ecryptfs i hasło logowania kontra hasło hasła

16

Zainstalowałem go ecryptfs-utilsi użyłem do utworzenia Privatezaszyfrowanego folderu w moim katalogu domowym.

Podczas tworzenia Privatezaszyfrowanego folderu poproszono mnie o hasło logowania i hasło montowania. O ile rozumiem hasło logowania powinno pasować do mojego hasła użytkownika Ubuntu, a hasło dostępu powinno być wymagane, aby uzyskać dostęp do zaszyfrowanego folderu.

Ku mojemu zdziwieniu, za każdym razem, gdy chcę zamontować polecenie uruchamiania prywatnego folderu ecryptfs-mount-private, pojawia się pytanie o moje hasło logowania zamiast hasła montowania. Czy tak ecryptfssię powinno się zachowywać?

Myślałem, że dwa hasła były podwójną ochroną na wypadek, gdyby ktoś złamał moje hasło logowania, aby chronić moje najbardziej prywatne dane.

Więc do czego służy hasło montowania i kiedy ktoś (kto) musi go użyć?

Asarluhi
źródło

Odpowiedzi:

10

To nie są moje słowa, ale nie potrafię tego lepiej wyjaśnić…

hasło logowania

Jest to hasło, które musisz wprowadzić za każdym razem, gdy chcesz zamontować zaszyfrowany katalog. Jeśli chcesz, aby automatyczne montowanie przy logowaniu działało, musi to być to samo hasło, którego używasz do logowania do konta użytkownika.

zamontuj hasło

Służy do uzyskania rzeczywistego klucza głównego szyfrowania pliku. Dlatego nie powinieneś wprowadzać niestandardowego, chyba że wiesz, co robisz - zamiast tego naciśnij Enter, aby automatycznie wygenerował bezpieczny losowy. Zostanie zaszyfrowany przy użyciu hasła logowania i zapisany w tej zaszyfrowanej formie w ~/.ecryptfs/wrapped-passphrase. Później zostanie automatycznie odszyfrowane („rozpakowane”) ponownie w pamięci RAM, gdy zajdzie taka potrzeba, więc nigdy nie musisz wprowadzać go ręcznie. Upewnij się, że ten plik się nie zgubi, w przeciwnym razie nigdy nie będziesz mógł uzyskać dostępu do zaszyfrowanego folderu! Możesz uruchomić, ecryptfs-unwrap-passphraseaby zobaczyć hasło montowania w niezaszyfrowanej formie, zapisać je na kartce papieru i przechowywać w bezpiecznym (lub podobnym), abyś mógł użyć go do odzyskania zaszyfrowanych danych na wypadek, gdybywrapped-passphrase plik został przypadkowo utracony / uszkodzony lub w przypadku zapomnienia hasła logowania.

Źródło

AB
źródło
7

Mam dokładnie ten sam problem co ty, byłem bardzo zdezorientowany całym procesem i znaczeniem wszystkich tych haseł. Po kopaniu znalazłem stronę, do której odniósł się @AB i pomogło.

Dodałbym jednak kilka rzeczy:

Logowanie hasło jest również nazywany hasło owijania . To nazwisko ma dla mnie więcej sensu, ponieważ jest to hasło, które otacza i rozpakowuje hasło mount . Czasami nazywa się to hasłem logowania, ponieważ domyślnie ecryptfs chce używać hasła logowania użytkownika do owijania hasła .

IMHO, uważam za naprawdę niepraktyczne i niebezpieczne, aby owijające hasło było Twoim hasłem logowania, ponieważ jeśli intruz znajdzie twoje hasło logowania, nie ma sensu mieć zaszyfrowanego katalogu, ponieważ może go odszyfrować za pomocą tego samego hasła.

Widząc to, co powiedziałeś, mogę sobie tylko wyobrazić, że masz taką samą opinię:

Myślałem, że dwa hasła były podwójną ochroną na wypadek, gdyby ktoś złamał moje hasło logowania, aby chronić moje najbardziej prywatne dane.

Wszystko to prowadzi nas do mojego ostatniego punktu: istnieje prosty sposób (ale nie jest to oczywiste dla kogoś nowego w problemie), aby wybrać owijające hasło inne niż hasło logowania użytkownika. Tworząc swój prywatny katalog, skorzystaj z opcji -w, --wrapping(więcej informacji znajdziesz na stronie man):

ecryptfs-setup-private -w

Prawdopodobnie działa również na już istniejącym folderze, ale myślę, że musisz również użyć, -faby wymusić aktualizację.

matthieu
źródło
Zrobiłem to, a teraz po każdym sudo pyta zarówno o hasło logowania, jak i owijające hasło
Maïeul,
Tak, i to jest trochę denerwujące. Ale myślę, że jest nieodłącznym elementem ecryptfs, więc nie możesz na to wiele poradzić. Co możesz zrobić, to: kiedy zostaniesz poproszony o hasło logowania, wprowadź je, a następnie gdy zostaniesz poproszony o podanie owijającego hasła, jeśli nie chcesz odszyfrować prywatnego folderu w tym czasie, po prostu naciśnij Enter bez hasła, a to po prostu go nie odszyfruje.
matthieu
Dokładnie tego szukałem. Dla nowicjusza takiego jak ja nie było to oczywiste :)
greuze