Будет ли изменение пароля повторно зашифровывать мой домашний каталог?

26

Мне нужно изменить свой пароль пользователя. Нужно ли мне предпринимать какие-либо дополнительные действия, чтобы мой зашифрованный домашний каталог стал недоступен с моим старым паролем и стал доступен только с моим новым паролем?

Septagram
источник

Ответы:

38

Нет необходимости повторно шифровать ваш домашний каталог, и никаких дальнейших действий предпринимать не нужно.

Ваш домашний каталог не зашифрован напрямую вашим паролем. Вместо этого парольная фраза, используемая для шифрования домашнего каталога, сама зашифровывается вашим паролем.

Когда вы меняете свой пароль, ключевая фраза домашнего каталога повторно шифруется вашим новым паролем, поэтому вы должны иметь постоянный доступ к своим файлам с новым паролем.

Это выполняется через PAM (сменные модули аутентификации), поэтому должно работать с любым инструментом смены пароля. Исключение составляют изменения пароля администратора, если исходный пароль не указан. Это ожидаемое поведение, хотя: если администратор может расшифровать ваши файлы, не зная вашего пароля, тогда не будет никакой реальной защиты.

В случае, если вы выполняете смену административного пароля, после монтирования вашего домашнего каталога с

ecryptfs-mount-private

и ваш старый пароль, выдайте

ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase

изменить пароль распаковки, чтобы он соответствовал вашему новому. Таким образом, ваш домашний каталог будет автоматически смонтирован при входе в систему, как это было раньше.

Джеймс Хенстридж
источник
Хорошо. Кроме того, passwd из bash сделает это правильно или мне нужно использовать инструменты с графическим интерфейсом?
Septagram
3
Да. Зашифрованная система домашних каталогов подключается через PAM (Pluggable Authentication Modules), поэтому любой инструмент, использующий PAM (например, passwdинструмент командной строки ), должен работать.
Джеймс Хенстридж
8
Еще одно замечание, которое может быть неочевидным: если вы используете какой-либо административный сброс пароля, когда исходный пароль не предоставлен, будет невозможно повторно зашифровать кодовую фразу домашнего каталога. Можно выйти из этой ситуации, если вы знаете свой старый пароль, но об этом следует помнить.
Джеймс Хенстридж
Отредактировав свой ответ, вы должны добавить свои комментарии там, чтобы сделать его великолепным.
Таккат
В случае, если вы выполняете смену административного пароля, после монтирования вашего домашнего каталога с помощью ecryptfs-mount-privateи старого пароля введите ecryptfs-rewrap-passphrase ~/.ecryptfs/wrapped-passphrase команду чтобы изменить пароль для развертывания в соответствии с новым.
Заккак