Czy zmiana hasła ponownie zaszyfruje mój katalog domowy?

26

Muszę zmienić hasło użytkownika. Czy muszę podjąć dodatkowe kroki, aby mój zaszyfrowany katalog domowy był niedostępny dla mojego starego hasła i był dostępny tylko dla mojego nowego hasła?

Septagram
źródło

Odpowiedzi:

38

Nie ma potrzeby ponownego szyfrowania katalogu domowego i nie trzeba podejmować żadnych dalszych kroków.

Twój katalog domowy nie jest bezpośrednio szyfrowany twoim hasłem. Zamiast tego hasło używane do szyfrowania katalogu domowego jest samo szyfrowane za pomocą hasła.

Po zmianie hasła hasło do katalogu domowego jest ponownie szyfrowane przy użyciu nowego hasła, dlatego powinieneś mieć ciągły dostęp do plików przy użyciu nowego hasła.

Jest to obsługiwane przez PAM (Pluggable Authentication Modules), więc powinno działać z każdym narzędziem do zmiany hasła. Wyjątkiem są zmiany haseł administracyjnych, w przypadku których nie podano oryginalnego hasła. Jest to jednak oczekiwane zachowanie: gdyby administrator mógł odszyfrować pliki bez znajomości hasła, nie byłoby rzeczywistej ochrony.

W przypadku zmiany hasła administracyjnego po zamontowaniu katalogu domowego za pomocą

ecryptfs-mount-private

i twoje stare hasło, problem

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

zmienić hasło rozpakowywania, aby pasowało do nowego. W ten sposób twój katalog domowy zostanie automatycznie zamontowany przy logowaniu, tak jak kiedyś.

James Henstridge
źródło
W porządku. Ponadto, czy passwd z bash zrobi to poprawnie, czy muszę używać narzędzi GUI?
Septagram
3
Tak. Zaszyfrowany system katalogu domowego jest podpięty przez PAM (Pluggable Authentication Modules), więc każde narzędzie korzystające z PAM (takie jak passwdnarzędzie wiersza poleceń) powinno działać.
James Henstridge
8
Jeszcze jedna uwaga, która może nie być od razu oczywista: jeśli użyjesz jakiegoś administracyjnego resetu hasła, w którym nie podano oryginalnego hasła, ponowne zaszyfrowanie hasła do katalogu domowego nie będzie możliwe. Można odzyskać z tej sytuacji, jeśli znasz swoje stare hasło, ale należy o tym pamiętać.
James Henstridge
Edytując swoją odpowiedź, należy dodać tam swoje komentarze, aby była świetna.
Takkat
W przypadku zmiany hasła administracyjnego, po zamontowaniu katalogu domowego ecryptfs-mount-privatei starego hasła, ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrasenależy zmienić hasło rozpakowywania, aby pasowało do nowego.
zakkak