Изменить парольную фразу каталога ecryptfs

9

Я хочу иметь зашифрованный каталог (не homedir!), Скажем, / testdata.

Я использовал следующую команду и параметры для ее шифрования:

root@pc:~# mount -t ecryptfs /testdata/ /testdata/
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 
Enable plaintext passthrough (y/n) [n]: 
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [b9fc92f854a4c85b]: 
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=b9fc92f854a4c85b
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b9fc92f854a4c85b
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [b9fc92f854a4c85b] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : yes
Successfully appended new sig to user sig cache file
Mounted eCryptfs

Эта команда создает этот файл:

root@pc:~# cat .ecryptfs/sig-cache.txt 
b9fc92f854a4c85b

Теперь я хочу изменить фразу-пароль, которую я использовал раньше. Я нашел ecryptfs-rewrap-passphraseкоманду, но я не уверен, что я на правильном пути:

root@pc:~# ecryptfs-rewrap-passphrase .ecryptfs/sig-cache.txt 
Old wrapping passphrase: 
New wrapping passphrase: 
New wrapping passphrase (again): 
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

/var/log/syslog говорит:

Jul 13 13:16:19 pc ecryptfs-rewrap-passphrase: ecryptfs_unwrap_passphrase: PK11_CipherOp() error; SECFailure = [-1]; PORT_GetError() = [-8188]

У меня есть статус новичка в отношении ecryptfs, и я был бы признателен за некоторое просвещение здесь.

Теодот Андреу
источник

Ответы:

10

Я вижу, вы пытаетесь вставить пароль в файл, который имеет другое значение.

ecryptfs-rewrap-passphrase /home/.ecryptfs/$USER/.ecryptfs/wrapped-passphrase 

или, конечно, ... но лучше поискать вручную wrapped-passphraseв вашей .ecryptfsскрытой директории:

ecryptfs-rewrap-passphrase /home/$USER/.ecryptfs/wrapped-passphrase

Я думаю, что это правильная команда для изменения пароля, где $USERваш пользователь

PS: Лучше не входить в систему и расшифровывать вашу папку.

Леон
источник
1
Спасибо за ответ Леон. У меня нет / хочу зашифрованную учетную запись пользователя. Я просто хочу зашифрованный каталог, который я буду монтировать вручную, когда мне нужны данные. Я чувствую, что ecryptfs-rewrap-passphraseэто не правильный инструмент для этой работы. Каталога также нет, home/.ecryptfsтак как у меня нет пользователя с зашифрованным каталогом. Есть ли способ изменить парольную фразу в моем зашифрованном вручную каталоге?
Феодот Андреу
2

Невозможно изменить парольную фразу на лету, так как ecryptfs шифрует каждый файл с этой парольной фразой индивидуально, и все файлы должны быть перезаписаны новой парольной фразой.

Поэтому все, что вы можете сделать, это создать новый каталог, смонтировать его с новой парольной фразой и скопировать туда все файлы.

Исключением является случай, когда вы использовали Ubuntu для создания зашифрованной / home / on установки. Когда Ubuntu настроен таким образом, он не использует вашу парольную фразу для непосредственного шифрования файлов, а вместо этого генерирует случайную парольную фразу, которая сохраняется в ~/.ecryptfs/wrapped-passphrase. Затем этот файл зашифровывается вашей личной парольной фразой. Таким образом, ваша личная фраза может измениться, файл-пароль шифрования файла останется прежним. Может быть возможно воссоздать такое поведение при монтировании материала вручную, но по умолчанию это не так, и ваша личная фраза используется напрямую для шифрования файлов.

Grumbel
источник
0

Фактические шаги на Ubuntu 12.04 LTS:

Загрузка с Ubuntu CD / USB Смонтируйте раздел с помощью Nautilus (простой способ)

sudo ecryptfs-rewrap-passphrase /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Вы должны восстановить право собственности

sudo chown 1000:root /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Запустить снова

Золтан Хорват
источник