Это описывает стандартную зашифрованную домашнюю настройку. Если вы хотите использовать разные пароли или папки, алгоритм шифрования, размер ключа и т. Д., Вы можете использовать их mount.ecryptfs
напрямую.
Когда вы создаете пользователя с зашифрованным домом или используете ecryptfs-migrate-home
существующего пользователя, он использует eCryptfs и устанавливает каталог, /home/.ecryptfs/
содержащий папки с «настоящим домом» нового пользователя, /home/.ecryptfs/user/
содержащий:
Обычный домашний каталог /home/user/
содержит только ссылки на
/home/.ecryptfs/user/.ecryptfs
и /home/.ecryptfs/user/.Private
и еще две ссылки на файл справки & /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
(только что запускается ecryptfs-mount-private
).
eCryptfs настраивает PAM (см. файлы в /etc/pam.d/
), чтобы автоматически искать зашифрованные домашние папки /home/.ecryptfs/
и монтировать и размонтировать зашифрованные домашние папки при входе / выходе из системы, в зависимости от того, существуют ли файлы auto-mount
и auto-umount
. Для получения дополнительной информации см. Исходный код eCryptfs и сценарии preinst и postrm пакета .deb (см. Выше), а также этот клип из man ecryptfs-setup-private
:
[T] модуль pam_ecryptfs.so для стека PAM, который будет автоматически использовать идентификационную фразу входа в систему, чтобы развернуть кодовую фразу монтирования, добавить кодовую фразу в связку ключей пользователя и автоматически выполнить монтирование. Смотрите pam_ecryptfs (8).
- На этой странице справки Ubuntu есть инструкции о том, как « автоматически монтировать зашифрованную файловую систему ecryptfs при загрузке ... используя
/root/.ecryptfsrc
файл, содержащий параметры монтирования, вместе с файлом парольной фразы, хранящимся на USB-ключе ».
После распаковки ключи хранятся в вашем кольце ключей пользователя, вы можете посмотреть на него keyctl show
, так как, если он использовал корневой набор ключей ( sudo keyctl show
), администратор мог бы узнать ключевую фразу. Вы можете использовать, ecryptfs-unwrap-passphrase
чтобы увидеть фактическую парольную фразу ecryptfs. eCryptfs расшифровывает ваши файлы, используя соответствующую подпись ключа (параметры ecryptfs ecryptfs_sig=(fekek_sig)
и ecryptfs_fnek_sig
) в файле Private.sig
.
Больше информации
Ubuntu имеет хорошие справочные файлы, такие как зашифрованные файлы в вашем доме и eCryptfs в руководстве по Ubuntu Server .
В Arch Linux есть отличная справка, смотрите https://wiki.archlinux.org/index.php/System_Encryption_with_eCryptfs.
И посмотрите man
страницы ecryptfs
(онлайн там или в вашей системе) и все его инструменты, особенно ecryptfs-setup-private
.
Вы можете добавить нового пользователя с зашифрованным домом, используя adduser --encrypt-home
(Для получения дополнительной информации обратитесь к опции -b of ecryptfs-setup-private
) и посмотрите, как файлы настроены для вас. И чтобы действительно погрузиться во все детали, которые вы, вероятно, никогда не хотели знать, посмотрите исходный код :
/etc/passwd
(по крайней мере, home & shell), выглядит ли это по-другому для зашифрованного домашнего пользователя? Я добавлю немного информации о связке ключей ядра в мой ответ, ecryptfs хранит ключи там, по-видимому,