ecryptfs и пароль для входа в систему против пароля для монтирования

16

Я установил ecryptfs-utilsи использовал его для создания Privateзашифрованной папки в моем домашнем каталоге.

При создании Privateзашифрованной папки меня попросили ввести пароль для входа и пароль для монтирования. Насколько я понял, пароль для входа в систему должен совпадать с моим паролем для входа в Ubuntu, и пароль доступа для монтирования должен быть необходим для доступа к зашифрованной папке.

К моему удивлению, вместо этого, всякий раз, когда я хочу смонтировать мою команду запуска Личной папки ecryptfs-mount-private, меня просят ввести мою пароль для входа вместо моей фразы для подключения. Это так, что ecryptfsожидается вести себя?

Я думал, что две парольные фразы были двойной защитой на случай, если кто-то взломает мой пароль для входа, чтобы защитить мои самые личные данные.

Итак, для чего нужна фраза монтирования и когда кто-то (кто) должен ее использовать?

Asarluhi
источник

Ответы:

10

Это не мои слова, но я не могу объяснить это лучше ...

логин пароль

Этот пароль вы должны будете вводить каждый раз, когда хотите подключить зашифрованный каталог. Если вы хотите, чтобы автоматическая установка при входе в систему работала, это должен быть тот же пароль, который вы используете для входа в свою учетную запись.

смонтировать пароль

Это используется для получения фактического главного ключа шифрования файла. Таким образом, вы не должны вводить пользовательский, если не знаете, что делаете, - вместо этого нажмите Enter, чтобы он автоматически генерировал безопасный случайный. Он будет зашифрован с использованием пароля и сохранен в этой зашифрованной форме в ~/.ecryptfs/wrapped-passphrase. Позже он автоматически расшифровывается («распаковывается») снова в ОЗУ, когда это необходимо, поэтому вам никогда не придется вводить его вручную. Убедитесь, что этот файл не потерян, иначе вы никогда не сможете снова получить доступ к своей зашифрованной папке! Возможно, вы захотите запустить, ecryptfs-unwrap-passphraseчтобы увидеть парольную фразу монтирования в незашифрованном виде, записать ее на листе бумаги и хранить в надежном (или аналогичном) месте, чтобы вы могли использовать ее для восстановления зашифрованных данных в случае, еслиwrapped-passphrase Файл случайно утерян / поврежден или, если вы забыли пароль для входа.

Источник

AB
источник
7

У меня точно такая же проблема, как и у вас, меня очень смутил весь процесс и значение всех этих фраз. После копания я нашел сайт, на который ссылался @AB, и это помогло.

Я хотел бы добавить несколько вещей, хотя:

Войти ключевую фразу также называется обертыванием ключевой фразой . Эта фамилия имеет больше смысла для меня, потому что это парольная фраза, которая оборачивает и разворачивает парольную фразу монтирования . Иногда она называется парольной парольной фразой, потому что по умолчанию ecryptfs хочет использовать ваш пароль для входа в систему в качестве парольной фразы .

ИМХО, я считаю очень непрактичным и опасным, чтобы парольная фраза для переноса была вашим паролем для входа в систему, потому что если злоумышленник найдет ваш логин-пароль, то нет смысла иметь зашифрованный каталог, потому что он может расшифровать его с помощью того же пароля.

Видя, что вы сказали, я могу только представить, что у вас такое же мнение:

Я думал, что две парольные фразы были двойной защитой на случай, если кто-то взломает мой пароль для входа, чтобы защитить мои самые личные данные.

Все это подводит нас к моему последнему пункту: существует простой способ (но не столь очевидный для новичка в этой проблеме) выбрать парольную фразу-упаковку, отличную от вашего пароля для входа в систему. При создании вашей личной директории используйте опцию -w, --wrapping(см. Man-страницу для получения дополнительной информации):

ecryptfs-setup-private -w

Вероятно, он также работает с уже существующей папкой, но я думаю, что вам также придется использовать -fдля принудительного обновления.

Матье
источник
Я сделал это, и теперь, после каждого sudo, он запрашивает как пароль для входа, так и парольную фразу
Maïeul
Да, это так, и это немного раздражает. Но я думаю, что это присуще ecryptfs, поэтому вы ничего не можете с этим поделать. Однако вы можете сделать следующее: когда вас попросят ввести пароль для входа в систему, введите его, а затем, когда вас попросят ввести парольную фразу для переноса, если вы не хотите расшифровывать вашу личную папку в это время, просто нажмите ввод без пароля, и она просто не расшифрую.
Матье
Именно то, что я искал. Это не было очевидно для новичка, как я :)
greuze