# cat .ecryptfs/sig-cache.txt 
b9fc92f854a4c85b

Teraz chcę zmienić używane wcześniej hasło. Znalazłem ecryptfs-rewrap-passphrasepolecenie, ale nie jestem pewien, czy jestem na dobrej drodze:

root@pc:~# ecryptfs-rewrap-passphrase .ecryptfs/sig-cache.txt 
Old wrapping passphrase: 
New wrapping passphrase: 
New wrapping passphrase (again): 
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

/var/log/syslog mówi:

Jul 13 13:16:19 pc ecryptfs-rewrap-passphrase: ecryptfs_unwrap_passphrase: PK11_CipherOp() error; SECFailure = [-1]; PORT_GetError() = [-8188]

Mam status nowicjusza w odniesieniu do ecryptfs i doceniłbym tutaj trochę oświecenia.

Theodotos Andreou
źródło

Odpowiedzi:

10

Widzę, że próbujesz przekazać hasło do pliku, który ma inne znaczenie.

ecryptfs-rewrap-passphrase /home/.ecryptfs/$USER/.ecryptfs/wrapped-passphrase 

lub z pewnością… ale lepiej ręcznie wyszukaj wrapped-passphrasew swoim .ecryptfsukrytym katalogu:

ecryptfs-rewrap-passphrase /home/$USER/.ecryptfs/wrapped-passphrase

Myślę, że to jest właściwe polecenie do zmiany hasła, gdzie $USERjest twój użytkownik

PS: Lepiej się nie logować i odszyfrować folder.

Leon
źródło
1
Dzięki za odpowiedź Leon. Nie mam / nie chcę zaszyfrowanego konta użytkownika. Chcę tylko zaszyfrowanego katalogu, który ręcznie podłączę, gdy będę potrzebować danych. Uważam, że ecryptfs-rewrap-passphraseto nie jest odpowiednie narzędzie do tej pracy. Nie ma też home/.ecryptfskatalogu, ponieważ nie mam użytkownika z zaszyfrowanym katalogiem. Czy istnieje sposób na zmianę hasła w ręcznie zaszyfrowanym katalogu?
Theodotos Andreou
2

Nie ma możliwości zmiany hasła w locie, ponieważ ecryptfs szyfruje każdy plik za pomocą tego hasła osobno, a wszystkie pliki muszą zostać przepisane przy użyciu nowego hasła.

Wszystko, co możesz zrobić, to utworzyć nowy katalog, zamontować go za pomocą nowego hasła i skopiować tam wszystkie pliki.

Wyjątkiem jest sytuacja, gdy system Ubuntu został użyty do utworzenia instalacji zaszyfrowanej / home / on. Gdy Ubuntu jest skonfigurowane w ten sposób, nie używa hasła do bezpośredniego szyfrowania plików, ale generuje losowe hasło, które jest zapisywane ~/.ecryptfs/wrapped-passphrase. Ten plik jest następnie szyfrowany osobistym hasłem. Twoja osobista fraza może zatem ulec zmianie, plik szyfrowania pliku pozostaje niezmieniony. Możliwe jest odtworzenie tego zachowania podczas ręcznego montowania elementów, ale domyślnie tak nie jest, a twoje osobiste hasło jest używane do bezpośredniego szyfrowania plików.

Grumbel
źródło
0

Rzeczywiste kroki są na Ubuntu 12.04 LTS:

Uruchom z Ubuntu CD / USB Zamontuj partycję za pomocą Nautilus (łatwy sposób)

sudo ecryptfs-rewrap-passphrase /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Musisz przywrócić własność

sudo chown 1000:root /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Uruchom ponownie

Zoltan Horvath
źródło